Betrieblicher Datenschutzbeauftragter? Nie gehört!

BEITRAG TEILEN

Daten­schutz wird immer wich­ti­ger. Die öffent­li­che Hand erhebt und ver­ar­bei­tet in nie gekann­tem Umfang Daten durch Maut­sys­te­me, Daten­ab­glei­che der Ver­wal­tun­gen, Aus­kunfts- und Zugriffs­rech­te von Steu­er- und Ermitt­lungs­be­hör­den. Pri­va­te Unter­neh­men ste­hen dem wenig nach: Kun­den­bin­dungs­pro­gram­me, Adress­han­del und Pro­fil­ing sol­len hier nur als Stich­wor­te die­nen.

Dabei wer­den oft die grund­le­gends­ten Anfor­de­run­gen des Daten­schut­zes nicht beach­tet. Ein sol­ches „Basic Requi­re­ment“ ist die Bestel­lung eines betrieb­li­chen Daten­schutz­be­auf­trag­ten. Erstaun­li­cher­wei­se wird die­se Pflicht gera­de in klei­ne­ren Unter­neh­men nicht gese­hen oder nicht ernst genom­men; ver­brei­tet ist auch eine „Pro-For­ma-Bestel­lung“, bei der eher als Fei­gen­blatt ein sol­cher Beauf­trag­ter zwar bestellt wird, die­ser aber sei­ne Pflich­ten nicht ernst nimmt, viel­leicht auch gar nicht ernst neh­men soll.

Grund genug, den Punkt ein­mal genau­er zu beleuch­ten. Der Bei­trag besteht aus meh­re­ren Tei­len. Im ers­ten Teil wer­den die Fra­gen behan­delt, wer wann wel­chen Daten­schutz­be­auf­trag­ten bestel­len muss.

Wer ist ver­pflich­tet?

Unter­neh­men, die min­des­tens fünf Per­so­nen mit der auto­ma­ti­sier­ten Erhe­bung, Ver­ar­bei­tung oder Nut­zung per­so­nen­be­zo­ge­ner Daten beschäf­ti­gen, müs­sen nach § 4f Bun­des­da­ten­schutz­ge­setz (BDSG) einen betrieb­li­chen Daten­schutz­be­auf­trag­ten bestel­len. Bei der nicht auto­ma­ti­sier­ten Erhe­bung, Ver­ar­bei­tung oder Nut­zung per­so­nen­be­zo­ge­ner Daten (also etwa durch Kar­tei­kar­ten etc.) liegt die­se Gren­ze bei min­des­tens 20 ent­spre­chend beschäf­tig­ten Per­so­nen.

Nach­dem in nahe­zu jedem Unter­neh­men heut­zu­ta­ge jeden­falls in der IT-Abtei­lung, im Per­so­nal­we­sen und der Buch­hal­tung, oft aber auch in den Fach­ab­tei­lun­gen über Netz­wer­ke ver­bun­de­ne PCs vor­han­den sind und mit per­so­nen­be­zo­ge­nen Daten gear­bei­tet wird, ent­ge­hen nur wirk­lich klei­ne Unter­neh­men der Pflicht zur Bestel­lung des Beauf­trag­ten.

Wer kann Daten­schutz­be­auf­trag­ter wer­den?

Gemäß § 4 f Abs. 2 BDSG darf zum Daten­schutz­be­auf­trag­ten nur ernannt wer­den, wer die zur Erfül­lung sei­ner Auf­ga­ben erfor­der­li­che Fach­kun­de und Zuver­läs­sig­keit besitzt. Damit ist deut­lich, dass es sich hier um eine natür­lich Per­son (nicht also eine GmbH o.a.) han­deln muss. „Fach­kun­de“ meint, dass der Beauf­trag­te die erfor­der­li­chen betrieb­li­chen und betriebs­wirt­schaft­li­chen, tech­ni­schen, orga­ni­sa­to­ri­schen und juris­ti­schen Kennt­nis­se besit­zen muss, um sei­nen Auf­ga­ben gerecht zu wer­den.

Er braucht aber auch eine Rei­he von per­sön­li­chen und cha­rak­ter­li­chen Vor­aus­set­zun­gen. Die Tätig­keit als betrieb­li­cher Daten­schutz­be­auf­trag­ter ist eine Manage­ment­auf­ga­be, die Füh­rungs­qua­li­tä­ten erfor­dert. Letzt­lich muss der Beauf­trag­te auch von sei­ner Per­sön­lich­keit her jemand sein, der auch dem Lei­ter der IT- oder Per­so­nal­ab­tei­lung noch „etwas sagt“ und der sich nicht scheut, auch Mit­ar­bei­ter­schu­lun­gen durch­zu­füh­ren. Er muss auch in der Lage sein, sich sei­ne Arbeit weit­ge­hend selbst zu struk­tu­rie­ren und zu gestal­ten, aus­ge­rich­tet an den kon­kre­ten Anfor­de­run­gen des Unter­neh­mens, in dem er tätig ist: in sei­nen Auf­ga­ben ist er näm­lich wei­sungs­frei. Dem ent­spricht, dass er direkt der Geschäfts­füh­rung unter­stellt ist und die­ser gegen­über ein Vor­trags­recht, aber auch eine Vor­trags­pflicht hat.

BEITRAG TEILEN