Datenschutzbeauftragter

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Ein Datenschutzbeauftragter (DSB) wirkt in einer Organisation auf die Einhaltung des Datenschutzes hin. Die Person kann Mitarbeiter dieser Organisation sein oder als externer Datenschutzbeauftragter bestellt werden. Der Datenschutzbeauftragte muss die notwendige Fachkunde für die Ausübung besitzen und darf nicht in einen Konflikt oder in die Gefahr der Selbstkontrolle geraten.

Auf Bundesebene (Bundesrepublik Deutschland) gibt es den 'Bundesdatenschutzbeauftragten' (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit); Bundesländer haben je einen Landesdatenschutzbeauftragten. Der erste Datenschutzbeauftragte in Deutschland war Willi Birkelbach, er wurde 1971 vom Land Hessen bestellt.[1]

Auf EU-Ebene gibt es eine unabhängige Behörde namens Europäischer Datenschutzbeauftragter.

In Österreich gibt es seit dem 1. Januar 2014 die Österreichische Datenschutzbehörde.

In der Schweiz gibt es den EDÖB ('Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter').[2]

weitere siehe diese Liste

Aufgaben, Tätigkeit und Bestellung[Bearbeiten]

Die Aufgabe und Tätigkeit eines Datenschutzbeauftragten wird in Deutschland in § 4f und § 4g des Bundesdatenschutzgesetzes (BDSG) sowie den entsprechenden landesrechtlichen Vorschriften geregelt. Der Beauftragte für Datenschutz wirkt auf die Einhaltung des BDSG und anderer Gesetze hin (TMG, TKG, etc.). Eine wesentliche Aufgabe ist die Kontrolle und Überwachung der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen. Das Personal, welches mit dem Umgang von personenbezogenen Daten beschäftigt ist, wird in geeigneter Form mit dem Gesetz und seiner praktischen Umsetzung (Schulung) vertraut gemacht. In der Ausübung seiner Tätigkeit ist der Datenschutzbeauftragte weisungsfrei.

Ein Datenschutzbeauftragter muss bestellt werden, wenn personenbezogene Daten (z. B. Arbeitnehmerdaten in der Personalabteilung, Kunden- und Interessentendaten) automatisiert verarbeitet werden:

  • in allen öffentlichen Stellen (beispielsweise Behörden) und
  • in nicht-öffentlichen Stellen (beispielsweise Unternehmen, Vereine), wenn mehr als neun Personen (§ 4f Abs. 1 Satz 1 und 4 BDSG) mit der Verarbeitung dieser Daten beschäftigt sind oder Zugriff auf diese Daten haben. Diese Grenze entfällt, wenn ein bestimmtes Risiko vermutet wird, welches eine sofortige Bestellung erforderlich macht oder Verfahren eingesetzt werden, die der Vorabkontrolle unterliegen (§ 4d Abs. 5, § 3 Abs. 9, § 4e, § 4f Abs. 1 Satz 6 BDSG), oder wenn sie personenbezogene Daten geschäftsmäßig verarbeitet, um diese an dritte Personen weiterzugeben (z. B. Adressdatenhandel). Weiter entfällt diese Grenze auch, wenn eine volle Automatisierung der Erfassung beispielsweise für Statistik (z. B. Markt- und Meinungsforschung) oder Forschungszwecke eingesetzt wird.

Bei einer nicht automatisierten Datenverarbeitung greift die Vorschrift erst ab 20 Personen (§ 4f Abs. 1 Satz 1 und 3 BDSG). Hierbei werden Teilzeitkräfte voll berücksichtigt, der Gesetzgeber spricht auch bewusst nicht von Beschäftigten, sondern von Personen, insbesondere um die Gefahr zu vermeiden, dass Betriebe nur noch mit Selbständigen und freiberuflichen Mitarbeitern arbeiten, um so die Bestellungspflicht zu vermeiden.

Automatisiert ist eine Verarbeitung, wenn hierzu Datenverarbeitungsgeräte (PCs) verwendet werden. Erfolgt die Datenverarbeitung z. B. mittels Karteikarten, so ist sie nichtautomatisiert, sofern diese nicht zur späteren Verarbeitung in der EDV bestimmt sind und dahingehend geführt werden, dies wäre sonst eine Vorbereitung zur Datenverarbeitung.

Der Betrieb muss spätestens einen Monat nach Aufnahme seiner Tätigkeit einen Datenschutzbeauftragten bestellen (§ 4 Abs. 1 Satz 2 BDSG). Bei Nichtbestellung oder verspäteter Bestellung liegt eine Ordnungswidrigkeit vor (§ 43 Abs. 1 Nr. 2 BDSG) und kann mit einem Bußgeld von bis zu 50.000 € geahndet werden (§ 43 Abs. 3 BDSG).

