Bestellung eines Datenschutzbeauftragten: Ja, nein, vielleicht? – Eine Checkliste
Wenn im eigenen Unternehmen personenbezogene Daten verarbeitet werden, ist die Bestellung eines Datenschutzbeauftragten (folgend: DSB) meist unerlässlich. Aber: Wer braucht ihn wirklich – und wo findet man einen?
Diese und ähnliche Fragen sollen in der folgenden Checkliste abgearbeitet werden. Am wichtigsten ist hierbei: keine Scheu vor diesem Thema! Der Datenschutzbeauftragte gehört zwar zu den „Wolpertingern “ des deutschen Rechts, entpuppt sich bei näherer Betrachtung aber als ausgesprochen zahm. Der ihm zugrunde liegende Gedanke ist recht simpel: der Gesetzgeber will sicherstellen, dass in jedem Betrieb mit hohem Datenaufkommen mindestens ein Mitarbeiter über fundierte Kenntnisse im Bereich Datenschutz verfügt, und dass durch ihn im gesamten Betrieb die Idee des Datenschutzes präsent gehalten wird.
Ein Anspruch auf Vollständigkeit kann hier nicht erhoben werden; diese Checkliste dient nur einem ersten Überblick. Darüber hinaus ist es für die angesprochenen Stellen sinnvoll, eine gezielte Beratung zu suchen.
Überblick
Bedarfsermittlung
- Welche Stellen sind angesprochen?
- Wird bei diesen Stellen mit relevanten Daten hantiert?
- Wie wird mit diesen Daten hantiert?
Bestellung
- Zeitpunkt
- Auswahl
- Ausbildung
- Bestellung
Tätigkeit
- Aufgaben des DSB
- Rechte des DSB
Wissenswertes
- Abberufung
- Kündigungsschutz
- Aufsichtsbehörde und Sanktionierung
Teil I: Bedarfsermittlung
Zunächst ist natürlich einmal zu ermitteln, welche Stellen überhaupt einen DSB zu bestellen haben.
Schritt 1: Welche Stellen sind angesprochen?
Gemäß §§ 4f i.V.m. 2 Abs. 4 BDSG kommt in der freien Wirtschaft für alle „nicht-öffentlichen Stellen“, bei denen mit personenbezogenen Daten hantiert wird, ein DSB in Betracht.
Im Gesetz sind hier genannt:
- natürliche Personen: insbesondere sind hier Angehörige der freien Berufe gemeint, also selbständige Ärzte, Anwälte, Ingenieure, Architekten etc.
- juristische Personen, Gesellschaften und andere Personenvereinigungen: also alle Zusammenschlüsse von Einzelpersonen, z.B. Vereine, Gesellschaften, Genossenschaften, Anwaltskanzleien, Praxisgemeinschaften etc.
Der Einfachheit halber werden diese Stellen im Folgenden „Betriebe“ genannt.
Schritt 2: Wird bei diesen Stellen mit relevanten Daten hantiert?
Der Datenschutzbeauftragte ist nur für den Umgang mit personenbezogenen Daten zuständig. Gemäß § 3 Abs. 1 BDSG sind dies „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten bzw. bestimmbaren natürlichen Person“, mit anderen Worten: jede Information, die direkt von einer Einzelperson erhoben wurde und die konkret auf diese zutrifft. Neben den üblichen Personalien kommen hier auch E-Mail-Adresse, medizinische Daten, Umfrageergebnisse, Angaben zu den Vermögensverhältnissen, Prüfungsnoten etc. in Betracht.
Wichtig: Es geht hier nicht nur um die Speicherung auf EDV-Datenträgern (wie Festplatte oder CD-ROM), sondern auf allen Arten von Informationsträgern, wie z.B. Patientenakten, Umfragebögen, Adresslisten etc.
Schritt 3: Wie wird mit diesen Daten hantiert?
In § 4f Abs. 1 BDSG wird schließlich konkret geregelt, ob ein DSB zu bestellen ist oder nicht. Dies wird davon abhängig gemacht, wie mit den personenbezogenen Daten gearbeitet wird. Unterschieden werden vier Fälle.
