19.10.2017
Der Datenschutzbeauftragte
1. Teil: „Jede Firma braucht einen Datenschutz-Profi“
Jede Firma braucht einen Datenschutz-Profi
Autor: Konstantin Pfliegl
Shutterstock / Billion Photos
Wer kann Datenschutzbeauftragter werden? Welche Befugnisse hat er? Was muss er beachten? Die DSGVO wirft viele Fragen auf. com! professional zeigt, auf was Unternehmen jetzt achten sollten.
Deutschland hat mit die strengsten Datenschutzgesetze weltweit. Diese Gesetze regeln auch, wie Unternehmen mit Daten umzugehen haben und wann sie einen sogenannten Datenschutzbeauftragten brauchen.
Die meisten Unternehmen sind sich darüber im Klaren, dass sie verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, der über die Einhaltung der Datenschutzgesetze wacht. Doch häufig ist weniger klar, welche konkreten Aufgaben und Pflichten der Datenschutzbeauftragte zu erfüllen hat. Oft wird nur pro forma ein entsprechender Mitarbeiter als Datenschutzwächter abgestellt, um den gesetzlichen Vorgaben Genüge zu tun.
Welche Firmen betroffen sind
So gut wie jedes Unternehmen in Deutschland, das irgendwelche personenbezogenen Daten verarbeitet, braucht einen Datenschutzbeauftragten. Das regelt das Bundesdatenschutzgesetz (BDSG). Es findet für alle Unternehmen Anwendung, die „Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben“ (§1 Abs. 2 Nr. 3).
Ausgenommen von der Pflicht eines eigenen Datenschutzbeauftragten sind lediglich kleine Unternehmen, in denen weniger als zehn Personen ständig mit der automatisierten Verarbeitung, Nutzung oder Erhebung personenbezogener Daten beschäftigt sind oder weniger als 20 Mitarbeiter auf andere Weise, etwa manuell, damit befasst sind.
Anforderungen
Grundsätzlich kann jeder Mitarbeiter eines Unternehmens Datenschutzbeauftragter werden. Das Gesetz legt lediglich fest, dass der betreffende Mitarbeiter eine ausreichende Fachkunde und Zuverlässigkeit mitzubringen hat. Fachkunde bedeutet, dass der Mitarbeiter die gesetzlichen Regeln kennt und anwenden kann. Dazu gehören die Grundrechte mit Datenschutzbezug, das Bundesdatenschutzgesetz sowie etwaige einschlägige Regelungen für die Branche, in der ein Unternehmen tätig ist.
Falls dem bestellten Datenschutzbeauftragten diese Kenntnisse fehlen, muss der Arbeitgeber diesem laut BDSG §4f Abs. 3 die Möglichkeit zur Teilnahme an entsprechenden Fortbildungen gewähren: „Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde hat die verantwortliche Stelle dem Beauftragten für den Datenschutz die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen.“
Ebenfalls möglich ist die Bestellung eines externen Datenschutzbeauftragten. Klassischerweise ist das ein Anwalt. Der Vertrag mit ihm sollte so gestaltet sein, dass der Beauftragte seine Aufgaben unabhängig erfüllen kann. Gewährleistet sein müssen unter anderem Haftungsfreistellungen und Dokumentationspflichten.
2. Teil: „Bestellung des Datenschutz-Profis“
Bestellung des Datenschutz-Profis
Datenschutzbeauftragte wird durch das Unternehmen schriftlich bestellt. Von Gesetzes wegen muss dies innerhalb einer Frist von einem Monat nach Aufnahme der Geschäftstätigkeit geschehen. Ansonsten drohen dem Unternehmen empfindliche Geldbußen von bis zu 50.000 Euro.
Der Das Bundesarbeitsgericht hat in einer Grundsatzentscheidung bereits im November 1997 festgestellt (AZ 1 ABR 21/97), dass der betriebliche Datenschutzbeauftagte der Arbeitgeberseite zuzuordnen ist. Die Unternehmensleitung muss aus diesem Grund einen eventuell vorhandenen Betriebsrat bei der Bestellung des Datenschutzbeauftragten nicht miteinbeziehen.
Befugnisse des Beauftragten
Der Datenschutzbeauftragte darf für die ordnungsgemäße Wahrnehmung seiner Tätigkeit nicht den Abteilungen unterstehen, die er gleichzeitig zu kontrollieren hat. Daher legt das Bundesdatenschutzgesetz in §4f Abs. 3 fest, dass der Beauftragte für den Datenschutz der Leitung unmittelbar zu unterstellen ist. Hierfür bietet sich die Schaffung einer Stabsstelle an, die der Geschäftsführung oder dem Vorstand untersteht. Das Gesetz legt auch fest, dass der Beauftragte in Ausübung seiner Datenschutztätigkeit weisungsfrei ist.
Zudem stärkt ein besonderer Kündigungsschutz die Aufgaben des Datenschutzbeauftragten: Eine Kündigung ist nur zulässig, wenn Gründe für eine fristlose Kündigung vorliegen, etwa Betrug oder Arbeitsverweigerung. Hinzu kommt ein Kündigungsschutz für den Zeitraum eines Jahres nach Beendigung der Arbeit als Datenschutzbeauftragter.
