Datenskandale können schlagartig die unternehmerische Integrität beschädigen – und damit den beruflichen Erfolg. Was kann ein betrieblicher Datenschutzbeauftragter präventiv dagegen tun?
Die Aufgabe und Tätigkeit eines Beauftragten für Datenschutz wird im Bundesdatenschutzgesetz, kurz BDSG, geregelt. Dessen Einhaltung hat er ebenso im Blick zu behalten wie auch weitere Datenschutz-Gesetze – etwa das Telemediengesetz. Seine zentrale Aufgabe ist dabei die regelmäßige Kontrolle und Überwachung der ordnungsgemäßen Datenverarbeitung. Unter anderem prüft er betriebsinterne Datenschutzvorgänge und beurteilt, ob die zur Sicherung des Rechtes auf informationelle Selbstbestimmung getroffenen Maßnahmen ausreichen. Ein weiterer Aspekt ist seine Schulungstätigkeit, etwa wenn er Mitarbeiter über Änderungen im Bereich der Datenschutzgesetzgebung informiert. Damit verbunden ist für den Datenschutzbeauftragten die Verpflichtung, sich selbst auf dem Laufenden zu halten.
Ist der Beauftragte sonst eigentlich an Weisungen gebunden?
Nein, da er in seinem Funktionsbereich nicht immer populäre Entscheidungen trifft, sieht das Gesetz seine Weisungsfreiheit und Unabhängig von Vorgesetzten in seinen Funktionsbereichen vor. Der Datenschutzbeauftragte darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden und ist direkt der Geschäftsleitung unterstellt. Seit der Novellierung des BDSG im Jahre 2009 ist er zudem mit einem verbesserten Kündigungsschutz ausgestattet und kann, solange er seine Funktion innehat, lediglich außerordentlich gekündigt werden. Dieser Kündigungsschutz bleibt auch für ein weiteres Jahr nach der Beendigung der Bestellung bestehen.
Geschäftsführer könnten auf die Idee kommen, pro forma einen Familienangehörigen zu benennen. Ist das in Ordnung?
Zum Datenschutzbeauftragten darf nur bestellt werden, wer die notwendige Fachkunde und Zuverlässigkeit besitzt. Ende 2012 hat der sogenannte Düsseldorfer Kreis hohe Mindestanforderungen zur erforderlichen Fachkunde und den Rahmenbedingungen für betriebliche Datenschutzbeauftragte beschlossen. Dieser Düsseldorfer Kreis ist das gemeinsame Abstimmungsgremium der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich. Die einzelnen auf Landesebene zuständigen Aufsichtsbehörden koordinieren hier ihr Vorgehen und setzen dessen Beschlüsse in aller Regel konsequent um. Die hier formulierten Anforderungen der Aufsichtsbehörden sollten daher genau beachten, da andernfalls Geldbußen von bis zu 50.000 Euro drohen. Familienangehörige sollten daher nur dann bestellt werden, wenn sie tatsächlich über die notwenige Fachkunde in Datenschutzfragen verfügen. Dies dürfte in aller Regel nicht der Fall sein.
Prinzipiell darf aber jeder Mitarbeiter zum Beauftragten werden?
Nein! Die nötige Zuverlässigkeit erfordert, dass kein Interessenkonflikt bei der Wahrnehmung der Funktion besteht. Einen solchen gibt es jedoch vor allem bei Personen, die ein eigenes Interesse am Unternehmen haben – etwa wegen Beteiligung an seinem Vermögen als Teilhaber oder Gesellschafter – oder Personen, die eine Leitungsfunktion haben. Geschäftsführer oder Abteilungsleiter, speziell der Personal- oder der IT-Abteilung, scheiden deshalb regelmäßig aus. Auch andere Personen außerhalb des Betriebes können ausscheiden, wie beispielsweise der Firmenanwalt oder eben Familienangehörige.
Welche Unternehmen müssen denn überhaupt einen Datenschutzbeauftragten haben?
Das betrifft nur bestimmte Unternehmer. Zunächst gilt gemäß BDSG: Nicht-öffentliche Stellen, in denen mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, haben diese Verpflichtung. Eine automatisierte Verarbeitung liegt vor, wenn die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen erfolgt. Eine Datenverarbeitungsanlage ist eine Einrichtung, die Daten nach vorgegebenen Programmen und Verfahren verarbeitet. In der Regel sind damit Computer im weitesten Sinne gemeint, auf denen personenbezogene Daten gespeichert und/oder bearbeitet werden.
Relevant für die Personengrenze sind nicht nur Vollzeitkräfte, sondern auch freie Mitarbeiter, Auszubildende, Leiharbeiter, Praktikanten und Volontäre. Nur kurzeitig Beschäftigte sind nicht zu berücksichtigen, etwa Urlaubsvertretungen. In den Fällen, in denen keine elektronische Datenverarbeitung stattfindet, greift die Verpflichtung erst, wenn mindestens 20 Personen innerhalb des Unternehmens beschäftigt werden. Des Weiteren sieht das BDSG grundsätzlich eine Verpflichtung zur Bestellung vor, soweit besondere personenbezogene Daten automatisiert verarbeitet werden.