Fall 1 – Betriebe, in denen mit personenbezogenen Daten gearbeitet wird (§ 4f Abs. 1 Satz 3 BDSG):
Mit diesem Grundfall sind alle Betriebe gemeint, in denen in irgendeiner Form systematisch solche Daten erhoben, gespeichert, eingesehen oder sonst verarbeitet werden. Dies können Personalbögen, Patientenunterlagen, Adresskarteien oder sonstige Sammlungen sein, egal ob digital oder auf Papier. Diese Betriebe haben einen DSB dann zu bestellen, wenn zwanzig oder mehr Personen regelmäßig mit diesen Daten arbeiten.
Doch nicht jede bloße Kenntnisnahme solcher Daten führt auch dazu, dass ein Mitarbeiter zu diesen zwanzig Personen gezählt wird, vielmehr muss hier gezielt mit diesen Daten gearbeitet werden (z.B. Suche, Nutzung, Erhebung, Auswertung etc.). Eine Sekretärin, die gelegentlich Briefe an Kunden schreibt und dabei Kenntnis von deren Adresse erlangt, zählt nicht zu diesen Personen. Anders liegt der Fall bei einer Arzthelferin, die regelmäßig und gezielt auf die Patientenkartei zugreift. Dabei ist es übrigens unerheblich, ob die Person in Voll- oder Teilzeit beschäftigt ist; erheblich ist allein der Zugriff.
Sollten in mehreren Betriebsteilen getrennte Datensammlungen bestehen, genügt ausdrücklich ein DSB für alle Bereiche, sofern er sie im Blick behalten kann.
Fall 2 – Betriebe, in denen personenbezogene Daten automatisiert verarbeitet werden (§ 4f Abs. 1 Satz 4 BDSG):
Wird in den Betrieben aus Fall 1 „automatisiert“ – also mit EDV-Unterstützung – gearbeitet, so ist ein DSB schon dann zu bestellen, wenn zehn oder mehr Personen Zugriff haben.
Es bleibt natürlich fraglich, welche Arbeit am PC das Merkmal „automatisiert“ erfüllt. Hier ist ein gewisser Verarbeitungsprozess notwendig; auf eine simple Excel-Tabelle, die anstelle einer Kladde geführt wird, dürfte dies nicht zutreffen. Werden dagegen z.B. Daten über eine Access-Eingabemaske in eine Datenbank eingepflegt, ist bereits ein gewisser Automatisierungsgrad erreicht.
Fall 3 – Betriebe, in denen personenbezogene Daten geschäftsmäßig an Dritte weitergegeben werden (vgl. § 4f Abs. 1 Satz 6 BDSG):
Gemeint sind hier Betriebe wie z.B. Telefonauskunfteien oder Marktforschungsinstitute, die geschäftsmäßig personenbezogene Daten speichern oder erheben und diese dann an Dritte „verkaufen“. Diese Betriebe müssen grundsätzlich einen DSB bestellen – und zwar auch dann, wenn die Daten in anonymisierter Form weitergegeben werden!
Fall 4 – Betriebe, in denen personenbezogene Daten einer Vorabkontrolle unterzogen werden (vgl. ebenfalls § 4f Abs. 1 Satz 6 BDSG):
Gemeint sind hier Betriebe wie z.B. Forschungsstellen, die regelmäßig Personendaten erheben und dabei vor der Speicherung oder Weiterverarbeitung gezielt nach bestimmten Merkmalen (z.B. bestimmten Krankheiten, Kundenkriterien etc.) suchen. Diese Betriebe müssen ebenfalls grundsätzlich einen DSB bestellen.
Zwischenbilanz
An dieser Stelle sollte feststehen, ob ein DSB benötigt wird oder nicht. Im folgenden Teil soll nun die eigentliche Bestellung ausgeleuchtet werden.
Teil II: Bestellung
Auch hier kann wieder in einfachen Schrittfolgen gearbeitet werden.
Schritt 1: Zeitpunkt
Zunächst ist einmal wichtig: Betriebe, für die nach dem o.g. Schema ein DSB vorgesehen ist, müssen diesen innerhalb von einem Monat nach Aufnahme ihrer Tätigkeit bestellen (§ 4f Abs. 1 Satz 2 BDSG).
