Der betriebliche Datenschutzbeauftragte

Öffentliche und nicht öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, sind verpflichtet, bei diesen Arbeiten die Ausführungen des Bundesdatenschutzgesetzes (BDSG) sowie anderer Vorschriften über den Datenschutz sicherzustellen.

Unternehmen haben einen betrieblichen Beauftragten für den Datenschutz zu bestellen, wenn sie bei der automatisierten Datenverarbeitung mindestens 10 Personen oder bei der Verarbeitung auf andere Weise (manuelle Verfahren) mindestens 20 Personen beschäftigen. Maßgeblich ist nicht die Anzahl der Arbeitnehmer, sondern die der im Unternehmen tätigen "Personen" (d.h. auch freie Mitarbeiter, Auszubildende und Geschäftsführer).

Zu den Verpflichteten zählen:
  • natürliche Personen (z. B. Architekten, Anwälte, Steuerberater),

  • juristische Personen (z. B. Aktiengesellschaft, GmbH),

  • Personengesellschaften (z. B. GbR, OHG, KG) und

  • nicht rechtsfähige Vereinigungen (z. B. Gewerkschaften, politische Parteien).

Unabhängig von der Anzahl der Personen haben nicht öffentliche Stellen einen betrieblichen DSB zu bestellen, soweit sie automatisierte Verarbeitungen vornehmen, die wegen besonderer Sensitivität vor Einsatz zu prüfen sind (Vorabkontrolle, vgl. § 4 d Abs. 5 BDSG) oder die personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung oder der anonymisierten Übermittlung erheben, verarbeiten oder nutzen. Mit der Aufgabe des betrieblichen DSB kann auch eine Person außerhalb der verantwortlichen Stelle betraut werden.
 
Der betriebliche DSB ist innerhalb einer Frist von einem Monat nach Aufnahme der Tätigkeit der nicht öffentlichen Stelle zu bestellen. Wird der Datenschutzbeauftragte vorsätzlich oder fahrlässig nicht oder nicht rechtzeitig bestellt, so stellt dies eine Ordnungswidrigkeit dar, die mit einer Geldbuße geahndet werden kann.


Wann genau muss ein betrieblicher DSB bestellt werden?

Das BDSG verpflichtet Unternehmen zur Bestellung eines betrieblichen Datenschutzbeauftragten,
  • unabhängig von der Zahl der Beschäftigten, wenn sie als verantwortliche Stelle personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung oder der anonymisierten Übermittlung erheben, verarbeiten oder nutzen (z. B. Auskunfteien, Adressverlage, Markt- und Meinungsforschungsinstitute), § 4 f Abs. 1 Satz 6 BDSG,

  • unabhängig von der Zahl der Beschäftigten, wenn sie als verantwortliche Stelle automatisierte Datenverarbeitungen vornehmen, die einer Vorabkontrolle unterliegen (z. B. Scoringverfahren bei Kunden), § 4 f Abs. 1 Satz 6 BDSG,

  • ansonsten, wenn sie als verantwortliche Stelle mindestens 10 Personen wenigstens vorübergehend mit automatisierter Datenerhebung, -verarbeitung oder -nutzung beschäftigen, § 4 f Abs. 1 Satz 4 BDSG, oder

  • als verantwortliche Stelle mindestens zwanzig Arbeitnehmer wenigstens vorübergehend mit nichtautomatisierter Datenerhebung, -verarbeitung oder -nutzung beschäftigen, § 4 f Abs. 1 Satz 3 BDSG.

Wer kann zum betrieblichen DSB bestellt werden?

Zum Datenschutzbeauftragten kann nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Zur Aufgabenerfüllung gehören technische, organisatorische und rechtliche Kenntnisse. Der betriebliche DSB muss die gesetzlichen Regelungen, wie die Grundrechte mit Datenschutzbezug, das Bundesdatenschutzgesetz, bereichsspezifische datenschutzrechtliche Regelungen und die einschlägigen Spezialvorschriften des Fachbereichs kennen und sicher anwenden können. Er sollte ferner gute Kenntnisse der Organisation und vertiefte Kenntnisse der Informationstechnik besitzen. Soweit ihm die fachliche Qualifikation in Teilbereichen noch fehlt, ist ihm Gelegenheit zu geben, diese zu erwerben. Mit den Aufgaben und der Arbeitsweise seines Unternehmens sollte der betriebliche DSB möglichst aus eigener Erfahrung gut vertraut sein, um seinen Kontroll- und Beratungsaufgaben nachkommen zu können.
 
