Datenschutzbeauftragter

Wen trifft die Verpflichtung zur Bestellung eines Datenschutzbeauftragten?

Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten trifft nicht jeden Unternehmer und nicht jedes Unternehmen. Das BDSG enthält in § 4f detaillierte Regelungen, ob und ab wann ein Datenschutzbeauftragter in einem Unternehmen oder einer öffentlichen Einrichtung zu bestellen ist.

 

So hat gemäß § 4f Abs. 1 Satz 1 BDSG jede öffentliche oder auch nicht-öffentliche Stelle, in denen mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, schriftlich einen Datenschutzbeauftragten zu bestellen. Eine automatisierte Verarbeitung liegt vor, wenn die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen erfolgt (§ 3 Abs. 2 BDSG). Eine Datenverarbeitungsanlage ist eine Einrichtung, die Daten nach vorgegebenen Programmen und Verfahren verarbeitet. In der Regel sind damit Computer im weitesten Sinne gemeint, auf denen personenbezogene Daten gespeichert und/oder bearbeitet werden. Die Pflicht gilt, sobald mind. 10 Personen regelmäßig mit der automatisierten Verarbeitung beschäftigt sind. Hierunter fallen nicht nur Vollzeitkräfte, sondern auch freie Mitarbeiter, Auszubildende, Leiharbeiter, Praktikanten und Volontäre. Nur kurzeitig Beschäftigte sind nicht zu berücksichtigen (bspw. Urlaubsvertretungen). Die Zahl der "in der Regel" Beschäftigten darf dabei nicht durch einfaches Abzählen an einem bestimmten Stichtag ermittelt werden; vielmehr erfordert die Feststellung der maßgeblichen Beschäftigtenzahl neben einem Rückblick auf die vergangene Lage des Betriebes insbesondere eine Einschätzung seiner zukünftigen Entwicklung. Notwendig ist also, dass der Mitarbeiter während des größten Teils des Jahres tätig ist bzw. voraussichtlich tätig sein wird, so dass eine nur vorübergehende Mehr- oder Minderbeschäftigung in aller Regel unbeachtlich ist. Sobald innerhalb eines Unternehmens damit ständig mehr als 10 Personen Zugriff auf die elektronische Datenverwaltung haben, hat das Unternehmen einen betrieblichen Datenschutzbeauftragten zu bestellen.

 

Wird in einer Stelle von mehr als 20 Personen nicht-automatisiert mit Daten umgegangen, ist die Bestellung eines Datenschutzbeauftragten ebenfalls unausweichlich, § 4f Abs. 1 Satz 3 BDSG. Sozialleistungsträger sind gemäß § 81 Abs. 4 SGB X zur Einrichtung eines Datenschutzbeauftragten verpflichtet. Die verantwortlichen Stellen (§ 3 Abs. 7 BDSG) können frei entscheiden, ob sie sich für einen eigenen Mitarbeiter als internen Datenschutzbeauftragten entscheiden oder für einen externen Datenschutzbeauftragten als Berater für datenschutzrechtliche Fragen. Beide haben die Aufgabe, auf die Einhaltung des Datenschutzrechts im Unternehmen oder der Behörde für die er tätig ist hinzuwirken. Dazu haben sie die beim Umgang mit personenbezogenen Daten Tätigen des Unternehmens oder der Behörde mit den gesetzlichen Vorschriften vertraut zu machen und die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu überwachen (§ 4g Abs. 1 BDSG). Bestimmte Vorgänge unterliegen ihrer Vorabkontrolle.

 

Hier greift § 4f BDSG ein, der grundsätzlich eine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten vorsieht, soweit besondere personenbezogene Daten im Sinne des § 3 Abs. 9 BDSG automatisiert verarbeitet werden. Die Verpflichtung zur Durchführung einer Vorabkontrolle und die damit einhergehende Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten trifft denjenigen, der die Datenverarbeitung besonderer personenbezogener Daten weder aufgrund einer gesetzlichen Verpflichtung, noch im Rahmen der Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen vornimmt.

 

Die verantwortliche Stelle ist hinsichtlich Vorhaben der Verarbeitung personenbezogener Daten zur Unterrichtung ihres Datenschutzbeauftragten verpflichtet. Als Datenschutzbeauftragter kommt gemäß § 4f Abs. 2 Satz 1 BDSG nur eine solche Person in Betracht, die zur Erfüllung der Aufgabe erforderliche Fachkunde und Zuverlässigkeit besitzt. Um die Fachkunde des Datenschutzbeauftragten auch auf Dauer zu sichern, hat die verantwortliche Stelle ihm die Möglichkeit einzuräumen, an Fortbildungen teilzunehmen und auch die Kosten hierfür zu übernehmen. Datenschutzbeauftragte sind in dieser Funktion weisungsfrei und genießen Kündigungsschutz nach Maßgabe des § 4f Abs. 3 BDSG. Sie unterliegen einer Verschwiegenheitspflicht.