Dieser Artikel beschäftigt sich mit dem Thema “der Datenschutzbeauftragte (DSB)“. Hier erfahren Sie alles Rund um das Thema Datenschutz im Unternehmen und den verantwortlichen bzw. beteiligten Personen, bezogen auf Deutschland. In anderen europäischen Ländern können unter Umständen andere Gesetze, Vorschriften oder Richtlinien gegeben sein.
Richtet man ein neues Datenschutzprogramm in einem Unternehmen ein, muss man sich mit einer Reihe von Fragen beschäftigen. Die Wichtigste ist die Frage nach dem Datenschutzbeauftragten (DSB). Der Datenschutzbeauftragte kann sowohl ein interner Mitarbeiter als auch extern zugebucht werden.
Datenschutz im Unternehmen – Wer braucht einen DSB?
In vielen europäischen und einigen nicht-europäischen Staaten müssen Unternehmen die nationalen Datenschutzbehörden benachrichtigen, bevor diese mit automatisierter und digitaler Datenverarbeitung beginnen. Vor allem wenn es um die Übermittlung personenbezogener Daten außerhalb des europäischen Wirtschaftsraumes (EWR) geht, also eine internationale Datenweitergabe, muss ein Unternehmen sogar die zuständige Datenschutzbehörde um Erlaubnis bitten, bevor diese bestimmte Datenverarbeitungshandlungen vornehmen dürfen.
Unternehmen in Deutschland, sowie solche in manchen anderen europäischen Ländern müssen sich entweder um einen betrieblichen Datenschutzbeauftragten bemühen oder können freiwillig Datenschutzbeauftragte bestellen, um umfangreiche Meldepflichten gegenüber Datenschutzbehörden zu vermeiden.
Grundsätzlich gilt: Deutsche Unternehmen bzw. internationale Firmen mit einer deutschen Niederlassung oder Zweigstelle mit mehr als 10 Mitarbeiter müssen einen Datenschutzbeauftragten bestellen. So will es das deutsche Datenschutzrecht. Unternehmen in Deutschland von weniger als 10 Mitarbeitern können von der absoluten Pflicht einen Datenschutzbeauftragten zu bestellen ausgenommen sein. Jedoch müssten diese Firmen aber nach geltendem Recht umfangreiche Meldungen an die Datenschutzbehörde leisten, weshalb sich viele für einen internen Datenschutzbeauftragten entscheiden.
Nach deutschem Gesetz ist weiterhin verankert, dass Unternehmen einen Datenschutzbeauftragten innerhalb von einem Monat nach Betriebsbeginn bestellen müssen. Die Ausnahmeregelung von Betrieben unter 10 Mitarbeitern ist auch hier zu berücksichtigen. Erheben Unternehmen keinerlei personenbezogenen Daten bzw. werden Daten nicht zum Zweck der Übermittlung erfasst, ist kein Datenschutzbeauftragter gesetzlich vorgeschrieben.
Was ist die Aufgabe eines Datenschutzbeauftragten?
Deutschland war international der erste Staat, der die Rolle eines betrieblichen Datenschutzbeauftragten gesetzlich vorschrieb, um eine Art Selbstregulierung zu forcieren.
Der Datenschutzbeauftragte hat primär eine Überwachungsfunktion. Er kümmert sich darum, dass Betriebe Datenschutzgesetze einhalten. Der Datenschutzbeauftragte handelt grundsätzlich weisungsfrei und im Interesse des Datenschutzes.
Welche Qualifikation braucht der Datenschutzbeauftragte?
Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.
Quelle: Lothar Determann – “Datenschutz – International Compliance Field Guide”
Eine klare Regelung was die erforderliche Qualifikation betrifft, gibt es nicht. Es gibt diverse Einrichtungen, Institutionen und Akademien, die Onlinekurse zum Thema Datenschutz anbieten. Z.B. sei hier zu nennen: Branchenpunkt, Complavis, InPega oder Drexler. Die Kursdauer variiert, ebenso wie deren Inhalte. Am Ende dieser Kurse werden i.d.R. Prüfungen gestellt die die Teilnehmer als geeignet für die Aufgabe des Datenschutzbeauftragten verifizieren sollen. Die Angebotsvielfalt ist enorm.
