Betriebliche Datenschutzbeauftragte - Häufig gestellte Fragen

Quelle: LDI NRW

Wann müssen Datenschutzbeauftragte bestellt werden?

Nach § 4f Bundesdatenschutzgesetz (BDSG) müssen Daten verarbeitende Stellen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten bestellen, wenn sie personenbezogene Daten automatisiert verarbeiten und damit in der Regel mehr als 9 Personen ständig beschäftigen. Gleiches gilt bei der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten auf andere Weise, wenn hiermit in der Regel mindestens zwanzig Personen beschäftigt sind. Bei der Berechnung der Personenzahl  werden alle Personen mitgezählt, die tatsächlich auf die automatisierte Datenverarbeitung der nicht-öffentlichen Stelle zugreifen. Nicht entscheidend ist allerdings, wie häufig oder intensiv auf die Daten zugegriffen wird. Es ist ausreichend, dass es zur regelmäßigen Aufgabenwahrnehmung der Personen gehört, personenbezogene Daten automatisiert zu verarbeiten und es sich hierbei nicht nur um eine vorübergehende Tätigkeit (z.B. Urlaubsvertretung) handelt. Damit werden Teilzeitkräfte und Beschäftigte von Zeitarbeitsfirmen während ihrer Tätigkeit im Unternehmen mitgezählt. Das gilt auch für die Mitglieder der Geschäftsleitung und bei ehrenamtlich Tätigen.

Unabhängig von der Personenzahl müssen Daten verarbeitende Stellen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten bestellen, wenn sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung automatisiert verarbeiten.

Unterliegt eine automatisierte Datenverarbeitung, die die verantwortliche Stelle einführen will, der Vorabkontrolle, muss ebenfalls unabhängig von der Personenzahl eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter bestellt sein. Vorabkontrollpflichtig sind automatisierte Verarbeitungen, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen. Das sind beispielsweise Verfahren, die besondere Arten personenbezogener Daten gemäß § 3 Abs. 9 BDSG verarbeiten, die Einrichtung einer Videoüberwachung, automatisierte Abrufverfahren oder etwa die gemeinsame Nutzung eines Datenbestandes durch mehrere verantwortliche Stellen.

Welche Voraussetzungen müssen Datenschutzbeauftragte erfüllen?

Fachkunde

Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet. Zur Fachkunde gehören neben umfassenden Kenntnissen im IT-Bereich auch gute juristische und organisatorische Kenntnisse. Das bedeutet, dass die grundsätzlichen sowie bereichsspezifischen datenschutzrechtlichen Regelungen bekannt sein müssen und sicher angewandt werden können.

Kenntnisse über Datenverarbeitung und ein Mindestmaß an technischem Verständnis sollten es einer oder einem Datenschutzbeauftragten ermöglichen, Aufbau, Funktionsweise und Anforderungen der eingesetzten Datenverarbeitungssysteme, -verfahren und -netze soweit zu beurteilen, dass Datenschutz- und Datensicherheitsmaßnahmen vorgeschlagen, bewertet und geprüft werden können.

Des Weiteren sollten Datenschutzbeauftragte mit den Aufgaben, der Arbeitsweise und den betrieblichen Datenströmen sowie der Organisationsstruktur des Unternehmens besonders vertraut sein, um ihren Beratungs- und Kontrollaufgaben nachkommen zu können.

Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich haben Mindestanforderungen an Fachkunde und Unabhängigkeit der Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG) festgelegt.

Erfüllen Datenschutzbeauftragte und Unternehmensleitung diese Mindestanforderungen nicht, können Datenschutzbeauftragte von der zuständigen Aufsichtsbehörde abberufen werden. Da die Mindestanforderungen nur das untere Niveau einer möglichen Fachkunde beschreiben, sind in Unternehmen mit intensiven Datenverarbeitungen weitergehende Kenntnisse erforderlich.

