Datenschutzbeauftragter

Die meisten Unternehmen wissen, dass Sie verpflichtet sind, einen Datenschutzbeauftragten (DSB) zu bestellen. Oft ist den Unternehmen jedoch unklar, welche Aufgaben und Pflichten mit dieser Stellung verbunden sind.

Aufgaben des Datenschutzbeauftragten

Der § 4g Abs. 1, Satz 1 BDSG bestimmt, dass der DSB auf die Einhaltung des Bundesdatenschutzgesetzes (BDSG) und anderer Vorschriften zum Datenschutz hinwirken muss.

Der DSB kann auf die Einhaltung des BDSG (und anderer Vorschriften) lediglich hinwirken, weil er die Umsetzung der datenschutzrechtlichen Vorschriften im Unternehmen selbst nicht vornehmen kann. Der DSB kontrolliert den Stand des Datenschutzniveaus und schlägt der Geschäftsführung oder den betroffenen Abteilungen im Unternehmen Verbesserungen der implementierten Verfahren vor. Auch kann er der Geschäftsführung eine eigene Datenschutzorganisation nahelegen. Nach § 4f Abs., Satz 1 BDSG hat der DSB also keine Entscheidungsbefugnis, ist aber organisatorisch der Geschäftsführung direkt unterstellt.

Hauptsächlich überwacht der DSB die Datenverarbeitungsprogramme und die dazugehörenden Verfahren. Mitarbeiterschulungen und Vorabkontrollen gehören ebenso zu seinem Aufgabengebiet. Mit diesen Maßnahmen wird bereits im Vorfeld vermieden, dass es zu Datenverstößen kommen kann.

Wann ist ein Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet

Laut § 4f Abs. 1, Satz 1 BDSG besteht die Verpflichtung zur Bestellung eines DSB besteht, wenn

  • bei einem automatisierten Verfahren mindestens 10 Personen (inklusive der Geschäftsleitung, es handelt sich also nicht, wie vielfach angenommen, lediglich um Mitarbeiter) ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind, oder
  • bei einer nicht automatisierten Datenverarbeitung mindestens 20 Personen (inklusive der Geschäftsleitung) mit der Erhebung, Verarbeitung oder Nutzung beschäftigt sind.

Unabhängig von der Anzahl der Personen, die mit der Datenverarbeitung beschäftigt sind, beschreibt das BDSG weitere Fälle, in denen ein DSB zu bestellen ist. Dies trifft auf Auskunfteien, Adressverlage und Markt- und Meinungsforschungsinstitute zu, allerdings auch auf Unternehmen, die besondere sensitive Daten verarbeiten (z.B. Gesundheitsdaten).

Bestellung zum Datenschutzbeauftragten?

Die Bestellung zum DSB muss gemäß § 4f Abs. 1, Satz 1 BDSG schriftlich erfolgen. Nicht-öffentliche Stellen müssen dies spätestens nach einem Monat der Tätigkeit durchführen. Hat ein Unternehmenskonzern verschiedene Tochtergesellschaften, muss für jedes einzelne Unternehmen ein DSB bestellt werden.

Voraussetzungen für einen Datenschutzbeauftragten

Der DSB muss bestimmte Voraussetzungen erfüllen. Zum einen muss er die notwendigen Fachkunde besitzen und nachweisen können. Dies können Zertifikate sein, aber auch dokumentierte Projektarbeiten, die die entsprechende Fachkunde eindeutig belegen. Mit Fachkunde sind rechtliche, organisatorische und technische Kenntnisse gemeint. Daneben muss der DSB auch die zur Erfüllung seiner Aufgaben erforderliche Zuverlässigkeit besitzen. Ein durch eine persönliche Unzuverlässigkeit aufgefallener Mitarbeiter kann kann also nicht zum DSB bestellt werden. Mit dieser Regelung will der Gesetzgeber verhindern, dass für andere Tätigkeiten ungeeignete Mitarbeiter auf die Stelle eines DSB „abgeschoben“ werden.

Weiterhin muss es eine klare Trennung zwischen der verantwortlichen Stelle und dem Beauftragten geben, denn sonst können Interessenskonflikte auftreten. Aus diesem Grund kann auch der IT-Leiter oder die Geschäftsführung die Aufgaben eines DSB nicht übernehmen.

Interner oder externer Datenschutzbeauftragter?

Ob Sie einen internen oder externen DSB einsetzen, bleibt Ihnen überlassen. Der interne DSB hat wahrscheinlich den genaueren Blick auf die Geschäftsabläufe und kennt die verantwortlichen Personen besser. Andererseits kann dies auch ein Nachteil sein. Der externe DSB schaut sich das Unternehmen von außen und wesentlich objektiver an. Zudem hat die Bestellung eines externen DSB den Vorteil, dass der besondere Kündigungsschutz (eines internen DSB) nicht angewendet werden kann.

Quelle: Gola/Schomerus, Bundesdatenschutzgesetz Kommentar, 9. Auflage, ISBN 978-3-404-555442