IT-Service Bauer Datenschutz


Datenschutz- Beauftragter
		Informationen zum Internet- und IT-Recht
Auszug aus dem Bundesdatenschutzgesetz (BDSG)
		Betrieblicher Datenschutzbeauftragter Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten Das Bundesdatenschutzgesetz (BDSG) verpflichtet Sie als Unternehmer zur Bestellung betrieblicher Datenschutzbeauftragter. unabhängig von der Zahl der Beschäftigten, wenn Sie als verantwortliche Stelle personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung erheben, verarbeiten oder nutzen (Beispiele: Auskunfteien, Adressverlage, Markt- und Meinungsforschungsinstitute; Vorschrift: § 4f Abs. 1 S. 5 BDSG); unabhängig von der Zahl der Beschäftigten, wenn Sie als verantwortliche Stelle automatisierte Datenverarbeitungsvorgänge vornehmen, die eine Vorabkontrolle verlangen (z.B. Scoringverfahren, soweit sie selbst Entscheidungscharakter haben; Vorschrift: § 4f Abs. 1 S. 5 BDSG); ansonsten, wenn Sie als verantwortliche Stelle mindestens zehn Arbeitnehmer wenigstens vorüber-gehend mit automatisierter Datenerhebung, -verarbeitung oder - nutzung beschäftigen (Vorschrift: § 4f Abs. 1 S. 3 BDSG); oder als verantwortliche Stelle mindestens zwanzig Arbeitnehmer wenigstens vorübergehend mit nichtauto-matisierter Datenerhebung, -verarbeitung oder - nutzung beschäftigen (Vorschrift: § 4f Abs. 1 S. 2 BDSG).
		Ein betrieblicher Datenschutzbeauftragter ist schriftlich zu bestellen; zweckmäßig ist dabei die Festlegung der wichtigsten Aufgaben in der Bestellungsurkunde oder die Bezugnahme auf die Vorschriften der §§ 4f, 4g BDSG. Falls eine verantwortliche Stelle keinen Beauftragten für den Datenschutz muss, ist sie jedoch nicht von der Einhaltung des Datenschutzrechts befreit, sondern muss ebenso die einschlägigen Datenschutzgesetze berücksichtigen. Betroffene müssen sich jederzeit unter Wahrung der Vertraulichkeit an den Beauftragten für den Datenschutz wenden können (§ 4f Abs. 5 S. 2 BDSG).
		Externer Datenschutzbeauftragter Externe Bestellung Als Beauftragter für Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle eingesetzt werden, soweit die erforderliche Zuverlässigkeit und Fachkunde auf Seiten des externen Datenschutzbeauftragten gewährleistet sind. Diese Konstellationen wird von Unternehmen und Behörden häufig gewählt, wenn die Bestellung eines externen Datenschutzbeauftragten gegenüber der Anstellung, Ausbildung und Ausstattung eines eigenen internen Beauftragten für Datenschutz ökonomisch vorteilhaft ist. Abzuwägen sind insoweit die Notwendigkeit zur detailgenauen Kenntnis innerbetrieblicher Abläufe mit dem Bedarf an spezifischen Fachkenntnissen, die ein externer Datenschutzbeauftragter aufweisen sollte. Bei Konzernen oder konzernähnlichen Unternehmensstrukturen ist Folgendes zu beachten: grundsätzlich muss jede selbstständige juristische Person einen eigenen betrieblichen Datenschutzbeauftragten bestellen, soweit sie die gesetzlichen Anforderungen dafür erfüllt. Bei Konzernen kann es aber sinnvoll sein, dass mehrere oder alle Tochterunternehmen ein und denselben betrieblichen Beauftragten für Datenschutz bestellen, um Synergieeffekte und einen konzerneinheitlichen Datenschutzstandard zu erzielen. Ein Konzerndatenschutzbeaudftragter ist dann im Verhältnis zu der Konzerngesellschaft, mit der er ein Anstellungsverhältnis hat, interner Datenschutzbeauftragter. Von den anderen Konzerngesellschaften ist er als externer Datenschutzbeauftragter jeweils gesondert zu bestellen.
