Betrieblicher, interner und externer Datenschutzbeauftragter

screening 02
Fachbeitrag

Die meisten Unternehmen wissen, dass Sie verpflichtet sind, einen Datenschutzbeauftragten zu bestellen. Doch welche konkreten Pflichten und Aufgaben mit dieser Stellung verbunden sind, ist vielen Unternehmen und selbst den betroffenen Datenschutzbeauftragten oft unklar.

Welche Aufgaben hat der Datenschutzbeauftragte?

§4g I 1 BDSG bestimmt, dass der Datenschutzbeauftragte auf die Einhaltung des BDSG und anderer Vorschriften zum Datenschutz hinwirkt.

Hinwirken deshalb, weil der Datenschutzbeauftragte die Umsetzung der datenschutzrechtlichen Vorschriften nicht selbst vornehmen kann. Im Idealfall analysiert und kontrolliert er den Stand des Datenschutzniveaus im Unternehmen und macht der Geschäftsführung und den einzelnen Abteilungen Vorschläge zur Verbesserung oder Implementierung einer Datenschutzorganisation im Unternehmen. Der Datenschutzbeauftragte selbst hat also keine Entscheidungsgewalt sondern ist organisatorisch gemäß §4f III 1 BDSG der Geschäftsleitung unterstellt.

Der Schwerpunkt der Tätigkeit des Datenschutzbeauftragten liegt in der Überwachung der Datenverarbeitungsprogramme und dem Einsatz präventiver Maßnahmen (wie z.B. Schulungen und Vorabkontrollen). Ziel ist es, Datenschutzverstöße dadurch bereits im Vorfeld zu vermeiden.

Wann ist ein Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet?

Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht in der Regel wenn

  • bei einem automatisierten Verfahren mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind oder
  • bei einer nicht automatisierten Datenverarbeitung mindestens 20 Personen mit der Erhebung, Verarbeitung oder Nutzung beschäftigt sind.

Unabhängig von der Anzahl der mit der Datenverarbeitung beschäftigten Personen sieht das BDSG noch eine Reihe weiterer Fälle vor, in denen ein Datenschutzbeauftragter zu bestellen ist. Dies betrifft u.a. Auskunfteien, Adressverlage und Markt- und Meinungsforschungsinstitute sowie Unternehmen, die besonders sensitive Daten verarbeiten (z.B. Gesundheitsdaten).

Wie erfolgt die Bestellung zum Datenschutzbeauftragten?

Die Bestellung des Datenschutzbeauftragten muss gemäß § 4f Abs. 1 S. 1 BDSG schriftlich erfolgen. Bei einem Unternehmenskonzern mit verschiedenen Tochtergesellschaften ist erforderlich, dass für jedes einzelne Unternehmen ein Datenschutzbeauftragter bestellt wird.

Welche Voraussetzungen muss der Datenschutzbeauftragte mitbringen?

Der Datenschutzbeauftragte muss gewisse Voraussetzungen erfüllen. Insbesondere muss er die erforderliche Fachkunde und Zuverlässigkeit besitzen. Diese Begriffe werden im Gesetz nicht näher beschrieben, umfassen aber im Hinblick auf die Fachkunde rechtliche, organisatorische und technische Kenntnisse. Das Erfordernis der Zuverlässigkeit beschreibt eine klare Trennung zwischen der verantwortlichen Stelle und dem Beauftragten. Denn wo die Trennung fehlt, können Interessenkonflikte entstehen, wenn sich etwa der Kontrolleur selbst kontrollieren muss.

Interner oder externer Datenschutzbeauftragter?

Grundsätzlich ist es gleichgültig, ob ein interner oder externer Datenschutzbeauftragter bestellt wird. Der Vorteil eines internen Datenschutzbeauftragten ist, dass dieser das Unternehmen sowie Geschäftsabläufe und verantwortliche Personen kennt.  Demgegenüber bietet die Bestellung eines externen Datenschutzbeauftragten den Vorteil, dass dieser von außen objektiv auf das Unternehmen blicken und so unbefangen den Datenschutz einbringen kann. Außerdem gilt für den externen Datenschutzbeauftragten nicht der besondere Kündigungsschutz wie beim internen Datenschutzbeauftragten.

Welche Haftungsrisiken bestehen für das Unternehmen?

