Datenschutz
19.10.2017
Der Datenschutzbeauftragte
1. Teil: „Jede Firma braucht einen Datenschutz-Profi“

Jede Firma braucht einen Datenschutz-Profi

Autor:
DatenschutzDatenschutzDatenschutz
Shutterstock / Billion Photos
Wer kann Datenschutzbeauftragter werden? Welche Befugnisse hat er? Was muss er beachten? Die DSGVO wirft viele Fragen auf. com! professional zeigt, auf was Unternehmen jetzt achten sollten.
Deutschland hat mit die strengsten Datenschutzgesetze weltweit. Diese Gesetze regeln auch, wie Unternehmen mit Daten umzugehen haben und wann sie einen sogenannten Datenschutzbeauftragten brauchen.
Die meisten Unternehmen sind sich darüber im Klaren, dass sie verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, der über die Einhaltung der Datenschutzgesetze wacht. Doch häufig ist weniger klar, welche konkreten Aufgaben und Pflichten der Datenschutzbeauftragte zu erfüllen hat. Oft wird nur pro forma ein entsprechender Mitarbeiter als Datenschutzwächter abgestellt, um den gesetzlichen Vorgaben Genüge zu tun.

Welche Firmen betroffen sind

So gut wie jedes Unternehmen in Deutschland, das irgendwelche personenbezogenen Daten verarbeitet, braucht einen Datenschutzbeauftragten. Das regelt das Bundesdatenschutzgesetz (BDSG). Es findet für alle Unternehmen Anwendung, die „Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben“ (§1 Abs. 2 Nr. 3).
  • DSGVODSGVODSGVO
     
    Quelle: Varonis
§4f Abs. 1 legt in den oben genannten Fällen fest, „nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen.“ Zu Unternehmen, sogenannten nicht-öffentlichen Stellen, gehören juristische Personen wie GmbHs oder Aktiengesellschaften, Personengesellschaften wie eine GbR oder OHG, nicht rechtsfähige Vereinigungen wie Gewerkschaften sowie natürliche Personen wie Ärzte.
Ausgenommen von der Pflicht eines eigenen Datenschutzbeauftragten sind lediglich kleine Unternehmen, in denen weniger als zehn Personen ständig mit der automatisierten Verarbeitung, Nutzung oder Erhebung personenbezogener Daten beschäftigt sind oder weniger als 20 Mitarbeiter auf andere Weise, etwa manuell, damit befasst sind.

Anforderungen

Grundsätzlich kann jeder Mitarbeiter eines Unternehmens Datenschutzbeauftragter werden. Das Gesetz legt lediglich fest, dass der betreffende Mitarbeiter eine ausreichende Fachkunde und Zuverlässigkeit mitzubringen hat. Fachkunde bedeutet, dass der Mitarbeiter die gesetzlichen Regeln kennt und anwenden kann. Dazu gehören die Grundrechte mit Datenschutzbezug, das Bundesdatenschutzgesetz sowie etwaige einschlägige Regelungen für die Branche, in der ein Unternehmen tätig ist.
Falls dem bestellten Datenschutzbeauftragten diese Kenntnisse fehlen, muss der Arbeitgeber diesem laut BDSG §4f Abs. 3 die Möglichkeit zur Teilnahme an entsprechenden Fortbildungen gewähren: „Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde hat die verantwortliche Stelle dem Beauftragten für den Datenschutz die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen.“
Ebenfalls möglich ist die Bestellung eines externen Datenschutzbeauftragten. Klassischerweise ist das ein Anwalt. Der Vertrag mit ihm sollte so gestaltet sein, dass der Beauftragte seine Aufgaben unabhängig erfüllen kann. Gewährleistet sein müssen unter anderem Haftungsfreistellungen und Dokumentationspflichten.
2. Teil: „Bestellung des Datenschutz-Profis“

Bestellung des Datenschutz-Profis

  • Selbst-CheckSelbst-CheckSelbst-Check
     
    Tipps und Hinweise: Die Landesbeauftragten für den Datenschutz liefern viele Informationen zur Bestellung von Datenschutzbeauftragten. NRW bietet sogar einen Selbst-Check an.
Der Datenschutzbeauftragte wird durch das Unternehmen schriftlich bestellt. Von Gesetzes wegen muss dies innerhalb einer Frist von einem Monat nach Aufnahme der Geschäftstätigkeit geschehen. Ansonsten drohen dem Unternehmen empfindliche Geldbußen von bis zu 50.000 Euro.
Das Bundesarbeitsgericht hat in einer Grundsatzentscheidung bereits im November 1997 festgestellt (AZ 1 ABR 21/97), dass der betriebliche Datenschutzbeauftagte der Arbeitgeberseite zuzuordnen ist. Die Unternehmensleitung muss aus diesem Grund einen eventuell vorhandenen Betriebsrat bei der Bestellung des Datenschutzbeauftragten nicht miteinbeziehen.

