Unternehmen, die mindestens 10 Mitarbeiter beschäftigen, die mit einer automatisierten Datenverarbeitung vertraut sind, sind dazu verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen. Aber auch Betriebe, auf die einer der Fälle des § 4f Abs. 1 S. 6 BDSG zutrifft. Was dessen Aufgaben und Pflichten anbelangt, herrscht bei vielen Betrieben jedoch oft Unklarheit. Es bestehen jedoch gewisse Mindestanforderungen an die Position des Datenschutzbeauftragten, die jedem Unternehmen bekannt sein sollten.
Warum sind Unternehmen verpflichtet einen Datenschutzbeauftragten zu bestellen?
Das deutsche Datenschutzrecht verfolgt das System der zweistufigen Kontrolle. Das bedeutet, dass zwei Gremien für die Einhaltung der Datenschutzvorschriften verantwortlich sind. Zum einen sind das die Aufsichtsbehörden, zum anderen der Datenschutzbeauftragte des jeweiligen Betriebes. Jedes Unternehmen, das personenbezogene Daten verarbeitet ist somit gemäß §4f I BDSG dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen. Allerdings ist dies abhängig von der Art der Datenverarbeitung und der Anzahl der damit betrauten Mitarbeiter. Erfolgt diese Bestellung nicht, stellt dies eine Ordnungswidrigkeit dar, die mit einer hohen Geldstrafe geahndet werden kann.
Was sind die konkreten Aufgabenbereiche eines betrieblichen Datenschutzbeauftragten?
Die Hauptaufgabe des Beauftragten für den betrieblichen Datenschutz ist es, auf die Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften zum Datenschutz zu achten. Allerdings kann der Datenschutzbeauftragte die Umsetzung datenschutzrechtlicher Vorschriften nicht selbst vornehmen. Dies ist die Aufgabe der jeweiligen Geschäftsführung. Daher übernimmt er in erster Linie Aufgaben, die auf die Kontrolle und die Untersuchung des Datenschutzniveaus im Unternehmen abzielen.
Auch wenn der Datenschutzbeauftrage keine Entscheidungskompetenz hat, trägt er jede Menge Verantwortung innerhalb des Unternehmens. Da bei Verstößen gegen Datenschutzbestimmungen Schadensersatzforderungen drohen, muss der Beauftragte der zunehmenden Komplexität der Gesetze gewachsen sein und sich daher stets weiterbilden.
Prüfung der Einhaltung von Datenschutzregelungen
Es ist unabdingbar, dass der Datenschutzbeauftragte alle Datenschutzregelungen und deren Auslegung kennt. Dazu zählen nicht nur das Bundesdatenschutzgesetz, sondern auch bereichsspezifische Spezialnormen und Vereinbarungen mit Arbeitnehmervertretungen.
Kontrollkompetenz und Aufgabenspektrum
Alle Mitarbeiter, die mit personenbezogenen Daten arbeiten, gilt es zu kontrollieren. Dies sind unter anderem die Personalabteilung, das Controlling, die Buchhaltung und das Marketing. Somit ergibt sich ein breites Aufgabenspektrum, welches sowohl das Erstellen von Gutachten, die Prüfung von Verträgen mit Dienstleistern, als auch das Kommunizieren mit Behörden und weitere Tätigkeiten beinhaltet. Je nach Unternehmen und den jeweiligen Gegebenheiten, kann der Umfang variieren und Unterschiede aufweisen. Dies muss der Beauftragte für den betrieblichen Datenschutz ebenfalls im Blick haben.
Typischerweise gehören folgende Bereiche zum Aufgabenspektrum eines betrieblichen Datenschutzbeauftragten:
- Rechtmäßigkeit der Profilbildung (§6a BDSG)
- Prüfung der Regelungen zur Mitarbeiterkontrolle
- Kontrolle der Protokolldaten (§31 BDSG)
- Prüfung der einzelnen Datensicherungsmaßnahmen (§9 BDSG)
- Prüfung und Kontrolle der Auftragsdatenverarbeitung (§11 BDSG)
- Prüfung der Videoüberwachung in öffentlich zugänglichen Bereichen (§6b BDSG) und am Arbeitsplatz (§ 32 BDSG)
- Bearbeitung von Auskunftsersuchen Betroffener (§34, §35 BDSG)
- Datennutzung zum Marketing und Kundenwerbung (§28 BDSG, §7 UWG)
- Prüfung der Zulässigkeit der Übermittlung in Drittstaaten (§4b, §4c BDSG)
Überwachung von Datenverarbeitungsprogrammen
Ziel der Überwachung von Datenverarbeitungsprogrammen ist es, Verstöße gegen den Datenschutz bereits im Vorfeld zu vermeiden. Dazu sollte das Unternehmen den Datenschutzbeauftragten rechtzeitig über die Einführung neuer Programme informieren. Nur so kann er sich mit dem Programm auseinandersetzen und eine entsprechende Stellungnahme abgeben. Neben umfassenden rechtlichen Kenntnissen bedarf es hierzu auch eines guten technischen Verständnisses.
Regelmäßige Schulung der Mitarbeiter
Um sicherzustellen, dass das Thema Datensicherheit und – schutz effizient im Unternehmen eingehalten wird, muss der Datenschutzbeauftragte die Mitarbeiter schulen und regelmäßig sensibilisieren. Dies ist gemäß §4g Abs. 1 Satz 2 Nr. 3 BDSG ausdrücklich geregelt. Hierzu bietet es sich an, dass der Datenschutzbeauftragte und der Betriebsrat eng zusammenarbeiten. So können Prozesse optimiert und Termine sinnvoll koordiniert werden.
Führung eines Verfahrensverzeichnisses
Die Art und der Umfang der Datenverarbeitung im Unternehmen stellen meldepflichtige Informationen dar. Diese muss der Datenschutzbeauftragte jeden mittels Verfahrensverzeichnis zur Verfügung stellen. Auch wenn gesetzlich geregelt ist, dass das Unternehmen dem Beauftragten für Datenschutz diese Informationen zur Verfügung stellen muss, sieht der Ablauf in der Realität oft anders aus. Oftmals müssen diese Informationen selbst zusammengetragen werden.
Durchführung von Vorabkontrollen
Gerade bei der Einführung von Verfahren automatisierter Verarbeitungen müssen im Vorfeld Kontrollen durchgeführt werden, wenn der Verdacht besteht, dass durch die Einführung besondere Risiken drohen. Besonders bei Daten besonderer Art (Herkunft, Religion usw.) und wenn die Datenverarbeitung dazu geeignet ist, die Persönlichkeit des Betroffenen zu bewerten. Beispiele hierfür sind Verfahren der Personalverwaltung, Videoüberwachung und Telefondatenerfassung.
Ob Sie diese wichtige Position mit einem Ihrer Angestellten oder einem externen Experten besetzen, bleibt Ihnen überlassen. Sollten Sie einen Kollegen haben, der über das notwendige Fachwissen verfügt und für die Aufgabe freigestellt werden kann, kann diese Person zum Datenschutzbeauftragten bestellt werden. Da die Komplexität des Themas Datenschutzes jedoch ständig größer wird und Unternehmen bezüglich evtl. entstehender Haftungsfragen auf der sicheren Seite sein wollen, empfiehlt es sich, die Stelle extern zu besetzen.
Doch egal, ob interner oder externer Datenschutzbeauftragter. Die Aufgaben eines betrieblichen Datenschutzbeauftragten sind sehr komplex und wichtig und sollten daher immer mit der notwendigen Ernsthaftigkeit betrachtet werden.