Natürlich können Unternehmen auch einen externen Datenschutzbeauftragten bestellen. Die Person des Datenschutzbeauftragten muss nicht unbedingt dem eigenen Betrieb angehören. Auch diejenigen Berufsgruppen, die besondere Berufsgeheimnisse beachten müssen, haben die Möglichkeit externe Datenschutzbeauftragte zu bestellen. Für diese gilt im Zweifelsfall dann auch das Zeugnisverweigerungsrecht.
 
Mitglieder der Unternehmensleitung (z. B. Inhaber, Vorstände, Geschäftsführer) dürfen nicht zum betrieblichen DSB bestellt werden. Grundsätzlich sind auch die Aufgaben des Leiters der EDV-Abteilung und des Personalleiters nicht vereinbar mit der Funktion des Datenschutzbeauftragten, da hier ein Interessenkonflikt zu befürchten ist.


Wie wird ein betrieblicher DSB bestellt?

Die Bestellung eines betrieblichen Datenschutzbeauftragten muss schriftlich erfolgen (§ 4 f Abs. 1 BDSG), vgl. auch das untenstehende Muster.
 
  • Empfehlung: Arbeitsvertragliche Festlegung des wesentlichen Tätigkeitsfeldes führt zu Rechtssicherheit auf beiden Seiten.

  • Möglich ist auch die Bestellung eines externen betrieblichen DSB (§ 4 f Abs. 2 BDSG). Die wechselseitigen Pflichten ergeben sich dann aus dem Dienstleistungsvertrag.

  • Bei Konzernen oder konzernähnlichen Unternehmensstrukturen ist Folgendes zu beachten: Grundsätzlich muss jede verantwortliche Stelle einen betrieblichen DSB bestellen. Bei Konzernen kann es aber sinnvoll sein, dass mehrere oder alle Tochterunternehmen ein und denselben betrieblichen DSB bestellen, um Synergieeffekte zu nutzen.

  • Der Aufsichtsbehörde muss die Bestellung nicht mitgeteilt werden. Es besteht jedoch eine Auskunftspflicht des Unternehmens.


Muster: Bestellung zum betrieblichen Datenschutzbeauftragten
(mit Tätigkeitsbeschreibung)

Herrn/Frau

...........................................................................
im Hause

...........................................................................

Betr.: Beauftragter für den Datenschutz gem. §§ 4 f und 4 g BDSG

Unter Bezugnahme auf die mit Ihnen geführten Vorgespräche bestelle ich Sie hiermit zum Beauftragten für den Datenschutz in unserem Unternehmen.
In Erfüllung Ihrer Aufgaben als Datenschutzbeauftragter sind Sie der Geschäftsleitung unmittelbar unterstellt. Im Rahmen der Geschäftsleitung ist für den Bereich Datenschutz in erster Linie Herr/Frau ......................... zuständig.
Sie sind bei der Anwendung Ihrer Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei und werden bei der Erfüllung Ihrer Aufgaben von der Geschäftsleitung unterstützt.
Ihre Aufgabe ist es, auf die Einhaltung des Bundesdatenschutzgesetzes sowie anderer Vorschriften über den Datenschutz in unserem Unternehmen hin zu wirken. Zu diesem Zweck können Sie sich in Zweifelsfällen an die für unser Unternehmen zuständige Datenschutzaufsichtsbehörde wenden. Ihre gesetzlichen Pflichten sind insbesondere:
- die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen; zu diesem Zweck werden Sie über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig unterrichtet,
sowie
- die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften des Bundesdatenschutzgesetzes sowie anderer Vorschriften über den Datenschutz, bezogen auf die besonderen Verhältnisse in diesem Geschäftsbereich und die sich daraus ergebenden Erfordernisse für den Datenschutz, vertraut zu machen.
Auf Ihre Verschwiegenheitspflicht hinsichtlich der Identität von Betroffenen sowie der Umstände, die Rückschlüsse auf die Betroffenen zulassen - soweit Sie nicht davon durch die Betroffenen ausdrücklich befreit sind -, weise ich Sie besonders hin.
Die Übersicht nach § 4 g, Abs. 2 BDSG wird durch Sie, alternativ durch Herrn/Frau
(.......................................)
geführt.
Ich wünsche Ihnen für Ihre Tätigkeit viel Erfolg.

