Der Datenschutzbeauftragte - Anforderungen und Aufgaben

Auch wenn die Ausgestaltung und die Rahmenbedingungen im Hinblick auf die Bestellpflicht eines Datenschutzbeauftragten in den verschiedenen Datenschutzgesetzen unterschiedlich gestaltet sind, so ist stets die Verpflichtung zur Bestellung grundsätzlich verankert. Näheres zu den Regelungen finden Sie in unserer Übersicht „Bestellungspflicht Datenschutzbeauftragter“. Die Bestellung kann durch einen internen Mitarbeiter oder einem Externen wahrgenommen werden. 

Aktuell wird das Datenschutzrecht auf EU-Ebene reformiert. Mit der UIMC haben Sie auch hier denrichtigen Partner. Die Funktion des betrieblichen Datenschutzbeauftragten bleibt höchstwahrscheinlich in der heutigen Form in Deutschland erhalten. Unter www.EU-Datenschutz-Grundverordnung.info haben wir wichtige Informationen zusammengetragen.

Der Datenschutzbeauftragte hat hierbei verschiedenste Aufgaben zu erfüllen und gesetzlichen Anforderungen zu genügen. Im Nachfolgenden wollen wir speziell auf die Anforderungen des Bundesdatenschutzgesetzes eingehen, wobei diese Ausführungen analog für jedes Datenschutzgesetz in Deutschland gelten.

Gerne unterstützen wir Sie bei der Umsetzung der gesetzlichen Anforderungen; sei es im Rahmen der Unterstützung eines intern bestellten Datenschutzbeauftragten (Coaching) oder durch ein Outsourcing der Funktion des Beauftragten für den Datenschutz in Form eines externen Datenschutzbeauftragten. Gerne führen wir vorab zunächst auch eine Analyse der Ist-Situation durch (Datenschutz-Checkup).

Fordern Sie noch heute ein unverbindliches Angebot an.

Nachfolgend möchten wir Ihnen gerne ein paar Fragen beantworten:

Wann muss ich einen Datenschutzbeauftragten bestellen?

Ein Datenschutzbeauftragter ist gemäß § 4f BDSG zu bestellen, wenn mehr als 9 Personen während ihrer Arbeit mit personenbezogenen Daten arbeiten. Dies ist schnell erreicht, schließlich ist das Empfangen und Versenden von E-Mails schon eine personenbezogene Datenverarbeitung. Doch selbst wenn ein Datenschutzbeauftragter nicht zu bestellen ist, so sind die Datenschutzgesetze dennoch zu beachten.

Die Bestellung hat im Übrigen schriftlich zu geschehen. Hierbei sollten neben den Pflichten auch die Rechte entsprechend geregelt werden.

Welche Anforderungen werden an einen Datenschutzbeauftragten gerichtet?

Ein Datenschutzbeauftragter muss fachkundig und zuverlässig sein. Für die Erfüllung der „Fachkunde“ sollten Fachkenntnisse in den Bereichen Recht, BWL/Organisation und EDV/IT sowie Unternehmenskenntnisse, aber auch „Soft-Skills“ wie Durchsetzungsstärke, Fähigkeit zu Kompromissen und zur Risikoabschätzung, Einfühlungsvermögen oder Kommunikationsfähigkeiten vorhanden sein. Vertiefte Fachkenntnisse im Datenschutz kann im Rahmen von Schulungen, Fortbildungen und/oder Coaching sichergestellt werden. 

Darüber hinaus hat der Beauftragte zuverlässig zu sein, was sich u. a. über nachfolgende Kriterien bestimmen lässt: 

  • Gewissenhafte Aufgabenerfüllung,
  • Unparteilichkeit,
  • Verschwiegenheit,
  • Uneigennützigkeit,
  • Verantwortungsbewusstsein und
  • Unabhängigkeit.

Weitere Informationen und Ausschlusskriterien finden Sie im nächsten Abschnitt.

Wen darf ich nicht zum Beauftragten für den Datenschutz bestellen?

