Unterkunft im Enztal buchen

Themenübersicht | Unternehmen führen | 6. Betrieblicher Datenschutz

6. Betrieblicher Datenschutz

  1. Wer muss einen Datenschutzbeauftragten bestellen?
  2. Persönliche Voraussetzungen
  3. Aufgaben des Datenschutzbeauftragten
  4. Stellung, Rechte und Pflichten des Datenschutzbeauftragten
  5. Rechtliche Grundlagen

1. Wer muss einen Datenschutzbeauftragten bestellen?

Nicht öffentliche Stellen, die personenbezogene Daten für andere als persönliche oder familiäre Tätigkeiten automatisiert erheben, verarbeiten oder nutzen, haben einen "betrieblichen" Beauftragten für den Datenschutz (bDSB) schriftlich zu bestellen, wenn sie bei der automatisierten Datenverarbeitung mindestens zehn Personen oder bei Verarbeitung auf andere Weise mindestens 20 Personen beschäftigen. Zu den Verpflichteten zählen insbesondere:

  • natürliche Personen (z.B. Ärzte, Apotheker, Rechtsanwälte, Steuerberater, Handels-, Handwerks- und Industriebetriebe)
  • juristische Personen (z.B. als GmbH organisierte Auskunfteien, Markt- und Meinungsforschungsinstitute, Telefondienst, Adressverlage, Detekteien, Handels-, Handwerks- und Industriebetriebe, als Kommanditgesellschaft auf Aktien konstituierte Banken, als Aktiengesellschaften tätige Kliniken, eingetragene Vereine, rechtsfähige Stiftungen des bürgerlichen Rechts)
  • Personengesellschaften (z.B. ein als Gesellschaft des bürgerlichen Rechts organisiertes Baukonsortium, ein als GmbH und Co. KG agierendes Versandunternehmen oder Servicerechenzentrum, eine Anwaltssozietät oder ein als OHG auftretender Filmverleih)
  • nicht rechtsfähige Vereine (z.B. Parteien, Gewerkschaften und Berufsverbände)

Unabhängig von der Anzahl der mit der Datenverarbeitung beschäftigten Personen haben nicht öffentliche Stellen einen Beauftragten für den Datenschutz zu bestellen, soweit sie automatisierte Verarbeitungen vornehmen, die besondere Risiken für die Rechte und die Freiheiten der Betroffenen aufweisen und daher vom Beauftragten für den Datenschutz im Wege der Vorabkontrolle vor Beginn der Verarbeitung zu überprüfen sind oder die personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung oder der anonymisierten Übermittlung erheben, verarbeiten oder nutzen. Mit der Aufgabe des Beauftragten für den Datenschutz kann auch eine (natürliche) Person außerhalb der verantwortlichen Stelle betraut werden (externer Datenschutzbeauftragter).

Der Beauftragte für den Datenschutz ist innerhalb einer Frist von einem Monat nach Aufnahme der Tätigkeit der nicht öffentlichen Stelle schriftlich zu bestellen. Wird der Beauftragte für den Datenschutz vorsätzlich oder fahrlässig nicht oder nicht rechtzeitig bestellt, kann dies mit einer Geldbuße von bis zu 50.000 Euro geahndet werden.

2. Persönliche Voraussetzungen

Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.

  • Die erforderliche Fachkunde umfasst sowohl das allgemeine Grundwissen hinsichtlich des Datenschutzrechts sowie über Verfahren und Techniken der automatisierten Datenverarbeitung als auch die Kenntnis über betriebswirtschaftliche Zusammenhänge. Darüber hinaus muss der Beauftragte für den Datenschutz mit der Organisation und den Funktionen seines Betriebes vertraut sein, einen guten Überblick über alle Fachaufgaben haben, zu deren Erfüllung personenbezogene Daten verarbeitet werden.
  • Der Begriff der Zuverlässigkeit umfasst sowohl sorgfältige und gründliche Arbeitsweise, Belastbarkeit, Lernfähigkeit, Loyalität und Gewissenhaftigkeit als auch Inkompatibilität der Aufgabe des Datenschutzbeauftragten mit anderen hauptamtlichen Aufgaben des Datenschutzbeauftragten. Eine Interessenkollision kann bei nebenamtlich mit der Aufgabe des Beauftragten für den Datenschutz betrauten Personen entstehen. Darüber hinaus sollen auch Personen nicht zu Beauftragten für den Datenschutz berufen werden, die in dieser Funktion in Interessenkonflikte geraten würden, die über das unvermeidbare Maß hinausgehen. Unvereinbar wäre es beispielsweise, den Inhaber, den Vorstand, den Geschäftsführer oder den sonstigen gesetzlichen oder verfassungsmäßig berufenen Leiter zu bestellen, da sie sich nicht wirksam selbst kontrollieren können. Dies gilt auch für den Geldwäschebeauftragten. Ferner ist zu vermeiden, Personen zu Datenschutzbeauftragten zu bestellen, die von ihrer Stellung im Betrieb für die Datenverarbeitung verantwortlich sind (Betriebsleiter, Leiter der EDV). Dagegen können als Datenschutzbeauftragte beispielsweise Mitarbeiter der Revision, der Rechtsabteilung und Organisation bestellt werden.
  • Die Bestellung zum Beauftragten für den Datenschutz kann auch auf Verlangen der zuständigen Aufsichtsbehörde widerrufen werden, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht (mehr) besitzt.