Vielfältige Aufgaben
Einen wesentlichen Teil der Arbeit des Datenschutzbeauftragten ist die Kontrolle der Einhaltung gesetzlicher Vorgaben: Gemäß §4g des Bundesdatenschutzgesetzes sorgt der Beauftragte für Datenschutz für die Einhaltung der Gesetze und Vorschriften für den Datenschutz im Unternehmen. Die vorrangige Aufgabe ist dabei die Beratung der entsprechenden Abteilungen. Dabei steht es dem Beauftragten frei, wann und in welcher Form er entsprechende Kontrollen durchführt. Neben dem Nachgehen von Beschwerden, die Anlass für eine gezielte Kontrolle sind, müssen auch regelmäßige Kontrollen stattfinden. Hierzu sollte ein Unternehmen dem Datenschutzbeauftragten unter anderem nicht nur Zugang zum Rechenzentrum gewähren, sondern auch alle Unterlagen zur Verfügung stellen, die mit der Verarbeitung personenbezogener Daten in Zusammenhang stehen.
Eine besondere Aufgabe des Datenschutzbeauftragten ist die sogenannte Vorabkontrolle. §4d Abs. 5 des Bundesdatenschutzgesetzes regelt, wann eine solche Vorabkontrolle notwendig ist: „Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle).“ Das ist zum Beispiel dann der Fall, wenn die Verarbeitung der personenbezogenen Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten, etwa seine Fähigkeiten oder sein Verhalten. Die Vorabkontrolle prüft bereits vor Beginn der Datenverarbeitung, ob die geplante Verarbeitung der personenbezogenen Daten rechtlich gedeckt ist. Zudem sind auch die Risikofaktoren für einen Missbrauch der Daten zu ermitteln.
Die IT-Abteilung sollte darüber hinaus bereits bei der Planung neuer Systeme auf die Expertise des Datenschutzverantwortlichen zurückgreifen und ihn bei der Beschaffung von Hard- und Software beratend hinzuziehen. So kann dieser sicherstellen, dass bei der Auswahl der Systeme darauf geachtet wird, dass so wenig personenbezogene Daten wie möglich erhoben werden.
3. Teil: „Änderungen mit der EU-DSGVO“
Änderungen mit der EU-DSGVO
Im Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft, die das geltende Datenschutzrecht in Europa reformieren und vereinheitlichen soll. Laut einer Studie des Software-Anbieters Varonis sind deutsche Unternehmen auf die neuen Vorgaben nicht vorbereitet – ganze 81 Prozent der Unternehmen zweifeln an der fristgerechten Einführung in ihrer Firma. Gleichzeitig betrachten 58 Prozent die Umsetzung nicht als Priorität. Doch laut Art. 35 und 37 der DSGVO gibt es erstmals auch europaweit eine Pflicht zur Bestellung eines Datenschutzbeauftragten.
Art. 37 Abs. 4 ermöglicht es den EU-Mitgliedstaaten, die Voraussetzungen für einen Datenschutzbeauftragten weiter zu konkretisieren. Der deutsche Gesetzgeber hat davon Gebrauch gemacht und §38 des Bundesdatenschutzgesetzes angepasst und erweitert. Der Inhalt entspricht zwar weitgehend §4f des Bundesdatenschutzgesetzes, es findet sich in §38 aber ein Verweis auf die europaweite Datenschutz-Grundverordnung. In Deutschland ändert sich in Bezug auf den Datenschutzbeauftragten daher eigentlich nicht viel: Nach §38 des BDSG besteht auch weiterhin die Pflicht zur Benennung eines Datenschutzbeauftragten, wenn mehr als neun Mitarbeiter ständig mit der automatisierten Datenverarbeitung beschäftigt sind.
Neu hingegen ist die sogenannte Datenschutz-Folgenabschätzung laut Art. 35 der DSGVO. Wenn ein Unternehmen Daten verarbeitet, die einer solchen Folgenabschätzung unterliegen, dann ist unabhängig von der Zahl der damit beschäftigten Mitarbeiter ein Datenschutzbeauftragter zu bestellen. Diese Datenschutz-Folgenabschätzung ist im Grunde aber nichts anderes als die im BDSG festgelegte Vorabkontrolle.
Sponsored Post
Amazon Connect und GenAI – Superpower für den Kundenservice
Unternehmen benötigen Cloud-, Digital- und KI-Technologien, um die Customer Experience (CX) zu optimieren. SoftwareOne und AWS helfen Unternehmen, Kunden proaktiv individuell zugeschnittene Erlebnisse zu bieten. So wächst die Kundenbindung über alle Kanäle hinweg und fördert gleichzeitig die Leistungsfähigkeit und das Engagement der Mitarbeiter.
>>
Übersetzungshilfen
Cleverer Dolmetscher - so hilft das Web beim Übersetzen
Mit Deutsch allein bleibt der grösste Teil des Internets unverständlich. Glücklicherweise gibt es in jedem Browser Übersetzungswerkzeuge. Wir zeigen Ihnen, wie Sie in Firefox, Chrome und Safari Websites einfach übersetzen.
>>
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Personen
Nfon CCO Gernot Hofstetter tritt zurück
Gernot Hofstetter war sechs Jahre beim Münchner Cloud-PBX-Anbieter Nfon, zuletzt als Chief Commercial Officer. Nun hat er das Unternehmen verlassen und ist zum Start-up Stealth Mode gewechselt.
>>