Schritt 2: Auswahl
Nun muss noch eine geeignete Person gefunden werden – und hier gehen für die meisten Betriebe die Probleme los. Wenn man sich diesem Thema jedoch einigermaßen strukturiert annähert, sollte schnell eine geeignete Person aufzufinden sein. DSB ist übrigens nicht notwendig ein „full-time job“. Gerade in mittelständischen Betrieben handelt es sich eher um eine Nebentätigkeit, so dass bei dem ausgewählten Mitarbeiter die ursprüngliche Arbeitskraft weitgehend erhalten bleibt.
Bei der Auswahl empfiehlt es sich, nach Gesetzes-, Interessen- und allgemeinen Kriterien vorzugehen.
Kriterium 1 – Gesetzeslage: Gemäß § 4f Abs. 2 BDSG dürfen nur solche Mitarbeiter als DSB bestellt werden, welche die „erforderliche Fachkunde und Zuverlässigkeit“ besitzen. Das Maß der erforderlichen Fachkunde bestimmt sich hierbei nach dem Umfang der Datenverarbeitung sowie dem Schutzbedarf der personenbezogenen Daten. An dieser Stelle sollten noch keine allzu hohen Anforderungen an die Kandidaten gestellt werden, denn: es ist ohnehin notwendig, den zukünftigen DSB vor seiner Bestellung gezielt fortzubilden, insbesondere um ihn mit dem nötigen juristischen Rüstzeug auszustatten. Vorerst sollte die Wahl also auf einen Mitarbeiter fallen, der solide technische Grundkenntnisse hat, die Organisationsstruktur samt Abläufen kennt und außerdem sehr zuverlässig ist.
Kriterium 2 – Interessenlage: Neben den Personen, die die gesetzlich geforderten Voraussetzungen nicht erfüllen (s.o.), sind alle Personen nicht als DSB geeignet, die durch die spätere Tätigkeit in einen Interessenkonflikt geraten können (z.B. gelegentlich den Datenschutz hinter einen schnellen Betriebsablauf zu stellen). Neben Personen, die sehr häufig mit personenbezogenen Daten arbeiten, sind dies insbesondere Vorstandsmitglieder sowie die Leiter der Abteilungen, in denen regelmäßig mit personenbezogenen Daten hantiert wird.
Kriterium 3 – allgemeine Merkmale: Darüber hinaus sollte der zukünftige DSB noch ein paar andere Eigenschaften mitbringen.
Neben der grundsätzlichen Bereitschaft, als DSB zu agieren, und einem gesunden Interesse am Thema Datenschutz ist vor allem eine gewisse Sozialkompetenz von Vorteil, da der spätere DSB immer wieder interne Fortbildungen und auch vertrauliche Einzelgespräche bestreiten muss.
Auch ist es für den DSB selbst sehr vorteilhaft, wenn er die Fähigkeit zu gezieltem und selbständigem Arbeiten mitbringt; hierzu zählt auch ein gesundes Selbstvertrauen und Durchhaltevermögen.
Und schließlich sei noch darauf hingewiesen, dass der DSB „bis in alle Ewigkeit“ DSB bleiben wird: von daher wird es unerlässlich sein, dass zwischen dem Kandidaten und insbesondere dem Führungspersonal ein gutes Klima herrscht.
Externer Datenschutzbeauftragter: Notfalls kann gemäß § 4f Abs. 2 Satz 3 BDSG auch eine externe Person als DSB bestellt werden. Diese muss dann natürlich einen umfassenden Einblick in das von ihr betreute Unternehmen erhalten.
Schritt 3: Ausbildung
Wie schon gesagt, der zukünftige DSB sollte intensiv fortgebildet werden, um ihn optimal auf seine Tätigkeit vorzubereiten und die gesetzlichen Kriterien zu erfüllen. Eine Berufsausbildung gibt es hier nicht; es werden jedoch von verschiedenen Organisationen Seminare angeboten, in denen ein zukünftiger DSB die notwendigen Grundkenntnisse erwerben kann. Am Ende seiner Ausbildung muss der zu bestellende DSB
- alle relevanten Normen kennen und auch anwenden können,
- ggf. über vertiefte IT-Kenntnisse verfügen und
- die gesamte Struktur seines Betriebes und alle für seinen Bereich erheblichen Abläufe kennen.