Vorabkontrolle[Bearbeiten]

Nach § 4d Abs. 5 BDSG unterliegt die Datenverarbeitung der „Vorabkontrolle“, wenn sie besondere Risiken für die Rechte und Freiheiten des Betroffenen aufweist. Dies ist insbesondere dann gegeben, wenn besondere Arten personenbezogener Daten nach § 3 Abs. 9 BDSG verarbeitet werden oder die Verarbeitung der Daten der Bewertung der Persönlichkeit des Betroffenen dienen soll einschließlich seiner Fähigkeiten, seiner Leistung und seines Verhaltens. Die Vorabkontrolle darf nach § 4d Abs. 6 BDSG nur ein Datenschutzbeauftragter durchführen, sowie auch die Prüfung ob eine Vorabkontrolle erforderlich ist.

Behördlich[Bearbeiten]

Die Behörde auf Bundes- oder Landesebene, die die Einhaltung der Datenschutzgesetze kontrolliert oder eine Person in Betrieben oder Behörden, die beauftragt wurde, sich um die Einhaltung der Regeln und Gesetze zum Datenschutz zu kümmern. Beispiele:

Kirche[Bearbeiten]

Die katholische Kirche und die evangelische Kirche in Deutschland bestellen jeweils für ihren Bereich eigene Datenschutzbeauftragte. Geregelt ist dies in kircheneigenen Gesetzen (Anordnung über den kirchlichen Datenschutz der katholischen Kirche, Datenschutzgesetz der Evangelischen Kirche in Deutschland).

Betrieblich[Bearbeiten]

Der Datenschutzbeauftragte in einem privaten Betrieb wirkt auf die Einhaltung der Datenschutzbestimmungen hin (hat jedoch kein Weisungsrecht). Im Rahmen seiner Tätigkeit stellt der Datenschutzbeauftragte den Istzustand des Betriebes dar, die Prüfung erfolgt hier bereits ab Werktor, es wird typischerweise eine Prüfung des Datenschutzes von Außen nach Innen vorgenommen und geprüft, ob die bestehenden Maßnahmen ausreichen oder Verbesserungsmöglichkeiten bestehen. Der Datenschutzbeauftragte zeigt weiter den Istzustand der EDV und des Netzwerkes und prüft, ob hier die Richtlinien eingehalten werden; darüber hinaus spricht der Datenschutzbeauftragte hier auch Empfehlungen zur Verbesserung aus. Für alle Verfahren der Erfassung, Verarbeitung, Übermittlung oder Nutzung von personenbezogenen Daten werden ein Istzustand gezeigt, Vorabkontrollen vorgenommen und mögliche Verbesserungen gezeigt. Hierbei kann es sein, dass auch Handbücher für bestimmte Abläufe erstellt werden. In regelmäßigen Abständen wird der Datenschutzbeauftragte nach eigenem Ermessen prüfen, ob Veränderungen vorgenommen wurden oder ob weitere Optimierungen gegeben sind. Bei Einführung neuer Verfahren ist der Datenschutzbeauftragte hierüber vorab zu informieren und wird ggf. eine Vorabkontrolle vornehmen. Ein wesentliches Augenmerk liegt dabei darauf, dass ausschließlich Befugte eine nur auf den Zweck beschränkte Verarbeitung vornehmen können und dass der Eigentümer der Daten sein Selbstbestimmungsrecht auf Auskunft, Korrektur, Sperrung und Löschung wahrnehmen kann. Außerdem obliegt ihm die Schulung der Mitarbeiter, um sie für die Belange des Datenschutzes zu sensibilisieren. Im Rahmen dieser Arbeit wird der Datenschutzbeauftragte auch typischerweise das Verfahrensverzeichnis und das Verzeichnis Jedermann nach § 4g Abs. 2 BDSG erstellen und regelmäßig aktualisieren. Für die Geschäftsleitung und die Mitarbeiter ist der Datenschutzbeauftragte Ansprechpartner in allen Fragen des Datenschutzes. Der Datenschutzbeauftragte kann darüber hinaus in eigenem Ermessen Termine zur freien Beratung im Betrieb einrichten, damit die Mitarbeiter diesen hier aufsuchen und sich beraten lassen können. Weiter informiert der Datenschutzbeauftragte über mögliche Änderungen im Bereich des BDSG und der aufbauenden Gesetze, wenn diese vom Betrieb zu beachten sind.