Die erforderliche Fachkunde kann beispielsweise durch den Besuch von Fortbildungsveranstaltungen - ausnahmsweise im Einzelfall auch nach Aufnahme der Tätigkeit einer oder eines Datenschutzbeauftragten - erworben werden. Eine Prüfung oder Zertifizierung ist gesetzlich nicht vorgeschrieben. Entscheidend ist , dass die ausgewählte Person tatsächlich befähigt ist, die Datenschutzbeauftragtenaufgabe wahrzunehmen. Fortbildungsangebote finden Sie beim virtuellen Datenschutzbüro www.datenschutz.de.

Zur Erhaltung der Fachkunde haben die verantwortlichen Stellen den Datenschutzbeauftragten die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen.

Zuverlässigkeit

Neben der charakterlichen Eignung gehört hierzu auch, dass es bei der Ausübung der Tätigkeit der oder des Datenschutzbeauftragten nicht zu einer Interessenkollision mit ihrem bzw. seinem sonstigen Aufgabenbereich im Unternehmen kommt. Es gilt das Grundprinzip, dass die zu Kontrollierenden nicht selbst die Kontrolle ausüben dürfen. Daraus ergibt sich, dass die Leitung sowie Beschäftigte der Personal- und EDV-Abteilung nicht gleichzeitig Datenschutzbeauftragte sein können. Daneben ist auch die Bestellung von Betriebsratsvorsitzenden kritisch zu sehen. Betriebsräte wirken auch bei Personalentscheidungen mit und haben in diesem Rahmen umfassenden Zugang zu den personenbezogenen Daten der Mitarbeiterinnen und Mitarbeiter, so dass ein Interessenkonflikt nicht ausgeschlossen werden kann.

Kann die Chefin oder der Chef gleichzeitig die Aufgaben einer bzw. eines Datenschutzbeauftragten wahrnehmen?

Nach § 4f Abs. 3 Satz 1 BDSG sind Datenschutzbeauftragte der Leitung der nicht-öffentlichen Stelle unmittelbar zu unterstellen. Daraus folgt der gesetzliche Ausschluss der Tätigkeit als Datenschutzbeauftragte oder Datenschutzbeauftragter für Unternehmensinhaber und -inhaberinnen selbst sowie für die Mitglieder der Geschäftsleitung. Bei den Mitgliedern der Leitung einer verantwortlichen Stelle fehlt es an einer klaren Trennung zwischen den Aufgaben der Stelle und der oder des Datenschutzbeauftragten und somit an der notwendigen Unabhängigkeit bei der Wahrnehmung der Aufgabe als Datenschutzbeauftragte oder Datenschutzbeauftragter.

 

Wie sind Datenschutzbeauftragte zu bestellen?

Datenschutzbeauftragte sind schriftlich von der Unternehmensleitung zu bestellen. Ein Mitbestimmungsrecht des Betriebsrates bei der Bestellung von Datenschutzbeauftragten ist gesetzlich nicht vorgesehen. Lediglich bei mit der Bestellung gleichzeitig verbundenen sonstigen Personalmaßnahmen, wie etwa die Neueinstellung oder Versetzung der Person der oder des Datenschutzbeauftragten, sind die für diese Maßnahmen üblichen Beteiligungspflichten zu beachten.

Die Beschäftigten des Unternehmens sind über die Bestellung zu informieren. Eine grundsätzliche Pflicht Datenschutzbeauftragte beim LDI zu melden, besteht jedoch nicht.

Können auch externe Datenschutzbeauftragte bestellt werden?

Das BDSG lässt für den nicht-öffentlichen Bereich die Möglichkeit zu, externe Datenschutzbeauftragte zu bestellen. Es kann allerdings nur eine natürliche Person zur oder zum Datenschutzbeauftragten bestellt werden, denn nur diese kann die Voraussetzung der persönlichen Zuverlässigkeit erfüllen.

Auch Stellen, die einer beruflichen Schweigepflicht unterliegen, können externe Datenschutzbeauftragte bestellen. Die Datenschutzkontrolle erstreckt sich nach § 4f Abs. 2 Satz 3, 2. Halbsatz BDSG auch auf persoenenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen.

Welche Aufgaben haben die Datenschutzbeauftragten?