Die formal schwache Stellung des Datenschutzbeauftragten verleitet manches Unternehmen, die Position bewusst intern mit einer Person zu besetzen, von der keine Probleme zu erwarten sind und die eher geneigt ist, kritische Verfahren im Zweifel durchzuwinken. Eine solche Haltung kann aber für das Unternehmen und die Geschäftsleitung selbst erhebliche nachteilige Auswirkungen haben. Das Unternehmen ist für Verstöße gegen Datenschutzbestimmungen nach §43 BDSG nämlich selbst verantwortlich. Hierbei sind Ordnungsgelder bis 300.000,- EUR oder darüber hinaus pro Verstoß möglich.

Die Geschäftsleitung haftet im Innenverhältnis unmittelbar selbst gegenüber dem Unternehmen gemäß §93 I 1 AktG bzw. §43 GmbHG, wenn nicht die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt wird. Dies wird insbesondere dann relevant, wenn die Geschäftsleitung bewusst einen schwachen Datenschutzbeauftragten bestimmt, der erkennbar nicht die erforderliche Qualifikation besitzt. Kommt es deswegen zu einem Schaden, ist ein Rückgriff unmittelbar auf die Geschäftsleitung denkbar.

7 Kommentare zu diesem Beitrag

  1. Hallo Dr. Datenschutz,

    was bedeutet im Sinne des § 4f BDSG “ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt” zu sein?

    Ist dies schon der Fall wenn ich zehn Personen ein paar Stunden am Tag damit beschäftige Adressaufkleber auszudrucken und auf einen Briefumschlag zu kleben, da es sich ja hier umstreitig um personenbezogene Daten handelt? Muss ich also in dem Falle bereits einen Datenschutzbeauftragten bestellen? Wo ist die Grenze zu “ständig”?

    Vielen Dank!

    • “ständig” beschäftigt ist die Person, wenn sie für diese Aufgabe, die nicht ihre Hauptaufgabe zu sein braucht, vorgesehen ist und sie entsprechend wahrnimmt. Ständig bedeutet daher, dass der Mitarbeiter immer dann mit der Verarbeitung personenbezogener Daten beschäftigt ist, wenn die Tätigkeit anfällt. Auf den Anteil dieser Arbeit kommt es nicht an. Etwas anderes gilt nur, wenn der Mitarbeiter nur gelegentlich mit der Datenverarbeitung zu tun hat. In dem von Dir geschilderten Fall widmen sich die zehn Personen regelmäßig und bestimmungsgemäß der Datenverarbeitung, so dass ein Datenschutzbeauftragter bestellt werden müsste.

      Diese Information stellt keine rechtliche Beratung dar. Für eine konkrete Beurteilung Deiner Frage solltest Du Dich an einen Rechtsanwalt oder die zuständige Aufsichtsbehörde wenden.

      • Guten Morgen und danke Herr/Frau Dr. Datenschutz. Gott sei Dank geht es “nur” um eine Hausarbeit zum Thema Datenschutz im Unternehmen. Die Antwort ist sehr hilfreich! Vielen Dank!

  2. Hallo, mir stellt sich die Frage wie die Überprüfung über die Bestellung eines Datenschutzbeauftragten aussieht? Gibt es da schon Erfahrungen? Kommen da Leute unangemldet in das Unternehmen und lassen sich Stellenbeschreibungen und den Datenschutzbeauftragten zeigen? Wie und wann ist also damit zu rechnen?
    Vielen DANK!!

    • Das Unternehmen wird zunächst von der zuständigen Aufsichtsbehörde angeschrieben. Daraufhin sind Unterlagen über die Bestellung des Datenschutzbeauftragten vorzulegen. Sollten diese Unterlagen nicht vorgelegt werden, ist die Behörde durchaus berechtigt, eine “Vor-Ort Kontrolle” durchzuführen. Des Weiteren kann die Behörde auch ein Bußgeld verhängen.

      Das ist auch praktisch und tatsächlich so, besonders wenn die Aufsichtsbehörden einem Schwerpunktthema nachgehen und eine Vielzahl von Unternehmen anschreiben..

      Sofern also die Voraussetzungen des §4f BDSG erfüllt werden, sollte auch ein Datenschutzbeauftragter bestellt werden.

  3. In einer gößeren Badeanstalt wird der Kassenraum (Kassierer-innen) zu 100% überwacht.Ihnenen wurde gesagt es diehne ihrer Sicherheit. Die Kollegen- innen sind seit dem sehr angespannt bei der Arbeit , weil Sie durch den/ die Vorgesetzten beobachtet werden.
    Es gibt keinen Betriebsrat. Wie sollen sich verhalten.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen.