19.10.2017
Der Datenschutzbeauftragte
1. Teil: „Jede Firma braucht einen Datenschutz-Profi“
Jede Firma braucht einen Datenschutz-Profi
Autor: Konstantin Pfliegl
Shutterstock / Billion Photos
Wer kann Datenschutzbeauftragter werden? Welche Befugnisse hat er? Was muss er beachten? Die DSGVO wirft viele Fragen auf. com! professional zeigt, auf was Unternehmen jetzt achten sollten.
Deutschland hat mit die strengsten Datenschutzgesetze weltweit. Diese Gesetze regeln auch, wie Unternehmen mit Daten umzugehen haben und wann sie einen sogenannten Datenschutzbeauftragten brauchen.
Die meisten Unternehmen sind sich darüber im Klaren, dass sie verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, der über die Einhaltung der Datenschutzgesetze wacht. Doch häufig ist weniger klar, welche konkreten Aufgaben und Pflichten der Datenschutzbeauftragte zu erfüllen hat. Oft wird nur pro forma ein entsprechender Mitarbeiter als Datenschutzwächter abgestellt, um den gesetzlichen Vorgaben Genüge zu tun.
Welche Firmen betroffen sind
So gut wie jedes Unternehmen in Deutschland, das irgendwelche personenbezogenen Daten verarbeitet, braucht einen Datenschutzbeauftragten. Das regelt das Bundesdatenschutzgesetz (BDSG). Es findet für alle Unternehmen Anwendung, die „Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben“ (§1 Abs. 2 Nr. 3).
Ausgenommen von der Pflicht eines eigenen Datenschutzbeauftragten sind lediglich kleine Unternehmen, in denen weniger als zehn Personen ständig mit der automatisierten Verarbeitung, Nutzung oder Erhebung personenbezogener Daten beschäftigt sind oder weniger als 20 Mitarbeiter auf andere Weise, etwa manuell, damit befasst sind.
Anforderungen
Grundsätzlich kann jeder Mitarbeiter eines Unternehmens Datenschutzbeauftragter werden. Das Gesetz legt lediglich fest, dass der betreffende Mitarbeiter eine ausreichende Fachkunde und Zuverlässigkeit mitzubringen hat. Fachkunde bedeutet, dass der Mitarbeiter die gesetzlichen Regeln kennt und anwenden kann. Dazu gehören die Grundrechte mit Datenschutzbezug, das Bundesdatenschutzgesetz sowie etwaige einschlägige Regelungen für die Branche, in der ein Unternehmen tätig ist.
Falls dem bestellten Datenschutzbeauftragten diese Kenntnisse fehlen, muss der Arbeitgeber diesem laut BDSG §4f Abs. 3 die Möglichkeit zur Teilnahme an entsprechenden Fortbildungen gewähren: „Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde hat die verantwortliche Stelle dem Beauftragten für den Datenschutz die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen.“
Ebenfalls möglich ist die Bestellung eines externen Datenschutzbeauftragten. Klassischerweise ist das ein Anwalt. Der Vertrag mit ihm sollte so gestaltet sein, dass der Beauftragte seine Aufgaben unabhängig erfüllen kann. Gewährleistet sein müssen unter anderem Haftungsfreistellungen und Dokumentationspflichten.
2. Teil: „Bestellung des Datenschutz-Profis“
Bestellung des Datenschutz-Profis
Datenschutzbeauftragte wird durch das Unternehmen schriftlich bestellt. Von Gesetzes wegen muss dies innerhalb einer Frist von einem Monat nach Aufnahme der Geschäftstätigkeit geschehen. Ansonsten drohen dem Unternehmen empfindliche Geldbußen von bis zu 50.000 Euro.
Der Das Bundesarbeitsgericht hat in einer Grundsatzentscheidung bereits im November 1997 festgestellt (AZ 1 ABR 21/97), dass der betriebliche Datenschutzbeauftagte der Arbeitgeberseite zuzuordnen ist. Die Unternehmensleitung muss aus diesem Grund einen eventuell vorhandenen Betriebsrat bei der Bestellung des Datenschutzbeauftragten nicht miteinbeziehen.
Befugnisse des Beauftragten
Der Datenschutzbeauftragte darf für die ordnungsgemäße Wahrnehmung seiner Tätigkeit nicht den Abteilungen unterstehen, die er gleichzeitig zu kontrollieren hat. Daher legt das Bundesdatenschutzgesetz in §4f Abs. 3 fest, dass der Beauftragte für den Datenschutz der Leitung unmittelbar zu unterstellen ist. Hierfür bietet sich die Schaffung einer Stabsstelle an, die der Geschäftsführung oder dem Vorstand untersteht. Das Gesetz legt auch fest, dass der Beauftragte in Ausübung seiner Datenschutztätigkeit weisungsfrei ist.
Zudem stärkt ein besonderer Kündigungsschutz die Aufgaben des Datenschutzbeauftragten: Eine Kündigung ist nur zulässig, wenn Gründe für eine fristlose Kündigung vorliegen, etwa Betrug oder Arbeitsverweigerung. Hinzu kommt ein Kündigungsschutz für den Zeitraum eines Jahres nach Beendigung der Arbeit als Datenschutzbeauftragter.
