Betrieblicher Datenschutzbeauftragter? Nie gehört! (Teil II)

BEITRAG TEILEN

Der Teil 1 des Bei­tra­ges wid­me­te sich der Fra­ge, wel­che Unter­neh­men einen betrieb­li­chen Daten­schutz­be­auf­trag­ten brau­chen und wel­che fach­li­chen und per­sön­li­chen Vor­aus­set­zun­gen der Daten­schutz­be­auf­trag­te mit­brin­gen mus. Teil 2 unter­sucht, ob der Beauf­trag­te intern oder extern rekru­tiert wer­den soll­te und was eigent­lich geschieht, wenn ent­ge­gen der bestehen­den Pflicht eine Bestel­lung unter­bleibt.

Inter­ner oder exter­ner Beauf­trag­ter?

Das Gesetz regelt nicht, ob der Beauf­trag­te intern aus dem Unter­neh­men oder extern (dies wird von einer Rei­he spe­zia­li­sier­ter Unter­neh­mens­be­ra­ter und Rechts­an­wäl­te ange­bo­ten) rekru­tiert wird. Dar­über, wel­che die­ser bei­den Mög­lich­kei­ten die sinn­vol­le­re ist, wird seit der Sta­tu­ie­rung der Pflicht zur Bestel­lung eines Daten­schutz­be­auf­trag­ten 1978 hef­tig gestrit­ten. Rich­tig ist wohl, dass es auf die kon­kre­te Situa­ti­on des Unter­neh­mens ankommt.

Sehr gro­ße Unter­neh­men beschäf­ti­gen häu­fig einen dezi­diert nur mit die­ser Auf­ga­be beschäf­tig­ten Ange­stell­ten.

Gera­de in klei­ne­ren Unter­neh­men haben die Auf­ga­ben des Beauf­trag­ten häu­fig einen Umfang, der es nahe legt, mit die­ser Funk­ti­on einen Mit­ar­bei­ter zu betrau­en, der dane­ben noch ande­re, eben sei­ne „übli­chen“ Auf­ga­ben über­nimmt. Dabei besteht aller­dings die Pro­ble­ma­tik, dass der Beauf­trag­te ja eine Form der Selbst­kon­trol­le des Unter­neh­mens wahr­nimmt. Er darf also nicht allein die Inter­es­sen des Unter­neh­mens als sol­chem im Blick haben, son­dern muss gera­de die Rech­te der von Daten­ver­ar­bei­tung Betrof­fe­nen schüt­zen, als deren Anwalt agie­ren. Inha­ber, Geschäfts­füh­rer oder sons­ti­ge Per­so­nen, die auf­grund ihrer Stel­lung oder Tätig­keit einem Inter­es­sens­kon­flikt (etwa der Lei­ter der IT- oder Per­so­nal­ab­tei­lung!) aus­ge­setzt sind, kön­nen daher nicht bestellt wer­den. Wegen der gefor­der­ten Fach­kun­de und Zuver­läs­sig­keit kann daher ab und an schlicht die Per­so­nal­de­cke knapp wer­den.

In Unter­neh­men mitt­le­rer Grö­ße wird oft genau abge­wo­gen wer­den müs­sen. Die Vor­tei­le der inter­nen Lösung bestehen dar­in, dass der ent­spre­chen­de Mit­ar­bei­ter die inter­nen Abläu­fe bereits kennt, die Ein­ar­bei­tungs­zeit und die Rei­bungs­ver­lus­te daher gering sind.

Ande­rer­seits haben die Auf­ga­ben des Beauf­trag­ten hier häu­fig schon einen Umfang, der einen signi­fi­kan­ten Teil einer Arbeits­kraft bin­det. Zudem genießt der intern bestell­te Daten­schutz­be­auf­trag­te – um eine Unab­hän­gig­keit sicher­zu­stel­len – einen funk­tio­na­len Kün­di­gungs­schutz (der aller­dings nicht das Arbeits­ver­hält­nis als sol­ches betrifft). Zudem stel­len sich auch hier die oben bereits skiz­zier­ten Per­so­nal­fra­gen.

Für die exter­ne Lösung spre­chen die leich­te­re Ska­lier­bar­keit der Auf­ga­be, die ein­fa­che­re Mög­lich­keit des Wech­sels des Beauf­trag­ten, und all­ge­mein die Erwä­gun­gen, die zum Out­sour­cing betrieb­li­cher Auf­ga­ben füh­ren. Zudem ist die oben ange­spro­che­ne Unab­hän­gig­keit hier eher gewahrt, häu­fig ist auch das Stan­ding des Beauf­trag­ten im Betrieb bes­ser.

Fol­gen des Unter­las­sens der Bestel­lung?

Die Bestel­lung des Daten­schutz­be­auf­trag­ten ist ver­pflich­tend. Gegen Unter­neh­men, die dem nicht nach­kom­men, kön­nen Buß­gel­der in Höhe von bis zu 25.000 Euro ver­hängt wer­den.

Eine wei­te­re eher unan­ge­neh­me Fol­ge ist, dass die­se Unter­neh­men, solan­ge eben kein Beauf­trag­ter tätig wird, der Mel­de­pflicht nach §§ 4d, e BDSG unter­lie­gen. Sie müs­sen daher gegen­über der zustän­di­gen Auf­sichts­be­hör­de ver­schie­ne Anga­ben, ins­be­son­de­re zur Zweck­be­stim­mung von Daten­ver­ar­bei­tungs­maß­nah­men, den davon betrof­fe­nen Per­so­nen­grup­pen und den Emp­fän­gern der Daten zu machen.

BEITRAG TEILEN