Datenschutzbeauftragter

Aus Datenschutz-Wiki
Wechseln zu: Navigation, Suche

Ein Datenschutzbeauftragter (DSB) wirkt in einer Behörde oder nicht-behördlichen Organisation auf die Einhaltung des Datenschutzes hin. Die Person kann Mitarbeiter der Organisation sein oder als externer Datenschutzbeauftragter bestellt werden.

Aufgaben, Tätigkeit und Bestellung

Die Aufgabe und Tätigkeit eines Datenschutzbeauftragten wird in Deutschland in § 4f und § 4g des Bundesdatenschutzgesetzes (BDSG) sowie den entsprechenden landesrechtlichen Vorschriften geregelt. Er hat vorrangig die Datenverarbeitungsprogramme zu überwachen und das datenverarbeitende Personal mit dem Datenschutz vertraut zu machen.

Ein Datenschutzbeauftragter muss bestellt werden, wenn personenbezogene Daten (z. B. Arbeitnehmerdaten in der Personalabteilung, Kunden- und Interessentendaten) automatisiert verarbeitet werden:

  • in allen öffentlichen Stellen (beispielsweise Behörden) und
  • in nicht-öffentlichen Stellen (beispielsweise Unternehmen, Vereine, Rechtsanwaltskanzleien, Arztpraxen, Steuerkanzleien), wenn mindestens 10 Personen mit der Verarbeitung dieser Daten beschäftigt sind oder Zugriff auf diese Daten haben. Bei einer nicht automatisierten Datenverarbeitung greift die Vorschrift erst ab 20 Beschäftigten. Hierbei werden Teilzeitkräfte voll berücksichtigt. Unabhängig von der Mitarbeiterzahl muss ein Datenschutzbeauftragter bestellt werden, wenn die Organisation automatisierte Verarbeitungen durchführt, die einer so genannten Vorabkontrolle unterliegen, oder wenn sie personenbezogene Daten geschäftsmäßig verarbeitet, um diese an dritte Personen weiterzugeben (z. B. Adressdatenhandel).

Automatisiert ist eine Verarbeitung, wenn hierzu Datenverarbeitungsgeräte (PCs) verwendet werden. Erfolgt die Datenverarbeitung z.B. mittels Karteikarten, so ist sie nichtautomatisiert.

Nach § 4d Abs. 5 BDSG unterliegt die Datenverarbeitung der „Vorabkontrolle“, wenn besondere Daten nach § 3 Abs. 9 BDSG verarbeitet werden oder die Verarbeitung der Daten der Bewertung der Persönlichkeit des Betroffenen dienen soll einschließlich seiner Fähigkeiten, seiner Leistung und seines Verhaltens. Besondere Daten nach § 3 Abs. 9 BDSG sind personenbezogene Daten über:

  • rassische und ethnische Herkunft
  • politische Meinungen
  • religiöse oder philosophische Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Gesundheit
  • Sexualleben

Die Vorabkontrolle darf nach § 4d Abs. 6 BDSG nur ein Datenschutzbeauftragter durchführen.

Behördlich

Die Behörde auf Bundes- oder Landesebene, die die Einhaltung der Datenschutzgesetze kontrolliert oder eine Person in Betrieben oder Behörden, die beauftragt wurde, sich um die Einhaltung der Regeln und Gesetze zum Datenschutz zu kümmern.

Kirche

Die Katholische Kirche und die Evangelische Kirche in Deutschland bestellen jeweils für ihren Bereich eigene Datenschutzbeauftragte. Geregelt ist dies in kircheneigenen Gesetzen (Anordnung über den kirchlichen Datenschutz der katholischen Kirche, Datenschutzgesetz der Evangelischen Kirche in Deutschland).

Betrieblich

Der Datenschutzbeauftragte in einem privaten Betrieb wirkt auf die Einhaltung der Datenschutzbestimmungen hin (hat jedoch kein Weisungsrecht). Dabei soll er insbesondere die ordnungsgemäße Anwendung der Computer und Computerprogramme überwachen. Ein wesentliches Augenmerk liegt dabei darauf, dass ausschließlich Befugte eine nur auf den Zweck beschränkte Verarbeitung vornehmen können und dass der Eigentümer der Daten sein Selbstbestimmungsrecht auf Auskunft, Korrektur, Sperrung und Löschung wahrnehmen kann. Außerdem obliegt ihm die Schulung der Mitarbeiter, um sie für die Belange des Datenschutzes zu sensibilisieren.

Der Datenschutzbeauftragte ist in seinem Gebiet weisungsfrei und unabhängig von Vorgesetzten. Er darf wegen Erfüllung seiner Aufgaben nicht benachteiligt werden.

