Übernahme der Aufgaben eines Datenschutzbeauftragten

Öffentliche und nicht öffentliche Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit

in der Regel mindestens 20 Personen beschäftigt sind.

Pflichten der Geschäftsführung

 

Die Pflichten der verantwortlichen Stelle fallen immer der Geschäftsführung zu. Unabhängig von der Bestellung eines Datenschutzbeauftragten (DSB) umfassen sie u.a.: 
  • Gewährung der Betroffenenrechte 
  • Transparente und dokumentierte EDV (Verfahrensübersicht) 
  • Schutz der EDV und der Daten im Sinne der IT-Sicherheit (§ 9 BDSG nebst Anlage) 
  • Nachvollziehbarkeit von Zugriffen, Änderungen und Weitergaben an Dritte
  
Wird ein Datenschutzbeauftragter (DSB) nicht bestellt, obwohl die gesetzliche Verpflichtung besteht, kann dies gravierende Folgen für das Unternehmen haben. Das Gleiche gilt für den Fall, dass die Bestellung unwirksam ist.
 
Bestellt ein Unternehmen trotz gesetzlicher Verpflichtung keinen DSB, besteht ein erhöhtes Haftungsrisiko, denn die Nichtbestellung stellt ein Organisationsverschulden dar, das sich das Unternehmen vorwerfen zu lassen hat.
 
Zudem liegen die Bußgeldandrohungen durch den Gesetzgeber zur Sicherstellung und Durchsetzung des Datenschutzes zwischen 50.000 Euro (für geringes Vergehen) und bis zu 300.000 Euro (für alle anderen Vergehen).
 

Rolle und Pflichten des Datenschutzbeauftragten

 
Der Datenschutzbeauftragte ist „Dienstleister im Auftrag des Datenschutzes“. Er muss die Gesetze, Vorschriften, neue Technologien und Projekte kennen, berät, informiert und schult die Mitarbeiter des Unternehmens.
 
Der DSB hat auf die Einhaltung des BDSG und anderer Datenschutzvorschriften hinzuwirken und muss die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme überwachen.
 
Der DSB muss immer rechtzeitig bei Einführung neuer Projekte unterrichtet werden, damit eine Einflussnahme möglich ist; er muss in die betriebliche Kommunikation und in sämtliche Phasen der Planung, Entwicklung, Erwerb, Einsatz u.a. eingebunden sein.
 
Er übernimmt Kommunikationsaufgaben (Außenkontakte zur Aufsichtsbehörde, Betroffenen, Bearbeitung von Anfragen, Beschwerden, Verbände u.a.). Er erstellt interne Vorschriften (z.B. Datenschutzhandbuch) und erstattet regelmäßig Bericht an die Geschäftsleitung.
 
Der DSB ist in Datenschutzfragen erster Ansprechpartner für die Mitarbeiter.
 

Erforderliche Fachkunde

 

§ 4 f Absatz 2 BDSG macht die erforderliche Fachkunde zur Voraussetzung für die Bestellung des DSB. Dazu gehören:
 
  1. Rechtliche Kenntnisse (BDSG, bereichsspezifische DS-Vorschriften, laufende Rechtsprechung, Arbeitsrecht, allg. jur. Grundkenntnisse)
  2. Technische Kenntnisse (Informations- und Kommunikationstechnik, DV, Datensicherung)
  3. Organisatorische Kenntnisse (Organisations- und Entscheidungsstrukturen, Kommunikationswege, betriebswirtschaftliche Grundkenntnisse)
  4. Allgemeine Kenntnisse (Verhandlungsgeschick, Konsensfähigkeit, Selbstständigkeit, Initiative, Sorgfalt, Durchsetzungsvermögen, u.a.)

Wer kann nicht Datenschutzbeauftragter sein?

 

  • Inhaber des Unternehmens 
  • Vorstand / Geschäftsführung 
  • Vertriebsleiter 
  • Personalleiter 
  • EDV-Leiter 
 
Das bedeutet: Datenschutzbeauftragter kann ein Mitarbeiter sein, der keine leitende Funktion innehat und die nötige Fachkenntnis besitzt. Die nötige Fachkenntnis muss vor der Bestellung erlangt werden.