Vielfältige Aufgaben
Einen wesentlichen Teil der Arbeit des Datenschutzbeauftragten ist die Kontrolle der Einhaltung gesetzlicher Vorgaben: Gemäß §4g des Bundesdatenschutzgesetzes sorgt der Beauftragte für Datenschutz für die Einhaltung der Gesetze und Vorschriften für den Datenschutz im Unternehmen. Die vorrangige Aufgabe ist dabei die Beratung der entsprechenden Abteilungen. Dabei steht es dem Beauftragten frei, wann und in welcher Form er entsprechende Kontrollen durchführt. Neben dem Nachgehen von Beschwerden, die Anlass für eine gezielte Kontrolle sind, müssen auch regelmäßige Kontrollen stattfinden. Hierzu sollte ein Unternehmen dem Datenschutzbeauftragten unter anderem nicht nur Zugang zum Rechenzentrum gewähren, sondern auch alle Unterlagen zur Verfügung stellen, die mit der Verarbeitung personenbezogener Daten in Zusammenhang stehen.
Eine besondere Aufgabe des Datenschutzbeauftragten ist die sogenannte Vorabkontrolle. §4d Abs. 5 des Bundesdatenschutzgesetzes regelt, wann eine solche Vorabkontrolle notwendig ist: „Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle).“ Das ist zum Beispiel dann der Fall, wenn die Verarbeitung der personenbezogenen Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten, etwa seine Fähigkeiten oder sein Verhalten. Die Vorabkontrolle prüft bereits vor Beginn der Datenverarbeitung, ob die geplante Verarbeitung der personenbezogenen Daten rechtlich gedeckt ist. Zudem sind auch die Risikofaktoren für einen Missbrauch der Daten zu ermitteln.
Die IT-Abteilung sollte darüber hinaus bereits bei der Planung neuer Systeme auf die Expertise des Datenschutzverantwortlichen zurückgreifen und ihn bei der Beschaffung von Hard- und Software beratend hinzuziehen. So kann dieser sicherstellen, dass bei der Auswahl der Systeme darauf geachtet wird, dass so wenig personenbezogene Daten wie möglich erhoben werden.
3. Teil: „Änderungen mit der EU-DSGVO“
Änderungen mit der EU-DSGVO
Im Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft, die das geltende Datenschutzrecht in Europa reformieren und vereinheitlichen soll. Laut einer Studie des Software-Anbieters Varonis sind deutsche Unternehmen auf die neuen Vorgaben nicht vorbereitet – ganze 81 Prozent der Unternehmen zweifeln an der fristgerechten Einführung in ihrer Firma. Gleichzeitig betrachten 58 Prozent die Umsetzung nicht als Priorität. Doch laut Art. 35 und 37 der DSGVO gibt es erstmals auch europaweit eine Pflicht zur Bestellung eines Datenschutzbeauftragten.
Art. 37 Abs. 4 ermöglicht es den EU-Mitgliedstaaten, die Voraussetzungen für einen Datenschutzbeauftragten weiter zu konkretisieren. Der deutsche Gesetzgeber hat davon Gebrauch gemacht und §38 des Bundesdatenschutzgesetzes angepasst und erweitert. Der Inhalt entspricht zwar weitgehend §4f des Bundesdatenschutzgesetzes, es findet sich in §38 aber ein Verweis auf die europaweite Datenschutz-Grundverordnung. In Deutschland ändert sich in Bezug auf den Datenschutzbeauftragten daher eigentlich nicht viel: Nach §38 des BDSG besteht auch weiterhin die Pflicht zur Benennung eines Datenschutzbeauftragten, wenn mehr als neun Mitarbeiter ständig mit der automatisierten Datenverarbeitung beschäftigt sind.
Neu hingegen ist die sogenannte Datenschutz-Folgenabschätzung laut Art. 35 der DSGVO. Wenn ein Unternehmen Daten verarbeitet, die einer solchen Folgenabschätzung unterliegen, dann ist unabhängig von der Zahl der damit beschäftigten Mitarbeiter ein Datenschutzbeauftragter zu bestellen. Diese Datenschutz-Folgenabschätzung ist im Grunde aber nichts anderes als die im BDSG festgelegte Vorabkontrolle.
Bad News
Game macht Fake News spielerisch erkennbar
Wissenschaftler der Universität Uppsala haben ihr Online-Spiel "Bad News" erfolgreich an 516 Schülern getestet. Es soll helfen, manipulative Techniken in Social-Media-Posts zu erkennen.
>>
Huawei Roadshow 2024
Technologie auf Rädern - der Show-Truck von Huawei ist unterwegs
Die Huawei Europe Enterprise Roadshow läuft dieses Jahr unter dem Thema "Digital & Green: Accelerate Industrial Intelligence". Im Show-Truck zeigt das Unternehmen neueste Produkte und Lösungen. Ziel ist es, Kunden und Partner zusammenzubringen.
>>
Tools
GitLab Duo Chat mit KI-Chat-Unterstützung
Der DevSecOps-Plattform-Anbieter GitLab führt den GitLab Duo Chat ein. Dieses Tool integriert Künstliche Intelligenz in die DevSecOps-Workflows.
>>
Forschung
KI macht Gebärdensprache zugänglicher
Ein KI-Tool der Universität Leiden für "Wörterbücher" erkennt Positionen und Bewegungen der Hände bei der Darstellung unterschiedlicher Gebärdensprachen.
>>