BGH konkretisiert strenge Vorgaben an die Durchführung von Werbeanrufen per double opt-in
Abmahnungen wegen des "Like"-Buttons von Facebook - Wie Sie richtig reagieren!

Datenschutzbeauftragter – Aufgaben, Rechte und Pflichten

- Das unbekannte Wesen -

von Rechtsanwalt Michael Terhaag, LL.M.,
TÜV-Rheinland zertifizierter Datenschutzbeauftragter -

Spätestens seit den Skandalen der letzten Zeit, ist der Datenschutz in aller Munde. Der Verfasser durfte des öfteren bereits zu den jeweiligen aktuellen Debatten zum Beispiel bei Phoenix oder im ZDF als Experte seine Einschätzung abgeben.

Immer wieder ist hierbei von der Person des Datenschutzbeauftragten die Rede. Dessen Aufgaben, Rechte und Pflichten sind aber weitgehend unbekannt. Wir wollen im Folgenden ein wenig Licht ins Dunkel bringen.

Welche Unternehmen Datenschutzbeauftragte brauchen

Das Gesetz verpflichtet Unternehmen schon dann zur Bestellung eines Datenschutzbeauftragten, wenn mehr als neun Mitarbeiter personenbezogene Daten automatisiert verarbeiten. Eine Verarbeitung von solchen Daten liegt oft schon vor, wenn Mitarbeiter ein Email-Programm wie Outlook nutzen. Als Mitarbeiter zählen in der Regel nicht nur die fest angestellten, sondern auch Teilzeitkräfte und Leiharbeiter.

Verwendet das Unternehmen besonders heikle Daten wie Religionszugehörigkeit oder Behinderungen muss schon ab einem Mitarbeiter ein Datenschutzbeauftragter bestellt werden. Auch Firmen, die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.

Wer keinen Datenschutzbeauftragten bestellt, obwohl er dazu verpflichtet ist, dem droht ein Bußgeld bis 50.000 Euro. Das Bußgeld droht auch, wenn der Datenschutzbeauftragte zu spät oder in der falschen Weise bestellt wurde.

Aufgaben des Datenschutzbeauftragten

Der Datenschutzbeauftrage „wirkt auf die Einhaltung des Datenschutzes“ hin, das bedeutet insbesondere er

  • kontrolliert und überwacht die Anwendung der Datenverarbeitungsprogramme
  • ist Ansprechpartner in allen Fragen des Datenschutzes
  • informiert und berät das Personal über die gesetzeskonforme Verarbeitung von Daten

 
Dazu führt der Datenschutzbeauftrage in der Regel zunächst eine Ist-Analyse durch. Er prüft also, ob die bestehenden Maßnahmen für den Datenschutz ausreichend sind oder ob noch Verbesserungsmöglichkeiten bestehen. Dabei erstellt er üblicherweise ein sogenanntes Verfahrensverzeichnis. Darin werden die eingesetzten automatisierten Verfahren erfasst, mit denen personenbezogene Daten verarbeitet werden.

Bei besonders heiklen Daten kann und sollte der Datenschutzbeauftragte auch schon präventiv tätig werden. Er kontrolliert dann schon vor der eigentlichen Datenverarbeitung die Einhaltung der Bestimmungen des Datenschutzrechts. Es ist daher zu empfehlen den Datenschutzbeauftragten schon frühzeitig in geplante Projekte einzubeziehen, um spätere Konflikte mit dem Datenschutz zu vermeiden.

 

Wer Datenschutzbeauftragter werden kann

Grundsätzlich kann jeder Datenschutzbeauftragter werden; das heisst formell ist weder ein Informatik- noch Jurastudium erforderlich. Der  Datenschutzbeauftragte muss allerdings die „notwendige Fachkunde und Zuverlässigkeit“ mitbringen. Er sollte also in fachlicher Hinsicht sowohl über juristische als auch technische Kenntnisse verfügen. Dabei ist die profunde Kenntnis des Bundesdatenschutzgesetzes und anderer verwandter Gesetze unerlässlich. Zudem muss er das notwendige Verständnis und Wissen im Bereich der Informations- und Telekommunikationstechnologie mitbringen, weil er an der Schnittstelle von Recht und Technik tätig ist.