Mit dieser Ausbildung muss ggf. frühzeitig begonnen werden, denn zwischen Betriebsaufnahme und Bestellung darf nur ein Zeitfenster von einem Monat liegen (s.o.)! Hierbei ist jedoch auf eine gewisse Seriosität sowohl des Anbieters als auch seiner Angebote zu achten – „5-Tage-Schnellkurse“ reichen regelmäßig nicht aus (so z.B. LG Köln, Urteil vom 19.05.2000, Az. 84 O 49/00).
Schritt 4: Bestellung
Ist der ausgewählte Mitarbeiter erst einmal „combat ready“, dann bleibt nur noch die förmliche Bestellung zu erledigen. Gemäß § 4f Abs. 1 BDSG hat dies schriftlich zu geschehen, ansonsten bestehen keine Formvorschriften. Zu beachten ist jedoch, dass sich mit der Bestellung regelmäßig auch der Inhalt des Arbeitsvertrages ändert; die Aufgaben des DSB werden zur zusätzlichen Arbeitsaufgabe (so z.B. das Bundesarbeitsgericht, Urteil vom 13.03.2007, Az. 9 AZR 612/05). Von daher kann es sinnvoll sein, dem DSB einen geänderten Arbeitsvertrag anzubieten; dieser erfüllt einerseits das Erfordernis der Schriftform und genügt andererseits auch den arbeitsrechtlichen Belangen.
Selbstverständlich sollte dann auch noch das übrige Personal über die Bestellung informiert werden.
Zwischenbilanz
Et voilà: ein Datenschutzbeauftragter ist geboren. Da dieser nun in Zukunft recht regsam im eigenen Betrieb unterwegs sein wird, soll im folgenden Teil noch kurz seine Tätigkeit betrachtet werden.
Teil III: Tätigkeit
Wenn man sich hier ein wenig auskennt, ist der Umgang mit dem DSB nicht weiter schwierig. Interessant sind vor allem die Punkte „Aufgaben“ und „Rechte“ des DSB.
Aufgaben des DSB
Der DSB ist ein Bestandteil der unternehmerischen Selbstkontrolle. Als solcher hat er gemäß § 4g BDSG die Aufgabe, auf die innerbetriebliche Beachtung des Datenschutzes und Einhaltung der einschlägigen Rechtsnormen hinzuwirken. Das bedeutet insbesondere:
- Überwachung aller betrieblichen Vorgänge, bei denen mit personenbezogenen Daten hantiert wird,
- hieraus resultierend Abgabe von Hinweisen und Verbesserungsvorschlägen bezüglich Mängeln, sowie
- Information und Schulung des Personals über die Belange und die jeweils aktuelle Rechtslage des Datenschutzes.
Gemäß § 4f Abs. 5 BDSG ist der DSB darüber hinaus auch Ansprechpartner für die „Betroffenen“, also die Personen, deren Daten erfasst wurden. Dieser Punkt darf nicht unterschätzt werden, da gerade hier ein kompetent agierender DSB ein positives Bild seines Unternehmens vermitteln kann.
Rechte des DSB
Das BDSG stattet den DSB zur Ausübung seiner Pflichten auch mit umfangreichen Rechten aus. Zu beachten ist insbesondere:
- Der DSB ist vom gesamten Betrieb zu unterstützen und mit allen notwendigen Mitteln und Informationen auszustatten; falls erforderlich gehören dazu auch eigene Räumlichkeiten und Mitarbeiter (§§ 4g Abs. 2, 4f Abs. 5 BDSG).
- Der DSB ist in seiner Funktion ausschließlich und unmittelbar dem Vorstand unterstellt und übt seine Fachtätigkeit grundsätzlich weisungsfrei aus (§ 4f Abs. 3 BDSG).
- Der DSB darf wegen der Ausübung seiner Pflichten in keiner Weise benachteiligt („gegängelt“) werden (§ 4f Abs. 3 BDSG).
- In Zweifelsfällen kann er auch behördliche Unterstützung (insbesondere Beratung durch die zuständige Aufsichtsbehörde) in Anspruch nehmen (§ 4g Abs. 1 BDSG).
Der DSB ist in Ausübung seiner Tätigkeit jedoch grundsätzlich nicht weisungsbefugt. Eine solche Befugnis ist weder aus dem Gesetz herzuleiten, noch vom Gesetzgeber gewünscht.
