Betrieblicher Datenschutzbeauftragter – Welche Aufgaben hat er?

it-sicherheit 27
Fachbeitrag

Die meisten Unternehmen wissen, dass Sie verpflichtet sind, einen Datenschutzbeauftragten zu bestellen. Doch welche konkreten Pflichten und Aufgaben mit dieser Stellung verbunden sind, ist vielen Unternehmen und selbst den betroffenen Datenschutzbeauftragten oft unklar.

Allgemeine Aufgabenbeschreibung

§4g I 1 BDSG bestimmt, dass der Datenschutzbeauftragte auf die Einhaltung des BDSG und anderer Vorschriften zum Datenschutz hinwirkt.

Hinwirken deshalb, weil der Datenschutzbeauftragte die Umsetzung der datenschutzrechtlichen Vorschriften nicht selbst vornehmen kann. Im Idealfall analysiert und kontrolliert er den Stand des Datenschutzniveaus im Unternehmen und macht der Geschäftsführung und den einzelnen Abteilungen Vorschläge zur Verbesserung oder Implementierung einer Datenschutzorganisation im Unternehmen. Der Datenschutzbeauftragte selbst hat also keine Entscheidungsgewalt sondern ist organisatorisch gemäß §4f III 1 BDSG der Geschäftsleitung unterstellt.

Aufgabenbereiche

Doch auch ohne formale Entscheidungskompetenz hat der Datenschutzbeauftragte erhebliche Verantwortung im Unternehmen. Denn mit zunehmender Komplexität der gesetzlichen Regelungen steigt der Aufgabenbereich ständig. Und bei Verstößen gegen Datenschutzbestimmungen – auch wenn sie aus bloßer Unkenntnis geschehen sind – drohen Schadensersatzforderungen der Betroffenen und Ordnungsgelder der Aufsichtsbehörden. Nicht zu reden vom Imageschaden für das Unternehmen.

Einhaltung der Datenschutzreglungen

Der Datenschutzbeauftragte hat sämtliche Datenschutzregelungen und deren Auslegung durch aktuelle Gerichtsentscheidungen zu kennen – also nicht nur das BDSG sondern alle bereichsspezifischen Spezialnormen und selbst Vereinbarungen mit den Arbeitnehmervertretungen. Spezialnormen sind etwa §§67 ff. SGB X, §§91 ff. TKG, §§11 ff. TMG und Regelungen zum Mitarbeiterdatenschutz, §§79, 87 Nr. 6, 90 BetrVG.

Aufgabenspektrum

Die Kontrollkompetenz erstreckt sich auf das gesamte Unternehmen. Umfasst sind alle Abteilungen und Bereiche, in denen personenbezogenen Daten verarbeitet werden (könnten) – von der Personalabteilung und Revision über das Controlling und die Finanzbuchhaltung bis hin zu Marketing und Vertrieb.

Das Aufgabenspektrum ist demgemäß vielfältig. Der Datenschutzbeauftragte hat Gutachten zu erstellen, Verträge mit Dienstleistern zu prüfen, Betriebsvereinbarungen und Unternehmensrichtlinien zu entwerfen, Auskünfte zu erteilen und mit Behörden zu kommunizieren.

Der konkrete Umfang hängt von den jeweiligen tatsächlichen Anforderungen im Unternehmen ab. Typischerweise sind folgende Bereiche betroffen:

Überwachung der Datenverarbeitungsprogramme

Schwerpunkt der Tätigkeit ist die Überwachung der Datenverarbeitungsprogramme. Ziel ist es, Datenschutzverstöße dadurch bereits im Vorfeld zu vermeiden.

Der Datenschutzbeauftragte ist dazu bereits rechtzeitig vor Einführung neuer Programme zu informieren, damit er Gelegenheit hat, eine entsprechende Stellungnahme abzugeben. Da Datenverarbeitung grundsätzlich nur zulässig ist, wenn sie erforderlich ist, d.h. das mildeste Mittel zur Erreichung des gewünschten Zwecks darstellt, ist es wichtig, dass der Datenschutzbeauftragte neben umfassenden rechtliche Kenntnissen auch Kenntnis der technischen Umsetzungen hat.

Schulungen der Mitarbeiter

Datenschutz und Datensicherheit kann nur effizient im Unternehmen implementiert werden, wenn die Mitarbeiter mitziehen. Dazu ist es erforderlich, dass Mitarbeiter, die mit personenbezogenen Daten arbeiten, entsprechend sensibilisiert werden. Diese Aufgabe ist ausdrücklich gemäß §4g Abs. 1 Satz 2 Nr.  3 BDSG dem Datenschutzbeauftragten zugewiesen.