Die Aufgaben der oder des Datenschutzbeauftragten ergeben sich aus § 4g BDSG. Dazu zählen die Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften und der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, das Führen des Verfahrensverzeichnisses und etwaige erforderliche Vorabkontrollen. Außerdem sollen die Beschäftigten der verantwortlichen Stelle durch die Datenschutzbeauftragte oder den Datenschutzbeauftragten in Fragen des Datenschutzes geschult werden.

Wie viel Zeit müssen Datenschutzbeauftragte für ihre Arbeit aufwenden?

Der Zeitaufwand für die Tätigkeit einer oder eines Datenschutzbeauftragten lässt sich nicht abstrakt festlegen. Er hängt beispielsweise ab von der Größe der verantwortlichen Stelle, dem Umfang der dort betriebenen Datenverarbeitungen und der Tatsache, ob der oder dem Datenschutzbeauftragten weiteres Personal zur Seite steht. Die Arbeit von Datenschutzbeauftragten hängt von so vielen Faktoren ab, so dass eine Pauschalierung des Aufwandes dem jeweiligen Einzelfall nicht gerecht werden würde. In der Einarbeitungsphase wird zunächst eine umfangreiche Bestandsaufnahme erfolgen müssen, zu der auch die Durchsicht und gegebenenfalls die Aufforderung der verantwortlichen Stelle zur Ergänzung oder gar Erstellung des Verfahrensverzeichnisses gehört. Dabei werden die wesentlichen Datenschutzstrukturen festgelegt werden können. Im Anschluss daran muss die oder der Datenschutzbeauftragte nach den Umständen in der jeweiligen Stelle einschätzen, wie häufig weitere Überprüfungen erforderlich sind.

Wie viel Zeit müssen Datenschutzbeauftragte für ihre Arbeit aufwenden?

Der Zeitaufwand für die Tätigkeit einer oder eines Datenschutzbeauftragten lässt sich nicht abstrakt festlegen. Er hängt beispielsweise ab von der Größe der verantwortlichen Stelle, dem Umfang der dort betriebenen Datenverarbeitungen und der Tatsache, ob der oder dem Datenschutzbeauftragten weiteres Personal zur Seite steht. Die Arbeit von Datenschutzbeauftragten hängt von so vielen Faktoren ab, so dass eine Pauschalierung des Aufwandes dem jeweiligen Einzelfall nicht gerecht werden würde. In der Einarbeitungsphase wird zunächst eine umfangreiche Bestandsaufnahme erfolgen müssen, zu der auch die Durchsicht und gegebenenfalls die Aufforderung der verantwortlichen Stelle zur Ergänzung oder gar Erstellung des Verfahrensverzeichnisses gehört. Dabei werden die wesentlichen Datenschutzstrukturen festgelegt werden können. Im Anschluss daran muss die oder der Datenschutzbeauftragte nach den Umständen in der jeweiligen Stelle einschätzen, wie häufig weitere Überprüfungen erforderlich sind.

Haben Datenschutzbeauftragte einen besonderen Kündigungsschutz?

Bei Unternehmen, die gesetzlich zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet sind, kann das Arbeitsverhältnis mit der bzw. dem Datenschutzbeauftragten nur gekündigt werden, wenn Tatsachen vorliegen, die die verantwortliche Stelle zu einer fristlosen Kündigung aus wichtigem Grund berechtigt.

Eine Abberufung des betrieblichen Datenschutzbeauftragten ist ebenfalls nur unter den Voraussetzungen möglich, die im Arbeitsverhältnis eine fristlose Kündigung aus wichtigem Grund rechtfertigen würde. Der wichtige Grund muss sich immer aus einem Fehlverhalten bei der Tätigkeit als Datenschutzbeauftragter ergeben.

Nach der Abberufung ist die Kündigung innerhalb eines Jahres unzulässig, es sei denn, die verantwortliche Stelle ist zur fristlosen Kündigung aus wichtigem Grund berechtigt.

Selbstcheck

Selbstcheck der Datenschutzbeauftragten NRW zur Bestellung betrieblicher Datenschutzbeauftragter

Düsseldorfer Kreis

Der "Düsseldorfer Kreis" ist ein Gremium der unabhängigen Datenschutzbehörden. In Form von Beschlüssen gibt er Empfehlungen zum Datenschutz in der Wirtschaft.

Verpflichtungserklärung