*
Logo
blockHeaderEditIcon
Logo LT Datenschutz
Menu
blockHeaderEditIcon
Menu

 

Gesetze und Datenschutzbeauftragte

 

Hinsichtlich des Datenschutzes finden sich eine Vielzahl von gesetzlichen Regelungen. Ein paar Beispiele als unvollständige Aufzählung:

  • Europäisches Recht (DSGVO)
  • Grundgesetz
  • BGB und Strafgesetzbuch
  • Sozial Gesetzbücher (SGB)
  • Betriebsverfassungsgesetz (BetrVG)
  • Bundesdatenschutzgesetz (BDSG)
  • Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG)
  • verschiedene Landesdatenschutzgesetze usw.

Gesetz ist Gesetz! Wer kennt nicht diesen Spruch. Wir Unternehmer sollen (müssen) all diese Gesetze einhalten. Natürlich gibt es für die Aufsichtsbehörden und Unternehmer auch das Gebot der Wirtschaftlichkeit. Ober wo ist bzw. wer zieht die Grenze? Hier hilft der betriebliche Datenschutzbeauftragte, welcher intern oder extern bestellt werden kann. Das Datenschutzrecht ist Ländersache. Das heißt, jedes Bundesland hat seine eigene Aufsichtsbehörde und seine(n) eigene(n) Landesdatenschutzbeauftragte(n). Diese kontrollieren die Umsetzung des BDSG und haben weitgehende Rechte.

 

Notwendigkeit

 
Im Bundesdatenschutzgesetz (BDSG) ist definiert, wann ein Unternehmen dazu verpflichtet ist, einen Datenschutzbeauftragten zu bestellen. Eine gesetzliche Verpflichtung liegt in den folgenden drei Fällen vor:
 
  • Das Unternehmen beschäftigt mindestens zehn Mitarbeiter, die personenbezogene Daten automatisiert verarbeiten. Ob es sich dabei um fest angestellte Mitarbeiter, freie Mitarbeiter oder Aushilfen handelt ist irrelevant. Sofern diese Arbeiten am Computer verrichtet werden, ist von einer automatisierten Verarbeitung der Daten auszugehen. Die rechtliche Grundlage bildet § 38 BDSG.
  • Das Unternehmen übermittelt personenbezogene Daten geschäftsmäßig, erhebt oder verarbeitet diese. Beispiele für solche Unternehmen sind Auskunfteien, Adressverlage oder Marktforschungsunternehmen. Die Anzahl der Beschäftigen spielt dann keine Rolle. Rechtsgrundlage § 38 BDSG
  • Das Unternehmen verarbeitet besonders sensible Daten, wie beispielsweise Bonitäts- oder Gesundheitsdaten. In solch einer Situation besteht unabhängig von der Anzahl der Beschäftigten eine grundsätzliche Verpflichtung zur Bestellung eines Datenschutzbeauftragten. Rechtsgrundlage ist § 38 BDSG.
Bei personenbezogenen Daten handelt es sich um Einzelangaben, die über persönliche oder sachliche Verhältnisse informieren. Hierzu zählen unter anderem:
  • Name, Alter, Familienstand, Geburtsdatum
  • Personalausweisnummer, Sozialversicherungsnummer
  • Adressdaten sowie Telefonnummer, E-Mail Adresse
  • Konto- und Kreditkartennummer
  • Kraftfahrzeugnummer, Kfz-Kennzeichen
  • Gesundheitsdaten und genetische Daten
  • Werturteile wie zum Beispiel Zeugnisse, Vorstrafen
Personenbezogene Daten, die Unternehmen verarbeiten sind überwiegend Kundendaten. Allerdings darf nicht vergessen werden, dass Personaldaten ebenfalls personenbezogen und somit im Rahmen des Datenschutzes zu berücksichtigen sind. Die Form, in der relevante Daten verarbeitet und beispielsweise gesichert werden, spielt keine Rolle. Daher können auch Audioaufzeichnungen, Fotos, Videos oder Röntgenaufnahmen als personenbezogene Daten klassifizierbar sein.
Ein Datenschutzbeauftragter stellt sicher, dass keine Fehler im Umgang mit diesen Daten gemacht werden und sich das Unternehmen somit auf rechtssicherem Terrain bewegt. Soweit die Bestellung eines Datenschutzbeauftragten nicht gesetzlich vorgeschrieben ist, muss die Unternehmensleitung den Datenschutz sicherstellen. Es besteht die Option, einen externen Datenschutzbeauftragten freiwillig zu bestellen.

