Der Datenschutzbeauftragte – das unbekannte Wesen!

Hacked symbol on computer circuit board with open red padlockDatenschutz, Teil 2

Alle sprechen vom Datenschutzbeauftragten – es gibt einen beim Bund, in jedem Bundesland einen und sonst wo? Auch Unternehmen brauchen ihn – aber wozu eigentlich? Der zweite Teil unserer Datenschutz-Serie.

Der Datenschutzbeauftragte wirkt auf viele Menschen wie ein Geistwesen. Jeder kann sich schemenhaft etwas darunter vorstellen, aber was dieses Wesen so treibt, weiß niemand so recht. Wie ist er zu dem geworden, was er heute ist? Was tut der? Wann muss ein Unternehmen einen Datenschutzbeauftragten bestellen? Welche Verantwortung trägt er?

Zunächst einmal ist Datenschutzbeauftragter seit über 25 Jahren als „Beruf“ anerkannt. Das haben die Gründer des BvD e.V. vor einem Vierteljahrhundert vor dem Landgericht in Ulm durchgefochten und ist seither durch das sog. „Ulmer Urteil“ bestätigt. BvD steht deshalb auch für Berufsverband der Datenschutzbeauftragten Deutschlands. Allerdings bis heute noch nicht eindeutig geklärt ist, ist der Ausbildungsweg zum Datenschutzbeauftragten (DSB). Hier gibt es die unterschiedlichsten Möglichkeiten von 3-Tages-Seminaren bis hin zu 3-Wochen-Seminaren – es ist jedoch nach wie vor kein echter Ausbildungsberuf (über 2 -3 Jahre Ausbildungszeit) und auch kein separater Studiengang. Alle Datenschutzbeauftragten in Deutschland haben also irgendeine andere Ausbildung, und darauf die Zertifizierung zum DSB aufgesattelt. Die Mehrzahl der DSBs sind entweder Juristen oder Informatiker, dies ist jedoch keine Grundvoraussetzung. Wer keinerlei Affinität zu Computern hat, sollte sich allerdings gut überlegen, ob er Datenschutzbeauftragter werden soll.

Im BDSG steht nur, dass ein Datenschutzbeauftragter die notwendige Zuverlässigkeit und Fachkunde haben muss. Die Fachkunde muss er ständig erneuern und aktualisieren, jedoch ohne konkretere Fortbildungsvorschriften. Zuverlässigkeit soll heißen, dass der DSB zum Beispiel die ihm zugänglichen vertraulichen Informationen auch tatsächlich vertraulich behandelt oder dass er den Unternehmer unabhängig und verlässlich beraten kann – dass er weder wirtschaftlich noch sonst wie von dem Unternehmer abhängig ist. Deshalb wird auch ein interner Datenschutzbeauftragter im Unternehmen dem Unternehmer direkt unterstellt und ist weisungsfrei in seinem Handeln. Damit die wirtschaftliche Abhängigkeit des DSB von seinem Arbeitgeber nicht im Widerspruch zu seiner Weisungsfreiheit stehen kann, wird er während der Dauer seiner Bestellung in einen Status ähnlich wie ein Betriebsrat versetzt und genießt z.B. Kündigungsschutz.

Jetzt haben sich die ersten Nebelschwaden verzogen und wir sehen statt eines Geistwesens den ausgebildeten, zertifizierten Datenschutzbeauftragten vor uns. Seine Aufgabe ist es sicherzustellen, dass das Unternehmen sensible und persönliche Daten nur mit ausdrücklicher Erlaubnis des Betroffenen an befugte Dritte weitergeben darf und kann. Wir kennen aber noch nicht die Kriterien, wann ein Unternehmen eine solche Funktion überhaupt an Bord haben muss.

