Grundsatzfragen zum Datenschutz nach BDSG
Wer muss einen Datenschutzbeauftragten bestellen?
Öffentliche Stellen (z.B. Behörden, Kommunen usw.) und nichtöffentliche Stellen (GmbHs, AGs usw.), die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet.
Bei „nicht-öffentlichen Stellen“ ist die Pflicht zur Bestellung eines Datenschutzbeauftragten immer dann gegeben, wenn mehr als neun Personen (unabhängig von ihrem arbeitsrechtlichen Status z.B. als Arbeitnehmer, freier Mitarbeiter oder Auszubildender) mit der automatisierten Verarbeitung personenbezogener Daten ständig beschäftigt sind.
Sie beschäftigen nicht mehr als 9 Personen mit der Verarbeitung personenbezogener? Müssen Sie den Datenschutz trotzdem einhalten?
Mit der Änderung des Bundesdatenschutzgesetzes zum „Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft“ vom 22. August 2006, wurde durch den Gesetzgeber die Absicht verfolgt die Umsetzung der Datenschutzvorschriften für kleinere Unternehmen zu vereinfachen. Solche Vereinfachungen soll es für jene Unternehmen geben, die den Schwellenwert von neun Personen auf Dauer nicht überschreiten.
So müssen Unternehmen, die in der Regel maximal nur neun Personen mit der automatischen Verarbeitung von personenbezogenen Daten ständig beschäftigen, keinen Datenschutzbeauftragten bestellen. Auch ist ihnen der nicht unerhebliche bürokratische Aufwand der Meldepflichten nach § 4d des Bundesdatenschutzgesetzes erlassen worden.
Aber! Nach § 4f Abs. 1 muss eine nicht-öffentliche Stelle unabhängig von der Anzahl der Personen, die mit der automatischen personenbezogenen Datenverarbeitung beschäftigt sind, einen Datenschutzbeauftragten bestellen, wenn hier DV-Verfahren eingesetzt werden, die der Vorabkontrolle unterliegen. Denn die Vorabkontrolle ist nach §4d Abs.6 Bundesdatenschutzgesetz eine Aufgabe des Datenschutzbeauftragten.
Unter die Vorabkontrolle fallen regelmäßig die nachfolgenden Datenkategorien:
- gesundheitliche Verhältnisse (z.B. Behinderung),
- das Sexualleben (z.B. Homosexualität),
- die rassische oder ethnische Herkunft,
- die politische Meinung,
- religiöse oder philosophische Überzeugungen oder
- die Gewerkschaftszugehörigkeit.
Eine Vorabkontrolle kann jedoch unter bestimmten Voraussetzungen wieder unterlassen werden, wenn z.B. eine Einwilligung des Betroffenen vorliegt. Weitere Aspekte sind noch zu berücksichtigen, die jedoch individuell bewertet werden sollten.
Wer ist verantwortlich bei Datenschutzverletzungen? Der Datenschutzbeauftragte oder der Geschäftsführer?
Gemäß § 3 Abs. 7 Bundesdatenschutzgesetz ist jede Person oder Stelle eine verantwortliche Stelle, die für sich selbst personenbezogene Daten erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.
Demnach ist zunächst einmal jede öffentliche und nicht-öffentliche Stelle als verantwortliche Stelle anzusehen, unabhängig davon, ob sie die Datenverarbeitung selbst vornimmt oder diese an andere auslagert und z. B. in einem Servicerechenzentrum im Auftrag vornehmen lässt.
Bei den nicht-öffentlichen Stellen wird hinsichtlich der verantwortlichen Stelle an die jeweilige juristische Person, Gesellschaft, sonstige Personenvereinigung oder die natürliche Person angeknüpft (z.B. Geschäftsführer).
Letztendlich bedeutet dies, dass die Verantwortung bei der verantwortlichen Leitung einer nicht-öffentlichen Stelle (Geschäftsleitung) liegt und nicht an den Datenschutzbeauftragten delegiert werden kann.
Welche Fachkunde benötigt ein Datenschutzbeauftragter?