Insbesondere die Forderung nach der Zuverlässigkeit, welche insbesondere auch die Unabhängigkeit beinhaltet, bereitet zumeist Probleme, da eine Interessenkollision in vielen Fällen gegeben ist. Zum Beispiel geraten 

  • Geschäftsführer,
  • Personal-/HR-Leiter
  • Vertriebsleiter oder
  • IT-/EDV-Leiter

oftmals in Konflikt, wenn sie ihre Interessen und Aufgaben mit den Tätigkeiten des Datenschutzbeauftragten vereinbaren und damit sich selbst kontrollieren sollen. Auch wird von vielen Aufsichtsbehörden die Bestellung des Betriebsratsvorsitzenden kritisch gesehen.

Welche Rechte und Pflichten hat ein Datenschutzbeauftragter?

Der Datenschutzbeauftragte ist der Geschäftsführung direkt zu unterstellen. Hierdurch soll sichergestellt werden, dass durch die Einhaltung des „Dienstwegs“ keine Informationen verloren gehen und die Bedeutung des Datenschutzes dokumentiert wird. Hierbei ist der Datenschutzbeauftragte bei der Ausübung seiner Fachkunde weisungsfrei. Da er jedoch auch nicht weisungsbefugt ist, sollte er im Rahmen seiner Aufgabenwahrnehmung auf ein verbindliches Datenschutzkonzept hinwirken. Durch die fehlende Weisungsbefugnis und Durchsetzungsbefugnis kann der Datenschutzbeauftragte auch nicht verantwortlich für die Einhaltung des Datenschutzes sein. Er ist aber dazu verpflichtet, die Geschäftsführung ausreichend zu beraten und somit auf die Einhaltung des Datenschutzes hinzuwirken.

Damit der Datenschutzbeauftragte seinen Aufgaben entsprechend nachgehen kann, hat er das Recht auf Fortbildung und genießt einen Kündigungsschutz wie ein Betriebsratsmitglied; mit dem Unterschied, dass ein Datenschutzbeauftragte zeitlich unbefristet bestellt wird und die Bestellung nur durch ihn selbst oder durch die Aufsichtsbehörde zurückgenommen werden kann. Des Weiteren darf der Datenschutzbeauftragte nicht benachteiligt werden und muss ausreichend unterstützt werden, was ein ausreichendes Zeitkontingent, Hilfspersonal oder andere finanzielle oder personelle Mittel beinhalten kann. 

Welche Aufgaben hat der Datenschutzbeauftragte zu erfüllen?

Der Datenschutzbeauftragte hat verschiedene Aufgaben zu erfüllen, die sich mittelbar und unmittelbar aus dem Datenschutzgesetz ableitet lassen: 

  • Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungs-Programme;
  • Verpflichtung auf das Datengeheimnis im Sinne des § 5 BDSG;
  • Schulung der Mitarbeiter;
  • Bearbeitung von fachlichen Anfragen von Mitarbeitern, Kunden etc.;
  • Beratung der Geschäftsführung, der Mitarbeiter und Fachbereiche über technische und organisatorische Maßnahmen;
  • Überprüfung der Anforderungen bei Dienstleistern z. B. im Rahmen der Auftragsdatenverarbeitung;
  • Erarbeitung, Vorschlag und Pflege von Richtlinien oder eines Datenschutz-Handbuchs;
  • Kontrolle und Wahrung der Rechte Betroffener;
  • Überwachung bei der Führung von Übersichten/Verfahrensverzeichnissen;
  • Durchführen der Vorabkontrollen;
  • Erstellen eines Tätigkeitsberichts.

Somit ist der Datenschutzbeauftragte frühzeitig in datenschutzrelevanten Projekte und Planungen einzubinden. Dies gelingt nur, wenn die Funktion des Datenschutzbeauftragten in die Organisation fest verankert wird. 

Kann ich den Datenschutzbeauftragten auch auslagern (Outsourcing des Datenschutzes)?

Sofern Sie ein Unternehmen sind, welches dem Bundesdatenschutzgesetz (BDSG) oder dem Kirchenrecht unterliegt, können Sie den Datenschutzbeauftragten auch extern bestellen. Dies sieht das Gesetz explizit vor. In den Landesgesetzen ist dies sehr unterschiedlich geregelt. Genauere Informationen können Sie bei uns gerne erfragen.

Weiter zum nächsten Thema