Zwischenbilanz
Wie bereits zu Beginn dieses Artikels erwähnt und nun konkret aufgezeigt, ist der Sinn eines DSB, Betriebe mit hohem Datenaufkommen mit einem Mitarbeiter auszustatten, der über fundierte Kenntnisse im Bereich Datenschutz verfügt. Neben der Überwachung aller relevanten Vorgänge soll dieser dann seine Kollegen „anstecken“, also für die Belange des Datenschutzes sensibilisieren.
Teil IV: Wissenswertes
Darüber hinaus gibt es noch zwei Punkte, die zu diesem Thema interessant sind:
Abberufung des Datenschutzbeauftragten
Grundsätzlich auch möglich, den DSB wieder abzuberufen; der Gesetzgeber hat hier jedoch eine Hürde eingebaut: Für einen Widerruf der Bestellung muss ein wichtiger Grund vorliegen, ähnlich wie bei der außerordentlichen Kündigung (§ 4f Abs. 3 BDSG i.V.m. § 626 BGB) . Dies soll verhindern, dass ein „zu kritischer“ DSB durch einen eher indifferenten Mitarbeiter ersetzt wird.
Die Bestellung zum DSB muss widerrufen werden, wenn die zuständige Aufsichtsbehörde dies verlangt (§ 4f Abs. 3 BDSG).
Aus arbeitsrechtlicher Sicht ist hier wieder zu beachten, dass die Tätigkeit als DSB regelmäßig in den Arbeitsvertrag aufzunehmen ist (s.o.) und der Widerruf der Bestellung somit auch eine Teilkündigung hinsichtlich der Aufgaben als DSB erfordert (so auch das Bundesarbeitsgericht in dem bereits genannten Urteil).
Kündigungsschutz des Datenschutzbeauftragten
Die Frage, ob ein DSB unter Kündigungsschutz steht, gilt zwar als umstritten, wird aber in der Rechtsprechung recht einsilbig beantwortet: Nein. Zwar wird der Mitarbeiter vor einem Widerruf der Bestellung zum DSB geschützt, ein besonderer Kündigungsschutz ist jedoch weder aus dem Gesetz herzuleiten noch vom Gesetzgeber so gewollt. Wird das Arbeitsverhältnis beendet, so erlischt auch automatisch die Bestellung (so z.B. Landesarbeitsgericht Niedersachsen, Urteil vom 16.06.2003, Az. 8 Sa 1968/02).
Derzeit gibt es verschiedene Bestrebungen, in Zukunft einen Kündigungsschutz für den DSB im Gesetz zu verankern; eine konkrete Entwicklung ist hier jedoch noch nicht abzusehen.
Aufsichtsbehörde und Sanktionierung
Im BDSG ist eine Aufsichtsbehörde (§ 38 BDSG) vorgesehen, die in ihrem Zuständigkeitsbereich die Einhaltung des BDSG überwacht und insbesondere auch befugt ist, in allen Betrieben, die mit personenbezogenen Daten hantieren, Kontrollen durchzuführen. Zur Durchsetzung des BDSG kann diese Behörde auch Sanktionen aussprechen; so ist z.B. die zu späte oder gänzlich unterlassene Bestellung eines DSB mit einer Geldbuße von bis zu € 25.000,- bewehrt (§ 43 Abs. 1 Nr. 2 BDSG).
Die Bestimmung dieser Behörde ist Ländersache, und hier ist noch keine einheitliche Vorgehensweise zu erkennen: In der Praxis sind alle möglichen Stellen als Aufsichtsbehörde eingesetzt worden, von der einzelnen Bezirksregierung bis hin zum Landesministerium für Inneres. Es ist daher leider nicht möglich, allgemeingültige Aussagen über die Arbeitsweise dieser Behörden (z.B. inwieweit Kontrollen durchgeführt und Geldbußen verhängt werden) zu treffen.
Fazit
Wurde der DSB zu Beginn dieses Artikels noch als „Wolpertinger“ bezeichnet, so sollte spätestens hier feststehen, dass er eigentlich gar kein Mysterium darstellt. Wichtig ist nur, dass Betriebe, die personenbezogene Daten nutzen, sich frühzeitig und gezielt mit diesem Thema befassen.
Hinweis: Der vorliegende Beitrag wurde unter Mitwirkung unseres wissenschaftlichen Mitarbeiters, Herrn Chris Engel, erstellt.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Antje Delater / Pixelio
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
1 Kommentar