Betrieblicher Datenschutzbeauftragter – Welche Rechte und Pflichten hat er?

meeting 02
Fachbeitrag

Das Wort “Datenschutzbeauftragter” hat jeder schon einmal gehört. Die Tatsache, dass die meisten Unternehmen dazu verpflichtet sind einen betrieblichen Datenschutzbeauftragten zu bestellen, dürfte auch noch dem einen oder anderen bekannt sein. Aber was der Datenschutzbeauftragte genau macht und welche Rechte und Pflichten er hat, weiß außer dem Datenschutzbeauftragten häufig kaum jemand.

Dieser Beitrag widmet sich daher dem Mysterium des Datenschutzbeauftragten und seinen Rechten und Pflichten, die im Gesetz an unterschiedlichen Stellen verstreut sind.

Die Bestellung

Alles fängt mit der Bestellung des betrieblichen Datenschutzbeauftragten an. Diese hat gemäß §4f I 1 BDSG schriftlich zu erfolgen, d.h. gem. §126 I BGB durch eigenhändige Namensunterschrift.

Was allerdings häufig vergessen wird, dieses Erfordernis gilt nicht nur für für das den betrieblichen Datenschutzbeauftragten bestellende Unternehmen, sondern auch für den die Bestellung annehmenden betrieblichen Datenschutzbeauftragten.

Andernfalls ist die Bestellung wegen Formmangels nichtig (§125 BGB), was ein Bußgeld nach sich ziehen kann (§43 I Nr. 2 BDSG) und einen nicht unbedingt gelungener Start innerhalb des Unternehmens darstellen würde.

Vorabkontrollen

Der betriebliche Datenschutzbeauftragte hat u.a. Vorabkontrollen duchzuführen, sofern automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen (§4d VI 1 BDSG). Dies ist beispielsweise dann der Fall, wenn

  • besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder
  • die Verarbeitung zur Fähigkeits-, Verhaltens- oder Leistungskontrolle bzw. der Persönlichkeitsbewertung

dient (§4d V BDSG). Zu diesem Zweck hat das Unternehmen dem betrieblichen Datenschutzbeauftragten die internen Übersichten zwecks Information zur Verfügung zu stellen, so dass dieser sich einen Überblick über die Datenverarbeitungen verschaffen kann (§4d VI 2 BDSG). Bestehen Zweifel hinsichtlich der Zulässigkeit, so ist der betriebliche Datenschutzbeauftragte verpflichtet sich diesbezüglich an die zuständige Aufsichtsbehörde zu wenden (§4d VI 3 BDSG).

Die Pflichten des Datenschutzbeauftragten

Wie das Wort “Datenschutzbeauftragter” schon sagt, beinhaltet die Position des betrieblichen Datenschutzbeauftragten die Aufgabe Daten zu schützen. Für alle, die sich zu dieser gewagten Schlussfolgerung dennoch nicht durchringen konnten, hat der Gesetzgeber dieses freundlicherweise nochmals in §4 I 1 BDSG explizit statuiert.

Der betrieblichen Datenschutzbeauftragten ist insbesondere verpflichtet,

  • die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu überwachen (§4g I 2 Nr. 1 BDSG)
  • die bei der Verarbeitung personenbezogener Daten tätigen Personen mit den Datenschutzvorschriften vertraut zu machen (§4g I 2 Nr. 2 BDSG)
  • Jedermann das externe Verfahrensverzeichnis zur Verfügung zu stellen (§4g II 2 BDSG)
  • Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, zu wahren, soweit er nicht davon durch den Betroffenen befreit wird (§4f IV BDSG).

Hierzu hat ihm das Unternehmen die notwendigen Informationen bzw. Übersichten (selbständig) zur Verfügung zu stellen (§4g II 1 BDSG). Der betriebliche Datenschutzbeauftragte kann sich zur Erledigung seiner Aufgaben auch an die zuständige Aufsichtsbehörde wenden (§4g I 2 BDSG).

Recht auf Weisungsfreiheit und Unterstützung

Da die gesetzlichen Verpflichtungen des betrieblichen Datenschutzbeauftragten auch mal mit den Interessen des Unternehmens kollidieren können, ist er in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden (§4f III 2 BDSG).

Zu diesem Zweck sind dem betrieblichen Datenschutzbeauftragten seitens des Unternehmens Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel (§4f V BDSG) zur Verfügung zu stellen und die Teilnahme an Fort- und Weiterbildungsveranstaltungen bei Kostenübernahme zu ermöglichen (§4f III 7 BDSG).

Recht auf Kündigungsschutz

Etwas wonach sich viele Arbeitnehmer sehnen und was nur wenige Arbeitnehmer haben (z.B. Betriebsrat), der betriebliche Datenschutzbeauftragte hat es auch: Den absoluten Kündigungsschutz (§4f III 5 + 6 BDSG)! D.h. eine Kündigung des internen Datenschutzbeauftragten ist nahezu unmöglich und setzt zudem, bei einer auf Fehlverhalten beruhenden Kündigung i.d.R. eine Abmahnung wg. des gleichen Verhaltens voraus. Dies gilt zumindest für angestellte Datenschutzbeauftragte des Unternehmens.

Auch bei unternehmensexternen Datenschutzbeauftragten ist allerdings ein Widerruf der Bestellung nur aus wichtigem Grund möglich, ohne dass es jedoch einer vorherigen Abmahnung bedarf. Es können aber befristete langfristige (mind. 2 Jahre) Bestellungsverträge geschlossen werden, bei deren Befristungsablauf zugleich auch die Bestellung endet. Bei unternehmensinternen Datenschutzbeauftragten hat die Frist aufgrund höherer Schutzbedürftigkeit nach herrschender Meinung mindestens 5 Jahre zu betragen, andernfalls ist bereits die Bestellung unwirksam (s.o.).

Fazit:

So ganz trivial sind weder die Rechte noch die Pflichten des Datenschutzbeauftragten. Nehmen Sie die Auswahl daher sorgfältig vor und suchen Sie sich jemanden der sich wirklich auskennt und Erfahrung hat.

Apropos: Wo wir schon beim Thema sind, hat Ihr Unternehmen eigentlich einen Datenschutzbeauftragten?

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.