Betrieblicher Datenschutzbeauftragter – Was sind die ersten Schritte?

Bekanntermaßen muss ein betrieblicher Datenschutzbeauftragter bestellt werden, wenn mehr als 9 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind. Bei interner Besetzung stellt sich die Frage, welcher glückliche Mitarbeiter diese Position künftig bekleiden darf. Ist das Los einmal gefallen, muss sich der Auserwählte zeitnah auf seine neue Tätigkeit einstellen. Wir geben einen Überblick der ersten Schritte, von der Entscheidung für einen internen Datenschutzbeauftragten bis zur Aufnahme der laufenden Tätigkeit.

Betrieblicher Datenschutzbeauftragter – Die Bestellung

Die Bestellung des betrieblichen Datenschutzbeauftragten hat schriftlich zu erfolgen (§ 4 f Abs. 1 BDSG). Es muss daher eine Bestellungsurkunde ausgestellt werden, die sowohl von der Geschäftsführung, als auch vom internen Datenschutzbeauftragten, zu unterschreiben ist.

Inhaltlich sollte die Bestellungsurkunde kurz auf Funktion und Stellung des Datenschutzbeauftragten eingehen. Vorlagen dafür finden sich auf den Seiten der Aufsichtsbehörden, z.B. auf der des Landesbeauftragten für den Datenschutz Baden-Württemberg.

Ist noch eine andere Person im Amt, muss diese abbestellt werden.

Aneignung der erforderlichen Fachkunde

Ein betrieblicher Datenschutzbeauftragter ist nur dann wirksam bestellt, wenn er die notwendige Fachkunde nachweisen kann (§ 4f BDSG). Da sich die wenigsten Personen zuvor vertieft mit dem Thema Datenschutz und Datensicherheit beschäftigen konnten (oder eben diese einem Interessenskonflikt unterliegen), kommen hier oft Zweifel auf, ob die persönliche Eignung als Datenschutzbeauftragter überhaupt vorhanden ist. Weniger hilfreich für diese Beurteilung ist dabei das Gesetz. Hier heißt es nur allgemein:

„Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet.“

Grundsätzlich bleibt es also den Unternehmen überlassen, den Begriff der notwendigen Fachkunde zu definieren. Mangels konkreter gesetzlicher Vorgaben können die Wege zur Erlangung und zum Nachweis der Fachkunde selbst bestimmt werden. Zur Auswahl stehen:

• Besuch von Fachseminaren zum Thema Datenschutz
• Anschaffung einschlägiger juristischer Literatur und Gesetze zum Datenschutz
• Recherche auf den Webseiten der Aufsichtsbehörden
• Persönliche Einarbeitung
• Einarbeitungsphase mit Hilfe eines externen Datenschutzbeauftragten

Planung des Zeitaufwandes

Ein weiterer wichtiger Punkt ist die Zeitplanung. Abhängig von der Größe und Struktur des Unternehmens sollten dem Datenschutzbeauftragten eine feste Anzahl an Stunden pro Woche oder Monat eingeräumt werden, die ausschließlich für das Thema Datenschutz genutzt werden. Pauschal lässt sich nicht sagen, welche Stundenzahl angemessen ist. Ausschlaggebend für die Zeitplanung können aber folgende Punkte sein:

• Größe des Unternehmens
• Sensibilität der verarbeiteten Daten
• Sind noch weitere Personen mit dem Thema Datenschutz betraut?
• Ist eine Einarbeitungsphase notwendig oder sind Vorkenntnisse vorhanden?

Die ersten Schritte des neuen Datenschutzbeauftragten

Ein betrieblicher Datenschutzbeauftragter hat grundsätzlich die Aufgabe, auf den Datenschutz im Unternehmen hinzuwirken. Er hat damit eine begutachtende und eine beratende Funktion. Gerade am Anfang ist es wichtig, den Einstieg in das Thema Datenschutz zu finden. Dafür bieten sich folgende Schritte an:

1. Ist-Aufnahme
   Als Basis bietet es sich an, zunächst alle datenschutzrelevanten Prozesse im Unternehmen zu ermitteln. Dazu kann mit den jeweiligen Abteilungen, wie z.B. HR, IT Marketing und Vertrieb, über den momentanen Umgang mit personenbezogenen Daten gesprochen werden. Außerdem können Unterlagen, Verträge und Richtlinien, die bereits zum Datenschutz vorhanden sind, zusammengetragen werden.
2. Datenschutzstandard bewerten
   Anhand der Ist-Aufnahme kann der Datenschutzstandard bewertet werden. Wo ist bereits ein gutes Level erreicht, an welcher Stelle befinden sich noch Lücken? Sind alle notwendigen Unterlagen vorhanden?
3. Priorisierung und Maßnahmenplan
   Sind die Lücken beim Datenschutz bekannt, kann eine Priorisierung der weiteren Maßnahmen erfolgen. Außerdem bringt eine weitere Planung Struktur in das Thema Datenschutz.
4. Mitarbeiter sensibilisieren
   Die Arbeit des Datenschutzbeauftragten funktioniert nur, wenn auch die übrigen Mitarbeiter umfassend auf das Thema sensibilisiert sind. Der Datenschutzbeauftragte ist in gewisser Weise darauf angewiesen, von den jeweils zuständigen Mitarbeitern über die aktuelle Verarbeitung personenbezogener Daten informiert zu werden. Eine Sensibilisierung kann durch regelmäßige Schulungen, aber auch durch Richtlinien erfolgen.
5. Laufende Tätigkeit
   Datenschutz ist ein fortlaufender Prozess. Auch wenn der Maßnahmenplan abgearbeitet wird, ist der Datenschutzstandard ständig neu zu bewerten und zu beurteilen. Dabei müssen neue Entwicklungen, sowohl im Unternehmen, als auch auf Seiten des Gesetzgebers und der Aufsichtsbehörden, mitberücksichtigt werden.

Übung macht den Meister

Was in vielen anderen Bereichen gilt, kann auch für den Datenschutz herangezogen werden: Übung macht den Meister! Gerade für die Einarbeitungsphase ist, je nach Kenntnisstand, ein hoher Zeitaufwand einzuplanen. Sollte sich dies als nicht machbar erweisen, kann in der Anfangsphase auch der Rat eines externen Datenschutzbeauftragten herangezogen werden.