Mit der Novellierung des Bundesdatenschutzgesetzes (sog. BDSG-Novelle II 2009) wurde der betriebliche Datenschutzbeauftragte mit einem verbesserten Kündigungsschutz ausgestattet, gem. § 4f Abs. 3 BDSG. Außer wenn Gründe für eine fristlose Entlassung vorliegen, ist die Kündigung des mit dem betrieblichen Datenschutzbeauftragten abgeschlossenen Arbeitsverhältnisses unzulässig. Dieser Kündigungsschutz bleibt auch nach einer Abberufung als betrieblicher Datenschutzbeauftragter für ein weiteres Jahr nach der Beendigung der Bestellung bestehen. In dieser Zeit ist eine Entlassung des früheren betrieblichen Datenschutzbeauftragten nur bei Vorliegen von Gründen für eine fristlose Kündigung im Sinne des § 626 BGB (Fristlose Kündigung aus wichtigem Grund) gestattet. Die Aufsichtsbehörde kann den bestellten DSB abberufen, wenn er die erforderliche Fachkunde oder Zuverlässigkeit nicht besitzt. Die Bestellung kann durch die Unternehmensleitung widerrufen werden, wenn die Aufsichtsbehörde dies verlangt, oder ein wichtiger Grund i.S.v. § 626 BGB gegeben ist.

Fachkunde und Zuverlässigkeit

Zum Datenschutzbeauftragten darf nur bestellt werden, wer die notwendige Fachkunde und Zuverlässigkeit besitzt. Die verantwortliche Stelle ist ausdrücklich verpflichtet (§ 4f Abs. 3 Satz 7 BDSG), dem betrieblichen Datenschutzbeauftragten für die Erhaltung seiner Fachkunde die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen. Die erforderliche Zuverlässigkeit erfordert, dass kein Interessenkonflikt bei der Wahrnehmung der Funktion besteht. Ein solcher besteht vor allem bei allen Personen, die ein eigenes Interesse am Unternehmen (etwa wegen Beteiligung an seinem Vermögen wie z. B. Teilhaber oder Gesellschafter) oder Leitungsfunktion haben. Geschäftsführer oder der Abteilungsleiter, vor allem der Personal- oder der IT-Abteilung, scheiden deshalb regelmäßig aus (siehe auch Interessenkonflikte nebenamtlicher Datenschutzbeauftragter).

In den meisten Organisationen, vor allem in privatwirtschaftlichen Unternehmen, können externe Datenschutzbeauftragte bestellt werden. Grundsätzlich ist der Datenschutzbeauftragte schriftlich zu bestellen.

Die Bestellung eines betrieblichen Datenschutzbeauftragten bereitet oftmals „praktische Schwierigkeiten“ für ein Unternehmen, wie es die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Bettina Sokol in ihrem 17. Datenschutzbericht formulierte: „Grundsätzlich ist die Möglichkeit für die Bestellung externer Beauftragter […] oft eine praktikable Lösung, da sie häufig selbst nicht über Personal verfügen, das die für Datenschutzbeauftragte erforderliche fachliche Eignung hat. Hier kann eine externe Person, die mehrere ähnlich strukturierte Unternehmen betreut, kostengünstiger und fachlich qualifizierter arbeiten.“

Im Jahre 1990 hatte das Landgericht Ulm als erstes Gericht in Deutschland über das Berufsbild von Datenschutzbeauftragten zu entscheiden. In seinem in Fachkreisen oft zitierten „Ulmer Urteil“ definierte das Gericht die Tätigkeit des Datenschutzbeauftragten als eigenständigen Beruf und legte Kriterien für die Fachkunde fest (Az: 5T 153/90-01 LG Ulm).

Es gibt diverse Anbieter, die eine Ausbildung zum qualifizierten und geprüften Datenschutzbeauftragten anbieten. Die Ausbildungsdauer beträgt bei entsprechenden Vorkenntnissen wenige Wochen. Ob eine Ausbildung als ausreichend anzusehen ist, kann u. U. bei der für die Einrichtung zuständigen Datenschutzaufsichtsbehörde geklärt werden. Man kann auch eine unverbindliche Auskunft bei den aufgeführten Datenschutzorganisationen einholen. Maßgeblich ist aber immer das Votum der zuständigen Aufsichtsbehörde, die grundsätzlich befugt ist, die notwendige Fachkunde und Zuverlässigkeit des Datenschutzbeauftragten zu prüfen.

Literatur

  • Bundesbeauftragte für den Datenschutz und die Informationssicherheit (Hrsg.): BfDI-Info 4. Die Datenschutzbeauftragten in Behörde und Betrieb. 10. Auflage. November 2014. Download
  • Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach §4f Abs.2 und Abs.3 Bundesdatenschutzgesetz (BDSG), Beschluss des Düsseldorfer Kreises vom 24./25. November 2010
  • Rouven Schwab, Thorsten Ehrhard: Sonderkündigungsschutz für Datenschutzbeauftragte. In: Neue Zeitschrift für Arbeitsrecht 20/2009, S. 1118−1120.
  • Hilfe - Ich soll Datenschutzbeauftragter werden! Was muss ich können und wissen? Ein Überblick über Anforderungen und Aufgaben (Hrsg.): DATAKONTEXT Download

Siehe auch

Weblinks


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.