Eines der begehrtesten Zertifikate mit größter Aussagekraft ist bleibt aber das TÜV-Siegel. Dieser bietet Interessenten einen 5-tägigen Kurs mit Aussicht auf ein Zertifikat als Datenschutzbeauftragter “DSB-TÜV”. Kursinhalte, Preise und Termine können beim TÜV Süd eingesehen werden.
Zurück in Ihr Unternehmen:
Das Maß der erforderlichen Fachkunde für den zukünftigten Datenschutzbeauftragten bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbozogenen Daten, die die verantwortliche Stelle erhebt bzw. verwendet. Kandidaten sollten grundsätzlich über folgende Inhalte ausreichend geschult sein:
- Datenschutzrechte
- EDV
- operative Details Ihres Betriebes (Problem bei externen Sachbearbeitern)
Weiterhin sollte der Datenschutzbeauftragte unabhängig und frei von vermeidbaren Interessenskonflikten sein. Personenkreise wie Eigentümer, Mitarbeiter mit besonderen Interessen an betrieblicher Datennutzung und leitende Angestellte, z.B. Leiter von Personal- Verkaufs- oder Marketingabteilungen scheiden deshalb aus. Besser: Man wählt einen nicht-leitenden Angestellten z.B. aus der Rechts- Personal- oder EDV-Abteilung.
Was bedeutet das für Sie als Unternehmer?
Der Datenschutzbeauftragte muss vom Unternehmen ausreichend unterstützt werden. Dazu gehören:
- Weiterbildungsmaßnahmen (Schulungen intern/extern)
- Fortbildung und Informationen bezüglich Datenverarbeitungspraktiken
- Zugang zu Datenverarbeitungsprozessen und -systemen
Der Datenschutzbeauftragte genießt einen besonderen Kündigungsschutz!
Rechte & Pflichten des Datenschutzbeauftragten
Der Datenschutzbeauftragte eines Unternehmens ist nach deutschem Recht dazu verpflichtet, auf die Einhaltung von Datenschutzgesetzen hinzuwirken. Er hat die ordnungsgemäße Anwendung von Datenverarbeitungssystemen zu überwachen und soll Mitarbeiter des Unternehmens hinsichtlich Datenschutzvorschriften vetraut machen. Das Unternehmen hat ihn über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten und ihn über Datenverarbeitung und zugriffsberechtigte Personen zu informieren – ebd.
- Weiterhin kann der Datenschutzbeauftragte Bedenken geltend machen und Empfehlungen aussprechen.
Nimmt das Unternehmen seine Bedenken nicht erst oder ignoriert diese, kann sich der Datenschutzbeauftragte im Zweifelsfall an die zuständige Datenschutzbehörde wenden.
- Er darf Projekte nicht verbieten bzw. förmlich genehmigen.
- Der Datenschutzbeauftragte handelt weisungsfrei und berichtet unmittelbar an die Geschäftsleitung.
Haftung des Datenschutzbeauftragten
Sollte ein Arbeitnehmer des Unternehmens als DSB bestellt werden, so kann man Fragen nach der persönlichen Haftung durchaus erwarten. Das Risiko für Fehlverhalten und Rechtsverletzung ist jedoch gering. Risiken bestehen für Arbeitnehmer unterschiedlicher Tätigkeitsfelder generell in jedem Unternehmen, denn es gilt folgender Grundsatz:
Nach allgemeinen gesetzlichen Regeln kann jeder Vertreter eines Unternehmens für Handlungen und Unterlassungen verantwortlich gemacht werden, wenn er die betreffende Handlung selbst vorgenommen hat oder selbst für die unterlassene Handlung verantwortlich war. – ebd.
So kann auch ein Datenschutzbeauftragter für unmittelbare Beiträge zu rechtswidrigen Datenverarbeitungsaktivitäten verantwortlich gemacht werden. Schneidet der DSB unerlaubt Telefonate ohne wirksamen Gerichtsbeschluss mit, so könnte dieser theoretisch dafür belangt werden. Es kommt aber eher selten vor, dass Arbeitnehmer für Unterlassungen zur Rechenschaft gezogen werden.