Die heute allgemein übliche Nutzung der Computertechnik bringt für den Einzelnen Gefahren für die im Grundgesetz garantiertre informationelle Selbstbestimmung mit sich. Um diese Gefahr in vernünftigen Grenzen zu halten, reglementiert das Bundesdatenschutzgesetz (BDSG) den Umgang mit personenbezogenen Daten. Dabei gilt im Hinblick auf die Kontrolle der Einhaltung rechtlicher Vorgaben das Prinzip der innerbetrieblichen Selbstkontrolle durch einen Datenschutzbeauftragten (DSB).

Wann und wie muss ein Datenschutzbeauftragter bestellt werden?

Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten richtet sich nach dem Bundesdatenschutzgesetz. Nach § 4f BDSG ist ein Datenschutzbeauftragter zu bestellen, wenn in einem Betrieb personenbezogene Daten von mehr als neun Arbeitnehmern automatisiert erhoben, verarbeitet oder genutzt werden. Gleiches gilt auch dann, wenn personenbezogene Daten auf andere Weise (d. h. ohne Einsatz von EDV-Technik) erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Arbeitnehmer beschäftigt werden. Unabhängig von der Zahl der Mitarbeiter muss ein Unternehmen, das Daten zum Zweck der Übermittlung an andere oder für Zwecke der Markt- und Meinungsforschung verarbeiten, immer einen Datenschutzbeauftragten bestellen. Unter personenbezogenen Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zu verstehen.
Die Bestellung des Datenschutzbeauftragten muss schriftlich innerhalb eines Monats nach Aufnahme der datenverarbeitenden Tätigkeit erfolgen. Das Schriftstück sollte die wesentlichen Rechte und Pflichten beider Parteien enthalten. Wird trotz der Pflicht dazu kein Datenschutzbeauftragter innerhalb der Monatsfrist bestellt, muss mit einem Bußgeld von bis zu 25.000 Euro gerechnet werden.

Welche Aufgaben hat der Datenschutzbeauftragte zu erfüllen?

Die wesentlichen Aufgaben des Datenschutzbeauftragten werden in § 4g BDSG genannt. Zu ihnen zählen insbesondere folgende Aufgaben:

• Schaffung von Transparenz in der betrieblichen Datenverarbeitung
• Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme
• Koordinierung und Überwachung der Maßnahmen für Datenschutz und -sicherung
• Beratung über technische und organisatorische Maßnahmen im Bereich der Datenverarbeitung
• Schulung der Mitarbeiter
• Erteilung von Auskünften an die Betroffenen in Angelegenheiten des Datenschutzes sowie Benachrichtigung des Betroffenen über die Datenerhebung
• Vertretung des Unternehmers in datenschutzrechtlichen Fragen
• Verfassen eines Tätigkeitsberichts am Ende des Geschäftsjahres
• Neu! Durchführung der Vorabkontrolle risikoreicher Anwendungen (§ 4d Absatz 5)
• Neu! Zur Verfügungstellung des Verfahrensverzeichnisses an Jedermann zur Einsicht (§ 4g Abs. 2)
• Zudem besteht neuerdings keine Verpflichtung mehr, bei der Personalauswahl im Unternehmen mitzuwirken.

Welche Rechte und Pflichten haben Datenschutzbeauftragte und Unternehmer?

Zur effektiven Wahrnehmung seiner Aufgaben hat der Datenschutzbeauftragte eine Reihe von Befugnissen und Rechten gegenüber der Geschäftsführung, die ihn bei seiner Aufgabenerfüllung aktiv zu unterstützen hat:

• Die Geschäftsführung hat dem DSB die erforderliche Zeit zur Wahrnehmung seiner Tätigkeit einzuräumen und ihm die Möglichkeit zur eigenen sowie zur Schulung der Mitarbeiter zu geben.
• Sie hat dem DSB die erforderlichen Mittel wie Hilfspersonal, Geräte u.ä., insbesondere auch eigene Räumlichkeiten zur Verfügung zu stellen.
• Sie hat dem DSB eine Übersicht über die Dateien und über die Datenverarbeitungsanlagen bereit zu stellen.
• Sie hat bei neuen Projekten im Rahmen der automatisierten Verarbeitung den DSB rechtzeitig zu informieren, damit er notwendige Datenschutzaspekte einbringen kann.
• Der DSB ist der Geschäftsführung disziplinarisch unmittelbar zu unterstellen. Es ist ein direktes Vortragsrecht und eine direkte Vortragspflicht sicherzustellen.

Neu: Besonderer Kündigungsschutz für Datenschutzbeauftragte

Seit Mitte 2009 genießen betriebliche Datenschutzbeauftragte einen besonderen Kündigungsschutz, den es bisher nicht gab. Eine Kündigung des Arbeitsverhältnisses ist nur noch zulässig, wenn hierfür ein wichtiger Grund vorliegt, wenn also eine fristlose Kündigung gerechtfertigt ist. Wann das der Fall ist, richtet sich nach den allgemeinen arbeitsrechtlichen Grundsätzen. So kann einem Datenschutzbeauftragten z. B. gekündigt werden, wenn dieser sich rechtswidrig am Unternehmensvermögen bereichert oder seine Arbeitsleistung grundlos verweigert. Liegt ein solcher Grund nicht vor, dann ist die Kündigung dagegen unwirksam. Auch nach dem Ende der Bestellung zum Datenschutzbeauftragten darf innerhalb einer Frist von einem Jahr nur aus wichtigem Grund gekündigt werden.

Welche persönlichen Anforderungen hat ein Datenschutzbeauftragter zu erfüllen?

Zum Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung dieser Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt (§ 4f Absatz 2). Gesetzlich sind diese Merkmale nicht definiert.
Zur erforderlichen Fachkunde gehören EDV-technische, betriebswirtschaftliche und datenschutzrechtliche Kenntnisse. Zu erwarten sind auch organisatorische und pädagogische Fähigkeiten sowie Konfliktbereitschaft und die Fähigkeit zu kommunikativer Arbeit.
Die gesetzlichen Anforderungen an die Zuverlässigkeit des DSB sind erfüllt, wenn der DSB aufgrund der persönlichen Eigenschaften sowie seines Verhaltens geeignet ist, seine Aufgaben ordnungsgemäß zu erfüllen. Zur persönlichen Zuverlässigkeit gehören unter anderem Verschwiegenheit, Unbestechlichkeit und ein ausgeprägtes Verantwortungsbewusstsein. Fachliche Zuverlässigkeit ist gegeben, wenn die Arbeitsweise des DSB durch Sorgfalt und Gründlichkeit bestimmt wird. An die Zuverlässigkeit sind hohe Anforderungen zu stellen, die beispielsweise bei einschlägigen Vorstrafen nicht vorliegt.

Um eine effektive Selbstkontrolle zu gewähren, sollte der Datenschutzbeauftragte nicht der Geschäftsführung angehören.

Ist in Ihrem Unternehmen eine geeignete Person nicht vorhanden, so können Sie auch einen externen Datenschutzbeauftragten bestellen.