Befugnisse des Beauftragten

Der Datenschutzbeauftragte darf für die ordnungsgemäße Wahrnehmung seiner Tätigkeit nicht den Abteilungen unterstehen, die er gleichzeitig zu kontrollieren hat. Daher legt das Bundesdatenschutzgesetz in §4f Abs. 3 fest, dass der Beauftragte für den Datenschutz der Leitung unmittelbar zu unterstellen ist. Hierfür bietet sich die Schaffung einer Stabsstelle an, die der Geschäftsführung oder dem Vorstand untersteht. Das Gesetz legt auch fest, dass der Beauftragte in Ausübung seiner Datenschutztätigkeit weisungsfrei ist.
Zudem stärkt ein besonderer Kündigungsschutz die Aufgaben des Datenschutzbeauftragten: Eine Kündigung ist nur zulässig, wenn Gründe für eine fristlose Kündigung vorliegen, etwa Betrug oder Arbeitsverweigerung. Hinzu kommt ein Kündigungsschutz für den Zeitraum eines Jahres nach Beendigung der Arbeit als Datenschutzbeauftragter.

Vielfältige Aufgaben

Einen wesentlichen Teil der Arbeit des Datenschutzbeauftragten ist die Kontrolle der Einhaltung gesetzlicher Vorgaben: Gemäß §4g des Bundesdatenschutzgesetzes sorgt der Beauftragte für Datenschutz für die Einhaltung der Gesetze und Vorschriften für den Datenschutz im Unternehmen. Die vorrangige Aufgabe ist dabei die Beratung der entsprechenden Abteilungen. Dabei steht es dem Beauftragten frei, wann und in welcher Form er entsprechende Kontrollen durchführt. Neben dem Nachgehen von Beschwerden, die Anlass für eine gezielte Kontrolle sind, müssen auch regelmäßige Kontrollen stattfinden. Hierzu sollte ein Unternehmen dem Datenschutzbeauftragten unter anderem nicht nur Zugang zum Rechenzentrum gewähren, sondern auch alle Unterlagen zur Verfügung stellen, die mit der Verarbeitung personenbezogener Daten in Zusammenhang stehen.
Eine besondere Aufgabe des Datenschutzbeauftragten ist die sogenannte Vorabkontrolle. §4d Abs. 5 des Bundesdatenschutzgesetzes regelt, wann eine solche Vorabkontrolle notwendig ist: „Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle).“ Das ist zum Beispiel dann der Fall, wenn die Verarbeitung der personenbezogenen Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten, etwa seine Fähigkeiten oder sein Verhalten. Die Vorabkon­trolle prüft bereits vor Beginn der Datenverarbeitung, ob die geplante Verarbeitung der personenbezogenen Daten rechtlich gedeckt ist. Zudem sind auch die Risikofaktoren für einen Missbrauch der Daten zu ermitteln.
Die IT-Abteilung sollte darüber hinaus bereits bei der Planung neuer Systeme auf die Expertise des Datenschutzverantwortlichen zurückgreifen und ihn bei der Beschaffung von Hard- und Software beratend hinzuziehen. So kann dieser sicherstellen, dass bei der Auswahl der Systeme darauf geachtet wird, dass so wenig personenbezogene Daten wie möglich erhoben werden.
Personenbezogene Daten
Die Pflicht zur Bestellung eines Datenschutzbeauftragten hängt davon ab, ob personenbezogene Daten verarbeitet werden. Was genau sind personenbezogene Daten?
Nach §3 Abs. 1 des Bundesdatenschutzgesetzes sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse natürlicher Personen. Zu den Einzelangaben zählen zum Beispiel:
  • Name, Alter und Geburtsdatum
  • Anschrift, Telefonnummer und E-Mail-Adresse
  • Bankdaten wie Konto- und Kreditkartennummern
  • Personalausweis- und Sozialversicherungsnummer
  • Daten zu Kraftfahrzeugen oder Vorstrafen, Krankendaten oder Werturteile wie Zeugnisse
Zu den persönlichen Daten zählen nicht nur Kundendaten, sondern auch Personaldaten von Mitarbeitern. Dabei spielt es keine Rolle, in welcher Form diese Daten vorliegen – digital in Datenbanken oder als analoge Fotos.
Um Angaben über eine bestimmte Person handelt es sich dann, wenn die Daten mit dem Namen dieser Person ver­bunden sind oder sich aus dem Inhalt beziehungsweise dem Zusammenhang der Bezug unmittelbar herstellen lässt.
Tabelle öffnen
3. Teil: „Änderungen mit der EU-DSGVO“

