Betrieblicher Datenschutzbeauftragter? Nie gehört! (Teil II)

BEITRAG TEILEN

Der Teil 1 des Beitrages wid­mete sich der Frage, welche Unternehmen einen betrieblichen Daten­schutzbeauf­tragten brauchen und welche fach­lichen und per­sön­lichen Voraus­set­zun­gen der Daten­schutzbeauf­tragte mit­brin­gen mus. Teil 2 unter­sucht, ob der Beauf­tragte intern oder extern rekru­tiert wer­den sollte und was eigentlich geschieht, wenn ent­ge­gen der beste­hen­den Pflicht eine Bestel­lung unterbleibt.

Intern­er oder extern­er Beauf­tragter?

Das Gesetz regelt nicht, ob der Beauf­tragte intern aus dem Unternehmen oder extern (dies wird von ein­er Rei­he spezial­isiert­er Unternehmens­ber­ater und Recht­san­wälte ange­boten) rekru­tiert wird. Darüber, welche dieser bei­den Möglichkeit­en die sin­nvollere ist, wird seit der Sta­tu­ierung der Pflicht zur Bestel­lung eines Daten­schutzbeauf­tragten 1978 heftig gestrit­ten. Richtig ist wohl, dass es auf die konkrete Sit­u­a­tion des Unternehmens ankommt.

Sehr große Unternehmen beschäfti­gen häu­fig einen dezi­diert nur mit dieser Auf­gabe beschäftigten Angestell­ten.

Ger­ade in kleineren Unternehmen haben die Auf­gaben des Beauf­tragten häu­fig einen Umfang, der es nahe legt, mit dieser Funk­tion einen Mitar­beit­er zu betrauen, der daneben noch andere, eben seine „üblichen“ Auf­gaben übern­immt. Dabei beste­ht allerd­ings die Prob­lematik, dass der Beauf­tragte ja eine Form der Selb­stkon­trolle des Unternehmens wahrn­immt. Er darf also nicht allein die Inter­essen des Unternehmens als solchem im Blick haben, son­dern muss ger­ade die Rechte der von Daten­ver­ar­beitung Betrof­fe­nen schützen, als deren Anwalt agieren. Inhab­er, Geschäfts­führer oder son­stige Per­so­n­en, die auf­grund ihrer Stel­lung oder Tätigkeit einem Inter­essen­skon­flikt (etwa der Leit­er der IT- oder Per­son­al­abteilung!) aus­ge­set­zt sind, kön­nen daher nicht bestellt wer­den. Wegen der geforderten Fachkunde und Zuver­läs­sigkeit kann daher ab und an schlicht die Per­son­aldecke knapp wer­den.

In Unternehmen mit­tlerer Größe wird oft genau abge­wogen wer­den müssen. Die Vorteile der inter­nen Lösung beste­hen darin, dass der entsprechende Mitar­beit­er die inter­nen Abläufe bere­its ken­nt, die Einar­beitungszeit und die Rei­bungsver­luste daher ger­ing sind.

Ander­er­seits haben die Auf­gaben des Beauf­tragten hier häu­fig schon einen Umfang, der einen sig­nifikan­ten Teil ein­er Arbeit­skraft bindet. Zudem genießt der intern bestellte Daten­schutzbeauf­tragte – um eine Unab­hängigkeit sicherzustellen – einen funk­tionalen Kündi­gungss­chutz (der allerd­ings nicht das Arbeitsver­hält­nis als solch­es bet­rifft). Zudem stellen sich auch hier die oben bere­its skizzierten Per­son­al­fra­gen.

Für die externe Lösung sprechen die leichtere Skalier­barkeit der Auf­gabe, die ein­fachere Möglichkeit des Wech­sels des Beauf­tragten, und all­ge­mein die Erwä­gun­gen, die zum Out­sourc­ing betrieblich­er Auf­gaben führen. Zudem ist die oben ange­sproch­ene Unab­hängigkeit hier eher gewahrt, häu­fig ist auch das Stand­ing des Beauf­tragten im Betrieb bess­er.

Fol­gen des Unter­lassens der Bestel­lung?

Die Bestel­lung des Daten­schutzbeauf­tragten ist verpflich­t­end. Gegen Unternehmen, die dem nicht nachkom­men, kön­nen Bußgelder in Höhe von bis zu 25.000 Euro ver­hängt wer­den.

Eine weit­ere eher unan­genehme Folge ist, dass diese Unternehmen, solange eben kein Beauf­tragter tätig wird, der Meldepflicht nach §§ 4d, e BDSG unter­liegen. Sie müssen daher gegenüber der zuständi­gen Auf­sichts­be­hörde ver­schiene Angaben, ins­beson­dere zur Zweckbes­tim­mung von Daten­ver­ar­beitungs­maß­nah­men, den davon betrof­fe­nen Per­so­n­en­grup­pen und den Empfängern der Dat­en zu machen.

BEITRAG TEILEN