Der Datenschutzbeauftragte ist in der Ausübung seiner Fachkunde weisungsfrei und unabhängig von Vorgesetzten. Er darf wegen Erfüllung seiner Aufgaben nicht benachteiligt werden. Der Datenschutzbeauftragte ist direkt der Geschäftsleitung unterstellt, welche auch seine Berichte und Vorabkontrollen erhält.

Mit der Novellierung des Bundesdatenschutzgesetzes (sog. BDSG-Novelle II 2009) wurde der betriebliche Datenschutzbeauftragte mit einem verbesserten Kündigungsschutz ausgestattet, gemäß § 4f Abs. 3 BDSG. Außer wenn Gründe für eine fristlose Entlassung vorliegen, ist die Kündigung des mit dem betrieblichen Datenschutzbeauftragten abgeschlossenen Arbeitsverhältnisses unzulässig. Dieser Kündigungsschutz bleibt auch nach einer Abberufung als betrieblicher Datenschutzbeauftragter für ein weiteres Jahr nach der Beendigung der Bestellung bestehen. Die Bestellung eines internen Datenschutzbeauftragten erfolgt in der Regel auf 5 Jahre, in einigen Bundesländern werden auch 3 Jahre als angemessen angesehen. Eine kürzere Bestellung ist grundsätzlich nicht gegeben, da der interne Datenschutzbeauftragte sonst seine Tätigkeit nicht im angemessenen Umfang ausführen kann. In dieser Zeit ist eine Entlassung des früheren betrieblichen Datenschutzbeauftragten nur bei Vorliegen von Gründen für eine fristlose Kündigung im Sinne des § 626 BGB (Fristlose Kündigung aus wichtigem Grund) gestattet. Die Aufsichtsbehörde kann den bestellten DSB abberufen, wenn er die erforderliche Fachkunde oder Zuverlässigkeit nicht besitzt. Die Bestellung kann durch die Unternehmensleitung widerrufen werden, wenn die Aufsichtsbehörde dies verlangt oder ein wichtiger Grund i. S. v. § 626 BGB gegeben ist.

Fachkunde und Zuverlässigkeit[Bearbeiten]

Zum Datenschutzbeauftragten darf nur bestellt werden, wer die notwendige Fachkunde und Zuverlässigkeit besitzt. Die verantwortliche Stelle ist ausdrücklich verpflichtet (§ 4f Abs. 3 Satz 7, Abs. 2 BDSG), dem betrieblichen Datenschutzbeauftragten für die Erhaltung seiner Fachkunde die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen. Die erforderliche Zuverlässigkeit erfordert, dass kein Interessenkonflikt bei der Wahrnehmung der Funktion besteht. Ein solcher besteht vor allem bei allen Personen, die ein eigenes Interesse am Unternehmen (etwa wegen Beteiligung an seinem Vermögen, wie z. B. Teilhaber oder Gesellschafter) oder Leitungsfunktion haben. Geschäftsführer oder der Abteilungsleiter, vor allem der Personal- oder der IT-Abteilung, scheiden deshalb regelmäßig aus. Auch andere Personen außerhalb des Betriebes können ausscheiden, wie beispielsweise der ständige Steuerberater oder Wirtschaftsprüfer[3] oder ein externer Datenschutzbeauftragter, welcher selbst einem Interessenkonflikt unterliegen könnte, wenn dieser beispielsweise bei der Firma beschäftigt ist, die auch die IT-Lösung oder andere Lösungen für das Unternehmen realisiert hat, und somit hier Interessenkonflikte und die Gefahr der Selbstkontrolle gegeben sind. Die Aufsichtsbehörden können die Fachkunde des Datenschutzbeauftragten prüfen und sich nachweisen lassen und in berechtigten Fällen auch die unwirksame Bestellung feststellen oder den Datenschutzbeauftragten von seiner Bestellung entheben.

In praktisch allen Organisationen, vor allem in privatwirtschaftlichen Unternehmen, können externe Datenschutzbeauftragte bestellt werden. Insbesondere aufgrund von Gesetzänderungen im Strafgesetzbuch und Bundesdatenschutzgesetz 2006, 2008 und 2009 wurde dies ermöglicht, so dass auch Geheimnisträger externe Datenschutzbeauftragte bestellen dürfen. Der Datenschutzbeauftragte ist schriftlich nach den Vorgaben des BDSG zu bestellen.