Aufgaben

 
Allgemeine Aufgabenbeschreibung eines Datenschutzbeauftragten

§ 7 BDSG bestimmt, dass der Datenschutzbeauftragte auf die Einhaltung des BDSG und anderer Vorschriften zum Datenschutz hinwirkt.
Hinwirken deshalb, weil der Datenschutzbeauftragte die Umsetzung der datenschutzrechtlichen Vorschriften nicht selbst vornehmen kann. Im Idealfall analysiert und kontrolliert er den Stand des Datenschutzniveaus im Unternehmen und macht der Geschäftsführung und den einzelnen Abteilungen Vorschläge zur Verbesserung oder Implementierung einer Datenschutzorganisation im Unternehmen. Der Datenschutzbeauftragte selbst hat also keine Entscheidungsgewalt sondern ist organisatorisch gemäß §4  7 BDSG der Geschäftsleitung unterstellt.
Aufgabenbereiche
Doch auch ohne formale Entscheidungskompetenz hat der Datenschutzbeauftragte erhebliche Verantwortung im Unternehmen. Denn mit zunehmender Komplexität der gesetzlichen Regelungen steigt der Aufgabenbereich ständig. Und bei Verstößen gegen Datenschutzbestimmungen – auch wenn sie aus bloßer Unkenntnis geschehen sind – drohen Schadensersatzforderungen der Betroffenen und Ordnungsgelder der Aufsichtsbehörden. Nicht zu reden vom Imageschaden für das Unternehmen.
Einhaltung der Datenschutzreglungen
Der Datenschutzbeauftragte hat sämtliche Datenschutzregelungen und deren Auslegung durch aktuelle Gerichtsentscheidungen zu kennen – also nicht nur das BDSG sondern alle bereichsspezifischen Spezialnormen und selbst Vereinbarungen mit den Arbeitnehmervertretungen. Spezialnormen sind etwa §§67 ff. SGB X, §§91 ff. TKG, §§11 ff. TMG und Regelungen zum Mitarbeiterdatenschutz, §§79, 87 Nr. 6, 90 BetrVG.
Aufgabenspektrum
Die Kontrollkompetenz erstreckt sich auf das gesamte Unternehmen. Umfasst sind alle Abteilungen und Bereiche, in denen personenbezogenen Daten verarbeitet werden (könnten) – von der Personalabteilung und Revision über das Controlling und die Finanzbuchhaltung bis hin zu Marketing und Vertrieb.
Das Aufgabenspektrum ist demgemäß vielfältig. Der Datenschutzbeauftragte hat Gutachten zu erstellen, Verträge mit Dienstleistern zu prüfen, Betriebsvereinbarungen und Unternehmensrichtlinien zu entwerfen, Auskünfte zu erteilen und mit Behörden zu kommunizieren.
Der konkrete Umfang hängt von den jeweiligen tatsächlichen Anforderungen im Unternehmen ab. Typischerweise sind folgende Bereiche betroffen:
 