Gemäß § 4f Abs 2 darf zum Beauftragten für den Datenschutz nur der bestellt werden, der die zur Erfüllung der Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.
Was bedeutet die Fachkunde im Detail?
Mit der Novellierung des Bundesdatenschutzgesetzes vom 22. August 2006 hat der Gesetzgeber die Vorschriften zur Fachkunde ergänzt: Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, welche die verantwortliche Stelle erhebt oder verwendet.
Das Ulmer Urteil vom 31.10.1990 (LG Ulm, Az: 5T 153/90-01)) hat sich mit der Fachkunde von Datenschutzbeauftragten beschäftigt. Es ist zu einer Art Richtschnur für eine sich an den Erfordernissen des Datenschutzes orientierende Ausbildung geworden.
Ein Datenschutzbeauftragter muss nach dem Urteil des Landgerichts Ulm die Vorschriften der Datenschutzgesetze und aller anderen, den Datenschutz betreffenden Rechtsvorschriften anwenden können. „Anwenden können“ heißt nicht, dass er Jurist sein muss. Er muss in der Lage sein, zu beurteilen, was eine Rechtsvorschrift in einer konkreten Situation bedeutet und wie er damit umgehen muss.
Der Datenschutzbeauftragte muss deshalb alle bereichsspezifischen Gesetze kennen, die den Umgang mit personenbezogenen Daten in seinem Tätigkeitsfeld betreffen. Erst dann kann er genau sagen, welche Rechtsvorschriften zum Datenschutz für ihn maßgebend sind.
Rechtsvorschriften, die sich auf den Umgang mit personenbezogenen Daten beziehen, finden sich u.a. in den folgenden Regelungen:
- Strafgesetzbuch
- Sozialgesetzbuch X
- Telekommunikationsgesetz
- Teledienstdatenschutzgesetz
- Verfassungsschutzgesetz
- Polizeigesetze der Länder
- Strafprozessordnung
- Betriebsverfassungsgesetz
- Handelsgesetzbuch usw.
Außerdem muss der Datenschutzbeauftragte über Kenntnisse der betrieblichen Organisation verfügen und Computerexperte sein. Von ihm werden didaktische Fähigkeiten, psychologisches Einfühlungsvermögen und Organisationstalent verlangt.
Was bedeutet Zuverlässigkeit?
Gemäß § 4f Abs. 2 darf zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung der Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.
Aber auch bei der Forderung nach Zuverlässigkeit ist das Bundesdatenschutzgesetz nicht konkret. Man geht jedoch ganz allgemein davon aus, dass sich die Zuverlässigkeit des Datenschutzbeauftragten aus vier Komponenten zusammensetzt:
- Für einen Teilzeit-Datenschutzbeauftragten darf kein Konflikt (Interessenskonflikt) zwischen der Tätigkeit als Datenschutzbeauftragter und den sonstigen Aufgaben in seinem Unternehmen bzw. seiner Behörde. Das bedeutet, dass z.B. Personalleiter, IT-Leiter oder Geschäftsführer auf Grund des vorhandenen Interessenskonflikts kein Datenschutzbeauftragter sein können.
- Er muss ein ausreichendes Zeitbudget zur Erledigung seiner Datenschutzaufgaben haben (keine Scheinbestellung).
- Er muss verschwiegen sein.
- Zuverlässigkeit muss eine Eigenschaft seines Charakters sein
Wer darf zu Datenschutzbeauftragten bestellt werden?
Jeder Mitarbeiter eines Unternehmens, der die erforderliche Fachkunde und Zuverlässigkeit besitzt und nicht einem Interessenkonflikt unterliegt, darf zum Datenschutzbeauftragten bestellt werden. Je nach Unternehmen kann es durchaus sinnvoll sein, einen externen Datenschutzbeauftragten zu bestellen, der durch seine durch Lehrgänge und Zertifikate nachweisbare Fachkunde eine kostengünstigere Lösung für ein Unternehmen sein kann als ein interner betrieblicher Datenschutzbeauftragter.