Verfahrensverzeichnis

Zudem führt der Datenschutzbeauftragte das Verfahrensverzeichnis gemäß §4g II BDSG über die Art und Umfang der Datenverarbeitung im Unternehmen. Konkret handelt es sich dabei um die meldepflichtigen Informationen i.S.d. §4e Satz 1 Nrn. 1-8 BDSG, die der Datenschutzbeauftragte jedermann verfügbar machen muss.

Zwar bestimmt §4g II 1 BDSG, dass die erforderlichen Informationen dem Datenschutzbeauftragten vom Unternehmen zur Verfügung gestellt werden müssen. In der Praxis ist es aber oft so, dass der Datenschutzbeauftragte diese Informationen erst durch Anfordern von Informationen aus den unterschiedlichen Abteilungen selbst zusammentragen und ständig aktualisieren muss.

Vorabkontrolle

Weitere originäre Aufgabe des Datenschutzbeauftragten ist die Vorabkontrolle bei “Verfahren automatisierter Verarbeitungen” i.S.d. §4d V BDSG, wenn dadurch besondere Risiken drohen. Dies ist regelmäßig der Fall bei Daten besonderer Art nach §3 IX BDSG (etwa ethnische Herkunft, Gesundheit, Sexualleben, Religion, politische Ansichten) und dann, wenn die Datenverarbeitung zur Bewertung der Persönlichkeit des Betroffenen geeignet ist.

Das sind etwa Verfahren der Personalverwaltung, Telefondatenerfassung (Mitarbeiter und Kunden), Videoüberwachung oder Kundenbetreuung (etwa Bildung von Persönlichkeitsprofilen, Warndateien von Versicherungen).

Haftung bei Fehlern- Risiken für das Unternehmen und die Geschäftsleitung

Die formal schwache Stellung des Datenschutzbeauftragten verleitet manches Unternehmen, die Position bewusst intern mit einer Person zu besetzen, von der keine Probleme zu erwarten sind und die eher geneigt ist, kritische Verfahren im Zweifel durchzuwinken. Eine solche Haltung kann aber für das Unternehmen und die Geschäftsleitung selbst erhebliche nachteilige Auswirkungen haben.

Denn das Unternehmen ist für Verstöße gegen Datenschutzbestimmungen nach §43 BDSG selbst verantwortlich. Hierbei sind Ordnungsgelder bis 300.000,- EUR oder darüber hinaus möglich. Unternehmen können sich im Falle von Datenschutzverstößen auch nicht dadurch freizeichnen, dass der Datenschutzbeauftragte falsch oder ungenügend beraten hat.

Die Geschäftsleitung haftet im Innenverhältnis unmittelbar selbst gegenüber dem Unternehmen gemäß §93 I 1 AktG bzw. §43 GmbHG, wenn nicht die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt wird. Dies wird insbesondere dann relevant, wenn die Geschäftsleitung bewusst einen schwachen Datenschutzbeauftragten bestimmt, der erkennbar nicht die erforderliche Qualifikation besitzt. Kommt es deswegen zu einem Schaden, ist ein Rückgriff unmittelbar auf die Geschäftsleitung denkbar.

In diesem Zusammenhang sei auf den Beschluss des Düsseldorfer Kreises, der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, verwiesen. Dieser hat die Mindestanforderungen, die an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz, zu stellen sind, nochmals verschärft. Verlangt werden insbesondere

  • umfassende Kenntnisse sämtlicher relevanten gesetzlichen Bestimmungen zum Datenschutz sowie zur Datensicherheit und deren
  • konkrete Umsetzung im Unternehmen (z. B. Durchführung von Kontrollen, Beratung, Strategieentwicklung, Dokumentation, Verzeichnisse, Logfile-Auswertung, Risikomanagement, Analyse von Sicherheitskonzepten, Betriebsvereinbarungen, Videoüberwachungen, Zusammenarbeit mit dem Betriebsrat etc.).

Die Geschäftsleitung muss sich also vor Auswahl versichern und dokumentieren, dass der Kandidat diese Spezialkenntnisse hat, um seiner Sorgfaltspflicht gegenüber dem Unternehmen genüge zu tun.

2 Kommentare zu diesem Beitrag

  1. Dass Geschäftsführer gesetzlich verpflichtet sind, einen Datenschutzbeauftragten zu bestellen und für dessen Aus- und Weiterbildung zu sorgen, halte ich für unerlässlich und hilfreich.
    Diesem allein wird es m.E. jedoch nicht gelingen, sensible Nutzerdaten erfolgreich zu schützen. Die technisch-organisatorische Seite des Datenschutzes muss m.E. an Geschwindigkeit zulegen, um die Zahl der Datenschutz-Vorfälle 2011 nicht noch weiter zu erhöhen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.