		Datenschutzbeauftragter Fachkunde und Zuverlässigkeit Zum Beauftragten für den Datenschutz darf nach § 4 f Abs. 2 S. 1 BDSG nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Notwendig sind hinreichende Kenntnisse im Datenschutzrecht, in der IT-Technik und hinsichtlich betrieblicher bzw. behördlicher Organisation. Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet (§ 4 f Abs. 2 S. 2 BDSG). Fragen, anhand derer die Fachkunde des Beauftragten für den Datenschutz bestimmt werden kann, sind u.A.: Welche beruflichen Qualifikationen weist der Datenschutzbeauftragte auf (Ausbildung/Studium/vorherige Funktionen oder Berufserfahrungen)? Wurden besondere Datenschutzausbildungen absolviert? Bildet sich der Datenschutzbeauftragte weiter (Mitgliedschaft in einer Datenschutzorganisation/ Fortbildungskurse/Fachtagungen)? Kann der Datenschutzbeauftragte bei Bedarf auf internen oder externen Sachverstand zurückgreifen? Kennt der Datenschutzbeauftragte die betriebsinterne Organisation und Verfahrensabläufe? Zudem muss ein Datenschutzbeauftragter zuverlässig sein. Insoweit wird auf die persönliche Integrität und Vertrauenswürdigkeit abgestellt. Besonders hohe finanzielle Belastungen oder einschlägige Vorbestrafungen können der Vermutung der Vertrauenswürdigkeit entgegenstehen. Dennoch müssen insoweit die Umstände im Einzelfall berücksichtigt werden.
		Stellung des Beauftragten für den Datenschutz Der betriebliche Datenschutzbeauftragte ist dem Leiter der nicht-öffentlichen Stelle unmittelbar zu unterstellen (§ 4 f Abs. 3 BDSG). Dies ist der Geschäftsführer oder der Vorstandsvorsitzende. Der Datenschutzbeauftragte ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Dies gilt auch gegenüber der Leitung der verantwortlichen Stelle. Um die Unabhängigkeit des Datenschutzbeauftragten zu wahren und eine Interessenskollision im Rahmen seiner Tätigkeit zu vermeiden, soll der Beauftragte für Datenschutz nicht gleichzeitig eine leitende Funktion bei der verantwortlichen Stelle bekleiden, in der er für die Verarbeitung personenbezogener Daten zuständig ist (z.B. Geschäftsführer, Vorstandsvorsitzender, Leiter der EDV, Leiter der Personalverwaltung oder Leiter des Marketing). Die Bei größeren Unternehmen kann eine organisatorische Anbindung des betrieblichen Beauftragten für Datenschutz an die Leitung des Personalwesens (Human Resources), der Revison (Controlling) oder des Qualitätsmanagements sinnvoll sein. Berichten muss ein betrieblicher Datenschutzbeauftragter letztendlich jedoch immer direkt der Geschäftsführung bzw. dem leitenden Vorstand.
		Verschwiegenheit Der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird (§ 4 f Abs. 4 BDSG). Entsprechend dürfen E-Mails, Internetlogfiles oder Telekommunikationsverbindungsdaten eines betrieblichen Beauftragten für Datenschutz nicht vom Unternehmen überwacht werden. Ein interner Datenschutzbeauftragter muss daher mit Hilfsmitteln und -Räumen ausgestattet werden, die ihm die Wahrnehmung seines Amtes unter Wahrung der Vertraulichkeit ermöglichen. Ein Verstoß gegen die Verschwiegen-heitsverpflichtung kann der zur Ausübung der Tätigkeit erforderlichen Zuverlässigkeit entgegenstehen, so dass die Bestellung zum Datenschutzbeauftragten ggf. zu widerrufen wäre.
		Benachteiligungsverbot des internen Datenschutzbeauftragten Der Datenschutzbeauftragte darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden (§ 4 f Abs. 3 S. 3 BDSG). Gehaltserhöhungen, Fortbildungsmaßnahmen, Prämien und sonstige Vergünstigungen (z.B. Firmenwagen, Firmenhandy, Laptop oder Heimarbeitsplatz) sind einem internen betrieblichen Datenschutzbeauftragten ebenso zu gewähren, wie es anderen nach Qualifikation und Verantwortungsbereich vergleichbaren Mitarbeitern im Unternehmen üblicherweise zugestanden wird. Die Bestellung zum betrieblichen Datenschutzbeauftragten kann nur in entsprechender Anwendung von § 626 BGB und auf Verlangen der Aufsichtsbehörde widerrufen werden. Der interne Datenschutzbeauftragte genießt also einen besonderen Kündigungsschutz, der nur "aus wichtigem Grunde" (z.B. fachliche Ungeeignetheit, Unzuverlässigkeit) durchbrochen werden kann. Durch diesen bedingten Kündigungsschutz soll die Unabhängigkeit des internen betrieblichen Datenschutzbeauftragten gewährleistet werden. Soweit ein Mitarbeiter lediglich teilweise die Tätigkeit des betrieblichen Datenschutzbeauftragten ausübt, ist er nach einer ansonsten wirksamen Kündigung seines Arbeitsverhältnisses aufgrund dieses Kündigungsschutzes ggf. als interner betreiblicher Datenschutzbeauftragter (in Teilzeit) weiter zu beschäftigen. Mit externen Datenschutzbeauftragten kann hingegen im Beratervertrag eine Kündigungsfrist vereinbart werden, die einerseits den Interessen des Unternehmens an Flexibilität und andererseits dem Erfordernis der Unabhängigkeit des Datenschutzbeauftragten gerecht wird.