Sie sind einfach da – diese unbeliebten Rollen im Unternehmen, die (rechtlich oder organisatorisch) unverzichtbar sind. Ich möchte diese Rollen, ihre Funktionen und Stellung im Unternehmen in einer kurzen Serie näher bringen. Heute: der Datenschutzbeauftragte.
Kaum jemand ist in der IT so verhasst wie der Datenschutzbeauftragte. „Innovationsbremse“ und „Paragraphenreiter“ sind nicht nur in der IT-Abteilung, sondern duch alle Hierarchiestufen und Abteilungen hinweg gängige Bezeichnungen für diesen Mitarbeiter, der in vielen modernen Unternehmen durch die gesetzlichen Vorschriften des Bundesdatenschutzgesetz (BDSG) verpflichtend ist.
Vorgeschrieben? Ja – gesetzlich vorgeschrieben! Ein Blick in den Paragraphen 4f gibt hierüber Klarheit:
§ 4f Beauftragter für den Datenschutz
(1) Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. […]Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Die Sätze 1 und 2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. […] Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.[…]
Doch nicht nur die Pflicht einen Datenschutzbeauftragten (DSB) zu bestellen ergibt sich aus dem Paragraphen 4f BDSG, auch die genauen Anforderungen an den DSB werden in Absatz 2 genannt:
(2) Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet. Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle bestellt werden; […]
Jeder, der hofft, hier eine konkrete Checkliste zu finden, wie man die erforderliche Fachkunde prüfen kann, ist hier leider falsch – und wir auch an anderen Stellen eher schwer fündig, denn eine allgemeine Anforderung gibt es nicht. Was bedeutet also
Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet.
in der Praxis? Es gibt keine offizielle Zertifizierung, die für einen Datenschutzbeauftragten abzulegen ist. Die Fachkunde muss vorhanden sein – gerade bei externen Datenschutzbeauftragten muss man sich als so genau über die Fachkunde – vor allem in dem speziellen Tätigkeitsbereich des Auftraggebers – des potentiellen Datenschutzbeauftragten zu informieren. Es gibt Ausbildungsstellen für Datenschutzbeauftrage, so dass eine hier erfolgreich abgeschlossene Schulung zumindest schon einmal eine Eignung (wenn auch nicht zwingend hinreichend) nachweisen kann. Vor allem hilft Sie aber gegenüber Externen (z.B. auch Wirtschaftsprüfern) die Eignung nachzuweisen.
Zusätzlich zur Eignung als Datenschutzbeauftragter, sollte auch ein gewisses Fachwissen im Tätigkeitsbereich des Unternehmens vorliegen. So sind Kenntnisse im Bankwesen nicht zwingend unmittelbar auf Onlineaktivitäten oder Hostingprovider übertragbar. So gehören zur fachlichen Eignung also nicht nur die Kenntnisse im Bereich Datenschutz (speziell Bundesdatenschutzgesetz und weitere datenschutzrelevante gesetzliche Regelungen wie das Sozialgesetzbuch) sondern auch – wenn auch nicht explizit gefordert – hinreichende Kenntnisse im Tätigkeitsbereich des zu betreuenden Unternehmens.
Aber wie ist der Datenschutzbeauftragte organisatorisch in das Unternehmen einzubinden? Hier gibt es direkt die gesetzliche Vorgabe:
(3) Der Beauftragte für den Datenschutz ist dem Leiter der öffentlichen oder nicht-öffentlichen Stelle unmittelbar zu unterstellen. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden.[…]
Der Datenschutzbeauftragte ist zwar Berater und sollte interne Verfahren freigeben, sowie auf Missstände Bereich Datenschutz seines Unternehmens aufmerksam machen, ist jedoch nicht berechtigt, Entscheidungen gegen den Willen der Unternehmensleitung durchzusetzen. Ein Bestandteil des besonderen Schutzes ist auch eine Ausweitung des Zeugnisverweigerungsrechts:
(4a) Soweit der Beauftragte für den Datenschutz bei seiner Tätigkeit Kenntnis von Daten erhält, für die dem Leiter oder einer bei der öffentlichen oder nichtöffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch dem Beauftragten für den Datenschutz und dessen Hilfspersonal zu. Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Gründen zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. Soweit das Zeugnisverweigerungsrecht des Beauftragten für den Datenschutz reicht, unterliegen seine Akten und andere Schriftstücke einem Beschlagnahmeverbot.
Auch die rechtliche Grundlage, wie der Datenschutzbeauftragte zu unterstützen ist, findet sich im Bundesdatenschutzgesetz:
(5) Die öffentlichen und nicht-öffentlichen Stellen haben den Beauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Betroffene können sich jederzeit an den Beauftragten für den Datenschutz wenden.
Neben all diesen gesetzlichen Regelungen, sorgt der richtige Einsatz des Datenschutzbeauftragten jedoch auch vor folgenden Problem vor:
§ 44 Strafvorschriften
(1) Wer eine in § 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
[…]
Doch wie sehen die Aufgaben und Regelungen in der Praxis aus? Wie wird ein Datenschutzbeauftragter in einem Unternehmen eingeführt? Wie gestaltet sich die Zusammenarbeit? Das betrachten wir in einem weiteren Artikel zu dem Thema.