Änderungen mit der EU-DSGVO

Im Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft, die das geltende Datenschutzrecht in Europa reformieren und vereinheitlichen soll. Laut einer Studie des Software-Anbieters Varonis sind deutsche Unternehmen auf die neuen Vorgaben nicht vorbereitet – ganze 81 Prozent der Unternehmen zweifeln an der fristgerechten Einführung in ihrer Firma. Gleichzeitig betrachten 58 Prozent die Umsetzung nicht als Priorität. Doch laut Art. 35 und 37 der DSGVO gibt es erstmals auch europaweit eine Pflicht zur Bestellung eines Datenschutzbeauftragten.
Art. 37 Abs. 4 ermöglicht es den EU-Mitgliedstaaten, die Voraussetzungen für einen Datenschutzbeauftragten weiter zu konkretisieren. Der deutsche Gesetzgeber hat davon Gebrauch gemacht und §38 des Bundesdatenschutzgesetzes angepasst und erweitert. Der Inhalt entspricht zwar weitgehend §4f des Bundesdatenschutzgesetzes, es findet sich in §38 aber ein Verweis auf die europaweite Datenschutz-Grundverordnung. In Deutschland ändert sich in Bezug auf den Datenschutzbeauftragten daher eigentlich nicht viel: Nach §38 des BDSG besteht auch weiterhin die Pflicht zur Benennung eines Datenschutzbeauftragten, wenn mehr als neun Mitarbeiter ständig mit der automatisierten Datenverarbeitung beschäftigt sind.
Neu hingegen ist die sogenannte Datenschutz-Folgenabschätzung laut Art. 35 der DSGVO. Wenn ein Unternehmen Daten verarbeitet, die einer solchen Folgenabschätzung unterliegen, dann ist unabhängig von der Zahl der damit beschäftigten Mitarbeiter ein Datenschutzbeauftragter zu bestellen. Diese Datenschutz-Folgenabschätzung ist im Grunde aber nichts anderes als die im BDSG festgelegte Vorabkontrolle.
Interessenkonflikte vermeiden
Wenn ein Datenschutzbeauftragter die Aufgabe nicht hauptamtlich wahrnimmt, dann sollte darauf geachtet werden, dass der Beauftragte in keinen Interessenkonflikt gerät.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat vergangenen Herbst gegen ein Unternehmen mit Sitz in Bayern ein Bußgeld verhängt, weil dieses seinen IT-Manager als Datenschutzbeauftragten bestellt hatte. Laut BayLDA darf ein Datenschutzbeauftragter eines Unternehmens „daneben nicht noch für solche Aufgaben zuständig sein, die die Gefahr von Interessenkonflikten mit seiner Funktion als Datenschutzbeauftragter mit sich bringen können“. Im konkreten Fall sahen die bayerischen Datenschutzhüter eine solche Interessenkollision, weil eine derart exponierte Position wie die eines IT-Managers im Hinblick auf die Datenverarbeitungsprozesse im Unternehmen in der Regel unvereinbar sei mit der des Datenschutzbeauftragten – „dies liefe letztlich auf eine Datenschutzkontrolle eines der maßgeblichen zu kontrollierenden Funktionsträger im Unternehmen durch sich selbst hinaus.“
Unternehmen sollten zudem beachten, dass auch Mitarbeiter der Personalabteilung nicht für die zusätzliche Aufgabe des Datenschutzbeauftagten infrage kommen. Der Grund: Eine Beschäftigung im Personalbereich ist mit Entscheidungen über Einstellungen, Einstufungen, Beförderungen oder Entlassungen verbunden. Die gleichzeitige Wahrnehmung des Amts eines Datenschutzbeauftragten ist damit üblicherweise ausgeschlossen.
Tabelle öffnen

mehr zum Thema

Bad News

Game macht Fake News spielerisch erkennbar

Wissenschaftler der Universität Uppsala haben ihr Online-Spiel "Bad News" erfolgreich an 516 Schülern getestet. Es soll helfen, manipulative Techniken in Social-Media-Posts zu erkennen. >>
Huawei Roadshow 2024

Technologie auf Rädern - der Show-Truck von Huawei ist unterwegs

Die Huawei Europe Enterprise Roadshow läuft dieses Jahr unter dem Thema "Digital & Green: Accelerate Industrial Intelligence". Im Show-Truck zeigt das Unternehmen neueste Produkte und Lösungen. Ziel ist es, Kunden und Partner zusammenzubringen. >>
Tools

GitLab Duo Chat mit KI-Chat-Unterstützung

Der DevSecOps-Plattform-Anbieter GitLab führt den GitLab Duo Chat ein. Dieses Tool integriert Künstliche Intelligenz in die DevSecOps-Workflows. >>
Forschung

KI macht Gebärdensprache zugänglicher

Fingeralphabet
Ein KI-Tool der Universität Leiden für "Wörterbücher" erkennt Positionen und Bewegungen der Hände bei der Darstellung unterschiedlicher Gebärdensprachen. >>