Die Bestellung eines betrieblichen Datenschutzbeauftragten bereitet oftmals „praktische Schwierigkeiten“ für ein Unternehmen, wie es die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Bettina Sokol in ihrem 17. Datenschutzbericht formulierte: „Grundsätzlich ist die Möglichkeit für die Bestellung externer Beauftragter [...] oft eine praktikable Lösung, da sie häufig selbst nicht über Personal verfügen, das die für Datenschutzbeauftragte erforderliche fachliche Eignung hat.“ Hierfür wurde die Möglichkeit zur Bestellung eines externen Datenschutzbeauftragten geschaffen, welche mittlerweile auch durch die Berufsbezeichnungen „Fachkraft für Datenschutz und Datenschutzbeauftragter“ klar definiert wurde. Im Jahre 1990 hatte das Landgericht Ulm als erstes Gericht in Deutschland über das Berufsbild von Datenschutzbeauftragten zu entscheiden. In seinem in Fachkreisen oft zitierten „Ulmer Urteil“ definierte das Gericht die Tätigkeit des Datenschutzbeauftragten als eigenständigen Beruf und legte Kriterien für die Fachkunde fest.[4]

Ein typischer Datenschutzbeauftragter hat gute Kenntnisse im Bereich IT, er verfügt über hinreichende Kenntnisse des BDSG und kann dieses anwenden, er erfüllt die persönlichen Eignungsanforderungen aus dem Ulmer Urteil. Im Beschluss des Düsseldorfer Kreises, einer Versammlung der obersten Aufsichtsbehörden für den Datenschutz in der Privatwirtschaft[5], vom 24./25. November 2010 werden weitere Anforderungen an die erforderliche Fachkunde definiert.[6]

Die Anforderungen an die Eignung eines Datenschutzbeauftragten richten sich nach dem Betrieb. Je größer ein Betrieb ist oder je komplexer die Datenverarbeitung ist, umso höher können die Anforderungen sein. Der Datenschutzbeauftragte muss in jedem Fall in der Lage sein, den Datenschutz im Betrieb zu prüfen, sonst ist seine Bestellung unwirksam. Ein externer Datenschutzbeauftragter kann aufgrund von Erweiterungen des Strafgesetzbuches auch für Geheimnisträger tätig werden (z. B. Ärzte, Rechtsanwälte, Steuerberater, etc.), da entsprechende Rechte zur Aussageverweigerung und Beschlagnahmeverbot auf diesen ausgeweitet wurden. Fachkundeschulungen für Datenschutzbeauftragte werden unter anderem durch die DEKRA, IHK, TÜV, Fachhochschule Ulm, IQ-Zert und andere durchgeführt. Außer dem ISO-Standard gibt es keine rechtlich verbindlichen Standards, obgleich der Beruf des Datenschutzbeauftragten grundsätzlich eine hohe und umfassende Qualifikation erfordern.

Literatur[Bearbeiten]

  • 2B Advice GmbH / Technische Universität Dortmund (Hrsg.): Studie "Datenschutzpraxis 2012". November 2012. Download (PDF; 2,3 MB)
  • Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (Hrsg.): BfDI-Info 4. Die Datenschutzbeauftragten in Behörde und Betrieb. 8. Auflage. Mai 2010. Download (PDF; 459 kB)
  • Florian Albrecht / Sebastian Dienst, Fach- und Sachkunde der Beauftragten für den Datenschutz. Praktische Hinweise zu § 4f BDSG, JurPC Web-Dok. 19/2011, Abs. 1 - 36[1]
  • Rouven Schwab, Thorsten Ehrhard: Sonderkündigungsschutz für Datenschutzbeauftragte. In: Neue Zeitschrift für Arbeitsrecht 20/2009, S. 1118-1120.
  • Gola/Schomerus, BDSG. Kommentar, 10. Auflage, Verlag C.H.Beck, München, ISBN 978-3-406-59834-0
  • Hilfe - Ich soll Datenschutzbeauftragter werden! Was muss ich können und wissen? Ein Überblick über Anforderungen und Aufgaben (Hrsg.): DATAKONTEXT Download (PDF; 2,8 MB)

Siehe auch[Bearbeiten]

Weblinks[Bearbeiten]

 Wiktionary: Datenschutzbeauftragter – Bedeutungserklärungen, Wortherkunft, Synonyme, Übersetzungen

Einzelnachweise[Bearbeiten]

  1. Der Spiegel 20/1971. Abgerufen am 15. März 2014.
  2. Homepage
  3. Gola/Schomerus, Kommentar zum BDSG, 7. Auflage, zu § 4f, Rdnr. 27
  4. LG Ulm, Urteil vom 31. Oktober 1990, Az. 5 T 153/90-01, Volltext.
  5. Düsseldorfer Kreis. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Abgerufen am 22. Juni 2011.
  6. Mindestanforderungen an die Fachkunde des Düsseldorfer Kreises als .pdf-Datei.. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Abgerufen am 22. Juni 2011.
Rechtshinweis Bitte den Hinweis zu Rechtsthemen beachten!