.......................................
(Ort und Datum)

.......................................
(Für die Geschäftsleitung)
 
 
Stellung des betrieblichen DSB im Unternehmen
 
Der betriebliche Datenschutzbeauftragte ist ein Organ der Selbstkontrolle; er unterstützt und berät sein Unternehmen und wirkt auf die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz hin.
 
Der Datenschutzbeauftragte ist der Unternehmensleitung unmittelbar zu unterstellen. Bei der Anwendung seiner Fachkunde auf dem Gebiet des Datenschutzes ist er weisungsfrei.
 
Die Bestellung zum Datenschutzbeauftragten kann nur aus wichtigem Grund widerrufen werden. Besteht eine gesetzliche Pflicht zur Bestellung, so unterliegt der DSB einem besonderen Kündigungsschutz. Die Kündigung des Arbeitsverhältnisses während der Bestellung und innerhalb eines Jahres nach der Abberufung ist nur aus wichtigem Grund zulässig (§ 4 f Abs. 3 BDSG). Dem Datenschutzbeauftragten steht außerdem das Recht auf Fort- und Weiterbildung zu.
 
Hinweis:
Der Arbeitgeber kann die Bestellung eines Mitarbeiters zum betrieblichen Datenschutzbeauftragten nicht deshalb widerrufen, weil er sich dazu entschlossen hat, die Aufgabe einem externen Dienstleister zu übertragen. Auch die Wahl des Datenschutzbeauftragten in den Betriebsrat genügt nicht für eine Abberufung, da seine Zuverlässigkeit allein durch diesen Umstand nicht in Frage gestellt wird (Urteil des Bundesarbeitsgerichts vom 23.03.2011, Az.: 10 AZR 562/09).
 

Zuständige Aufsichtsbehörde:

Die Aufsichtsbehörde hat neben ihrer Kontrollfunktion auch die gesetzliche Aufgabe, die Beauftragten für den Datenschutz und die Unternehmen zu beraten und zu unterstützen. Für Hessen zuständig ist:

Der Hessische Datenschutzbeauftragte
Postfach 31 63
65021 Wiesbaden

Gustav-Stresemann-Ring 1
65189 Wiesbaden

Tel. 0611/1408-0
Fax 0611/1408-900 oder -901

www.datenschutz.hessen.de

 

Weitere Informationen:
 
>> Beschluss der obersten Aufsichtsbehörden über die Mindestanforderungen an Fachkunde und Unabhängigkeit des betrieblichen Datenschutzbeauftragten vom 24./25.11.2010


>> Informationsbroschüre des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit "Der Datenschutzbeauftragte in Behörde und Betrieb"


Nützliche Internetadressen zum Datenschutz:

Virtuelles Datenschutzbüro:
 
Übersicht verschiedener Fortbildungsangebote

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
 
Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)
www.gdd.de

Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.
www.bvdnet.de
Der BvD führt ein Verzeichnis von externen Datenschutzbeauftragten. Dieses
können Firmen, Behörden und Institutionen bei der Geschäftsstelle anfordern.

 

 

Ansprechpartner

Anfragen aus dem IHK-Bezirk beantwortet:
Simone Windisch Recht und Steuern
Telefon:069 2197-1554 Fax:069 2197-1575

Hinweis zu Arbeitnehmeranfragen

Aufgrund ihrer Funktion als Interessenvertreter der gewerblichen Wirtschaft gibt die IHK Frankfurt am Main grundsätzlich nur Arbeitgebern Auskünfte zum Thema Arbeitsrecht. Arbeitnehmer können sich beim Bürgertelefon des Bundesministeriums für Arbeit und Soziales informieren. Ansprechpartner sind zudem Gewerkschaften und Rechtsanwälte.

Info-Video: Facebook Impressum - vermeiden Sie eine Abmahnung

Info-Video: Datenschutzerklärung - Informieren Sie Ihre User