Der Datenschutzbeauftragte ist zuerst dem Datenschutz verpflichtet und muss auch entgegen kurzfristen finanziellen Interessen des Unternehmens entscheiden. Er darf bei seiner Tätigkeit keinem Interessenkonflikten unterliegen. Deshalb scheiden Gesellschafter, Geschäftsführer oder Abteilungsleiter in der Regel als Datenschutzbeauftragte aus.

Als Datenschutzbeauftragte kommen eigene Mitarbeiter oder externe Anbieter in Betracht. Der externe Datenschutzbeauftragte wird in der Regel durch unabhängige Stellen, wie IHK, DEKRA oder TÜV zertifiziert. Eine Verpflichtung zur Zertifizierung besteht indes nicht. Auch der interne Datenschutzbeauftragte muss sich grundsätzlich nicht zertifizieren lassen.

Rechte & Pflichten

Der Datenschutzbeauftrage ist weisungsfrei und unabhängig! Er ist direkt der Geschäftsleitung unterstellt. Das Unternehmen muss ihm alle erforderlichen Einrichtungen, Geräte und Mittel zur Verfügung zu stellen, die er für die Ausübung seiner Tätigkeit benötigt. Dazu gehören auch regelmäßige Fortbildungen, zu denen er als Datenschutzbeauftragter verpflichtet ist.

Für Arbeitgeber und Arbeitnehmer gleichermaßen bedeutend ist der absolute Kündigungsschutz, den der interne Datenschutzbeauftrage genießt. Eine Kündigung ist damit nur in sehr begrenzten Fällen möglich. Dazu müsste er schon ein derart krasses Fehlverhalten an den Tag legen, welches auch bei einem normalen Arbeitnehmer zur fristlosen Kündigung führen würde. Die Kündigung des Datenschutzbeauftragten ist dann aber auch nur nach vorheriger Abmahnung möglich.

Einfacher stellt sich die Situation bei der Beauftragung eines externen Datenschutzbeauftragten dar. Hier ist ein Widerruf auch ohne vorherige Abmahnung möglich. Zudem kann der Vertrag mit dem externen Datenschutzbeauftragten befristet werden, so dass er nach Ablauf automatisch endet.

Verstöße gegen das Datenschutzrecht können teuer werden

Es kann nicht oft genug betont werden, dass das Thema Datenschutz und Datenschutzbeauftragter sollte nicht auf die leichte Schulter genommen werden. Bei Nichteinhaltung der Vorschriften drohen empfindliche Strafen, von den empfindlichen Imageschäden einmal abgesehen.

Das Gesetz sieht zum Beispiel ein Bußgeld von bis zu 50.000 Euro vor, wenn Unternehmen gegen datenschutzrechtliche Meldepflichten verstoßen. Bei schweren Verstößen kann das Bußgeld bis zu 300.000 Euro betragen, z.B. wenn Unternehmen Daten zur Werbezwecken nutzen, obwohl der Verbraucher der werblichen Nutzung widersprochen hatte.

Daneben drohen im Einzelfall bei Verstößen gegen das Datenschutzrecht auch kostenpflichtige Abmahnungen von Konkurrenten.

Fazit

Der Datenschutzbeauftragte ist wichtig! Seine Aufgaben und Befugnisse sind mit dem technischen Fortschritt gewachsen. Er muss heute ein umfassendes Datenschutzmanagement in Unternehmen sicherstellen. Dazu bedarf es einer umfangreicher juristischer und/oder technischer Kenntnisse. Der Datenschutzbeauftragter muss hierbei indes gerade nicht allwissend sein, sondern kann sich ohne Weiteres sowohl in technischer, als auch rechtlicher Sicht kompetente Hilfe holen.

Auch Fehler bei der Auswahl des Datenschutzbeauftragten können teuer werden. Das Gesetz sieht hohe Bußgelder bei Verstößen gegen das Datenschutzrecht vor. Wählen Sie daher ihren Datenschutzbeauftragten sorgfältig aus. Fragen Sie ihn nach Erfahrungen, Fähigkeiten und Zertifizierungen im Bereich des Datenschutzes.