  • Grundvoraussetzung ist, dass im Unternehmen personenbezogene Daten gespeichert und verarbeitet werden. Heutzutage gibt es m.E. kein Unternehmen mehr, das diese Voraussetzung nicht erfüllt. Schon die Mitarbeiterdaten gehören dazu und selbstverständlich auch die Kundendaten. Wer weder Mitarbeiter noch Kunden hat, ist kein Unternehmen, oder?
  • Im Unternehmen sind mindestens 20 Personen in der Regel damit beschäftigt, personenbezogene Daten zu verarbeiten – egal ob elektronisch oder auf andere Art und Weise.
  • Verarbeitet das Unternehmen Daten elektronisch – „automatisiert“, muss bereits ab mehr als neun mit der Verarbeitung der Daten beschäftigten Mitarbeitern ein Datenschutzbeauftragter bestellt werden.
  • Werden bei nicht-öffentlichen Stellen
    • Verarbeitungen vorgenommen, die einer sog. Vorabkontrolle unterliegenoder
    • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zweck der Markt- oder Meinungsforschung automatisiert verarbeitet

ist unabhängig von der Anzahl der Mitarbeiter ein DSB zu bestellen.

Was es mit der Vorabkontrolle auf sich hat, sprengt hier den Rahmen. Hierzu empfiehlt sich die Kontaktaufnahme mit einer Fachfrau/einem Fachmann.

Wenn ein Unternehmen unter den geschilderten Rahmenbedingungen einen Datenschutzbeauftragten zu bestellen hat, stellt sich die nächste Frage: Muss das Unternehmen diese Stelle intern oder kann man sie auch extern besetzen? Hier schreibt der Gesetzgeber nichts vor: Das Unternehmen kann sich tatsächlich völlig frei zwischen beiden Alternativen entscheiden. Meistens ist es eine wirtschaftliche Frage. Soll ein interner Mitarbeiter die Funktion des Datenschutzbeauftragten ausfüllen, muss dieser zunächst einmal die Ausbildung machen und dann auch die regelmäßige Fortbildung nachweisen. Das kostet einerseits natürlich Seminargebühren und andererseits steht der Mitarbeiter dem Unternehmen in dieser Zeit nicht mit seiner Arbeitskraft zur Verfügung. Nicht außer Acht zu lassen ist auch die Erfahrung, die ein externer Datenschutzbeauftragter durch die unterschiedlichen Kunden, die er normalerweise betreut, automatisch mitbringt. Wenn ein interner DSB nur alle paar Wochen mit einem Datenschutzthema zu tun hat, wird er zur Erledigung viel länger als notwendig brauchen, denn er muss sich wahrscheinlich jedes Mal neu in die Problematik hineindenken. Je mehr Datenschutzaufgaben in einem Unternehmen zu erledigen sind, desto eher rechnet sich also die interne Besetzung.

Welche Konsequenzen der Unternehmer erwarten kann, wenn er keinen Datenschutzbeauftragten bestellt, obwohl er es eigentlich müsste, wurde bereits im letzten Beitrag dieser Serie erläutert. Bitte lesen Sie hier nach >>

Die Aufgaben eines Datenschutzbeauftragten lassen sich in einem Satz zusammenfassen: Er berät den Unternehmer dahingehend, dass alle Prozesse im Unternehmen, die mit der Verarbeitung von personenbezogene Daten zu tun haben, den geltenden Datenschutzgesetzen entsprechen. Die letztendliche Entscheidung, welche Regelungen das Unternehmen tatsächlich einführt und an welchen Stellen das Risiko eines Datenschutzvergehens womöglich bewusst in Kauf genommen wird, liegt beim Unternehmer. Denn er trägt die Verantwortung dafür, was in seinem Unternehmen gemacht wird, und muss dann auch die Konsequenzen tragen. Der Datenschutzbeauftragte muss deshalb auch relativ genau dokumentieren, wie seine Beratung ausgesehen hat, denn im Zweifel muss er nachweisen können, dass er den Unternehmer richtig beraten hat und der Unternehmer sich dennoch dagegen entschieden hat.

Zur Beratung und Definition von möglichen Unternehmensregelungen gehört auch die Schulung der Mitarbeiter, die Kontrolle der Einhaltung der geltenden Unternehmensregelungen und die Überprüfung der Wirksamkeit der eingeführten Maßnahmen. Der Datenschutzbeauftragte ist also kein Geistwesen sondern eine wichtige Person bei elektronischen Büroabläufen.

Kontakt:

Startklar – Rose MüllerBild Rose Mueller
Bei der Kelter 5
74321 Bietigheim-Bissingen

Telefon: 07142 3392343
Fax: 07142 9669588
Mobil: 01577 3366800
E-Mail: dsb@startklar-rosemueller.de
Web: www.startklar-rosemueller.de