Betrieblicher Datenschutzbeauftragter? Nie gehört!

BEITRAG TEILEN

Daten­schutz wird immer wichtiger. Die öffentliche Hand erhebt und ver­ar­beit­et in nie gekan­ntem Umfang Dat­en durch Maut­sys­teme, Daten­ab­gle­iche der Ver­wal­tun­gen, Auskun­fts- und Zugriff­s­rechte von Steuer- und Ermit­tlungs­be­hör­den. Pri­vate Unternehmen ste­hen dem wenig nach: Kun­den­bindung­spro­gramme, Adresshan­del und Pro­fil­ing sollen hier nur als Stich­worte dienen.

Dabei wer­den oft die grundle­gend­sten Anforderun­gen des Daten­schutzes nicht beachtet. Ein solch­es „Basic Require­ment“ ist die Bestel­lung eines betrieblichen Daten­schutzbeauf­tragten. Erstaunlicher­weise wird diese Pflicht ger­ade in kleineren Unternehmen nicht gese­hen oder nicht ernst genom­men; ver­bre­it­et ist auch eine „Pro-For­ma-Bestel­lung“, bei der eher als Feigen­blatt ein solch­er Beauf­tragter zwar bestellt wird, dieser aber seine Pflicht­en nicht ernst nimmt, vielle­icht auch gar nicht ernst nehmen soll.

Grund genug, den Punkt ein­mal genauer zu beleucht­en. Der Beitrag beste­ht aus mehreren Teilen. Im ersten Teil wer­den die Fra­gen behan­delt, wer wann welchen Daten­schutzbeauf­tragten bestellen muss.

Wer ist verpflichtet?

Unternehmen, die min­destens fünf Per­so­n­en mit der automa­tisierten Erhe­bung, Ver­ar­beitung oder Nutzung per­so­n­en­be­zo­gen­er Dat­en beschäfti­gen, müssen nach § 4f Bun­des­daten­schutzge­setz (BDSG) einen betrieblichen Daten­schutzbeauf­tragten bestellen. Bei der nicht automa­tisierten Erhe­bung, Ver­ar­beitung oder Nutzung per­so­n­en­be­zo­gen­er Dat­en (also etwa durch Karteikarten etc.) liegt diese Gren­ze bei min­destens 20 entsprechend beschäftigten Per­so­n­en.

Nach­dem in nahezu jedem Unternehmen heutzu­tage jeden­falls in der IT-Abteilung, im Per­son­al­we­sen und der Buch­hal­tung, oft aber auch in den Fach­abteilun­gen über Net­zw­erke ver­bun­dene PCs vorhan­den sind und mit per­so­n­en­be­zo­ge­nen Dat­en gear­beit­et wird, ent­ge­hen nur wirk­lich kleine Unternehmen der Pflicht zur Bestel­lung des Beauf­tragten.

Wer kann Daten­schutzbeauf­tragter wer­den?

Gemäß § 4 f Abs. 2 BDSG darf zum Daten­schutzbeauf­tragten nur ernan­nt wer­den, wer die zur Erfül­lung sein­er Auf­gaben erforder­liche Fachkunde und Zuver­läs­sigkeit besitzt. Damit ist deut­lich, dass es sich hier um eine natür­lich Per­son (nicht also eine GmbH o.a.) han­deln muss. „Fachkunde“ meint, dass der Beauf­tragte die erforder­lichen betrieblichen und betrieb­swirtschaftlichen, tech­nis­chen, organ­isatorischen und juris­tis­chen Ken­nt­nisse besitzen muss, um seinen Auf­gaben gerecht zu wer­den.

Er braucht aber auch eine Rei­he von per­sön­lichen und charak­ter­lichen Voraus­set­zun­gen. Die Tätigkeit als betrieblich­er Daten­schutzbeauf­tragter ist eine Man­age­men­tauf­gabe, die Führungsqual­itäten erfordert. Let­ztlich muss der Beauf­tragte auch von sein­er Per­sön­lichkeit her jemand sein, der auch dem Leit­er der IT- oder Per­son­al­abteilung noch „etwas sagt“ und der sich nicht scheut, auch Mitar­beit­er­schu­lun­gen durchzuführen. Er muss auch in der Lage sein, sich seine Arbeit weit­ge­hend selb­st zu struk­turi­eren und zu gestal­ten, aus­gerichtet an den konkreten Anforderun­gen des Unternehmens, in dem er tätig ist: in seinen Auf­gaben ist er näm­lich weisungs­frei. Dem entspricht, dass er direkt der Geschäfts­führung unter­stellt ist und dieser gegenüber ein Vor­tragsrecht, aber auch eine Vor­tragspflicht hat.

BEITRAG TEILEN