  • Prüfung der einzelnen Datensicherungsmaßnahmen
  • Kontrolle der Protokolldaten
  • Prüfung und Kontrolle der Auftragsdatenverarbeitung
  • Bearbeitung von Auskunftsersuchen Betroffener
  • Prüfung der Zulässigkeit der Übermittlung in Drittstaaten
  • Prüfung der Videoüberwachung in öffentlich zugänglichen Bereichen und am Arbeitsplatz
  • Prüfung der Regelungen zur Mitarbeiterkontrolle
  • Rechtmäßigkeit der Profilbildung
  • Datennutzung zum Marketing und Kundenwerbung
  • Überwachung der Datenverarbeitungsprogramme
Schwerpunkt der Tätigkeit ist die Überwachung der Datenverarbeitungsprogramme. Ziel ist es, Datenschutzverstöße dadurch bereits im Vorfeld zu vermeiden.
Der Datenschutzbeauftragte ist dazu bereits rechtzeitig vor Einführung neuer Programme zu informieren, damit er Gelegenheit hat, eine entsprechende Stellungnahme abzugeben. Da Datenverarbeitung grundsätzlich nur zulässig ist, wenn sie erforderlich ist, d.h. das mildeste Mittel zur Erreichung des gewünschten Zwecks darstellt, ist es wichtig, dass der Datenschutzbeauftragte neben umfassenden rechtliche Kenntnissen auch Kenntnis der technischen Umsetzungen hat.
Verfahrensverzeichnis
Zudem führt der Datenschutzbeauftragte das Verfahrensverzeichnis gemäß § 70 BDSG über die Art und Umfang der Datenverarbeitung im Unternehmen. Konkret handelt es sich dabei um die meldepflichtigen Informationen die der Datenschutzbeauftragte jedermann verfügbar machen muss.
Zwar bestimmt § 7 BDSG, dass die erforderlichen Informationen dem Datenschutzbeauftragten vom Unternehmen zur Verfügung gestellt werden müssen. In der Praxis ist es aber oft so, dass der Datenschutzbeauftragte diese Informationen erst durch Anfordern von Informationen aus den unterschiedlichen Abteilungen selbst zusammentragen und ständig aktualisieren muss.
Vorabkontrolle
Weitere originäre Aufgabe des Datenschutzbeauftragten ist die Vorabkontrolle bei „Verfahren automatisierter Verarbeitungen“ i.S.d. § 7 BDSG, wenn dadurch besondere Risiken drohen. Dies ist regelmäßig der Fall bei Daten besonderer Art nach §3 IX BDSG (etwa ethnische Herkunft, Gesundheit, Sexualleben, Religion, politische Ansichten) und dann, wenn die Datenverarbeitung zur Bewertung der Persönlichkeit des Betroffenen geeignet ist.
Das sind etwa Verfahren der Personalverwaltung, Telefondatenerfassung (Mitarbeiter und Kunden), Videoüberwachung oder Kundenbetreuung (etwa Bildung von Persönlichkeitsprofilen, Warndateien von Versicherungen).
Haftung bei Fehlern- Risiken für das Unternehmen und die Geschäftsleitung
Die formal schwache Stellung des Datenschutzbeauftragten verleitet manches Unternehmen, die Position bewusst intern mit einer Person zu besetzen, von der keine Probleme zu erwarten sind und die eher geneigt ist, kritische Verfahren im Zweifel durchzuwinken. Eine solche Haltung kann aber für das Unternehmen und die Geschäftsleitung selbst erhebliche nachteilige Auswirkungen haben.
Denn das Unternehmen ist für Verstöße gegen Datenschutzbestimmungen nach § 83 BDSG selbst verantwortlich. Hierbei sind Ordnungsgelder bis 300.000,- EUR oder darüber hinaus möglich. Unternehmen können sich im Falle von Datenschutzverstößen auch nicht dadurch freizeichnen, dass der Datenschutzbeauftragte falsch oder ungenügend beraten hat.
Die Geschäftsleitung haftet im Innenverhältnis unmittelbar selbst gegenüber dem Unternehmen gemäß § 93 I 1 AktG bzw. § 43 GmbHG, wenn nicht die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt wird. Dies wird insbesondere dann relevant, wenn die Geschäftsleitung bewusst einen schwachen Datenschutzbeauftragten bestimmt, der erkennbar nicht die erforderliche Qualifikation besitzt. Kommt es deswegen zu einem Schaden, ist ein Rückgriff unmittelbar auf die Geschäftsleitung denkbar.
In diesem Zusammenhang sei auf den Beschluss des Düsseldorfer Kreises, der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, verwiesen. Dieser hat die Mindestanforderungen, die an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz, zu stellen sind, nochmals verschärft. Verlangt werden insbesondere umfassende Kenntnisse sämtlicher relevanten gesetzlichen Bestimmungen zum Datenschutz sowie zur Datensicherheit und deren konkrete Umsetzung im Unternehmen (z. B. Durchführung von Kontrollen, Beratung, Strategieentwicklung, Dokumentation, Verzeichnisse, Logfile-Auswertung, Risikomanagement, Analyse von Sicherheitskonzepten, Betriebsvereinbarungen, Videoüberwachungen, Zusammenarbeit mit dem Betriebsrat etc.).
Die Geschäftsleitung muss sich also vor Auswahl versichern und dokumentieren, dass der Kandidat diese Spezialkenntnisse hat, um seiner Sorgfaltspflicht gegenüber dem Unternehmen genüge zu tun.

Verzicht

 
Können Sie auf einen Datenschutzbeauftragten verzichten?

Wenn Ihr Unternehmen die Kriterien des BDSG oder EU-DSGVO erfüllt, Sie die Bestellung innerhalb der Monatsfrist aber versäumen, kann dies mit einem Bußgeld von bis zu 50.000 € geahndet werden.
Doch ein Versäumnis oder Ignorieren in der Angelegenheit Datenschutz hat nicht nur finanzielle Folgen für Sie. Heutzutage kann dies – vor allem durch blitzschnelle Verbreitung von Meldungen – noch weitaus größere Kreise ziehen:
 
  • Sie erhalten negative Berichterstattung und verlieren Kundenvertrauen
  • Sie müssen sich mit der Aufsichtsbehörde auseinandersetzen
  • Sie werden zur Zahlung von Bußgeldern aufgefordert
  • Sie gefährden die Aufrechterhaltung von ISO-Zertifizierungen
Lassen Sie es nicht so weit kommen – lassen Sie sich von uns beraten. Gern entwerfen wir eine auf Ihr Unternehmen maßgeschneiderte Lösung. 

 

Gesetze Bild
blockHeaderEditIcon


Lutz Thiel Datenschutz DSGVO

Benutzername:
User-Login
Ihr E-Mail