3. Aufgaben des Datenschutzbeauftragten

Der Beauftragte für den Datenschutz hat

  • auf die Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz hinzuwirken,
  • die ordnungsgemäße Anwendung der DV-Programme, mit deren Hilfe personenbezogene Daten verarbeitet werden, zu überwachen,
  • die bei der Verarbeitung personenbezogener Daten tätigen Personen zu schulen (z.B. in schriftlicher Form, durch Schulungsveranstaltungen oder auch durch Anregungen und Informationen im Rahmen von Dienstbesprechungen),
  • automatisierte Verarbeitungen, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, vorab zu kontrollieren (Vorabkontrolle),
  • jedem auf Antrag die Angaben über Verfahren automatisierter Verarbeitungen in geeigneter Weise zur Verfügung zu stellen,
  • Beschwerden nachzugehen, wenn Betroffene (z.B. Beschäftigte der nicht öffentlichen Stelle, Kunden, Lieferanten, Kreditnehmer) ihn mit der Behauptung anrufen, die Verarbeitung ihrer personenbezogenen Daten durch die nicht öffentliche Stelle verletze sie in ihren Rechten.

4. Stellung, Rechte und Pflichten des Datenschutzbeauftragten

  • Der Beauftragte für den Datenschutz ist dem Leiter der nicht öffentlichen Stelle unmittelbar zu unterstellen. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden.
  • Der Beauftragte für den Datenschutz darf zur Erfüllung seiner oben genannten Aufgaben auch auf personenbezogene Daten zugreifen und zwar auch dann, wenn diese einer besonderen Geheimhaltungspflicht (z.B. der ärztlichen Schweigepflicht) unterliegen. Dies gilt auch für einen externen Beauftragten für den Datenschutz.
  • Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen, der ihn angerufen hat, sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.
  • Der Beauftragte für den Datenschutz macht sich nach § 203 des Strafgesetzbuchs (StGB) strafbar, wenn er unbefugt ein fremdes Geheimnis offenbart, das einem in § 203 StGB Genannten (z.B. einem Arzt) in dessen beruflicher Eigenschaft anvertraut wurde oder sonst bekannt geworden ist und von dem er bei der Erfüllung seiner Aufgaben als Beauftragter für den Datenschutz Kenntnis erlangt hat.
  • Dem Beauftragten für den Datenschutz steht ein Zeugnisverweigerungsrecht zu, wenn er bei seiner Tätigkeit Kenntnis von Daten erhält, für die dem Leiter der nicht öffentlichen Stelle oder einer bei der nicht öffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht. Soweit das Zeugnisverweigerungsrecht des Beauftragten für den Datenschutz reicht, unterliegen seine Akten und andere Schriftstücke einem Beschlagnahmeverbot.
  • Die Daten verarbeitende Stelle ist verpflichtet, den Beauftragten für den Datenschutz bei der Erfüllung der Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung der Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen.
  • Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde hat die verantwortliche Stelle dem Beauftragten für den Datenschutz die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen.
  • Der Beauftragte für den Datenschutz ist über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten.
  • Dem Beauftragten für den Datenschutz sind von der verantwortlichen Stelle bestimmte Angaben zu den der Aufsichtsbehörde für den Datenschutz im nicht öffentlichen Bereich zu meldenden automatisierten Verfahren sowie über zugriffsberechtigte Personen zur Verfügung zu stellen.
  • Die Daten verarbeitende Stelle darf das Arbeitsverhältnis des Beauftragten für den Datenschutz nur kündigen, wenn Tatsachen vorliegen, welche zur Kündigung aus wichtigem Grund ohne Einhaltung von Kündigungsfristen berechtigen.
  • Der Beauftragte für den Datenschutz kann sich in Zweifelsfällen an die zuständige Aufsichtsbehörde für den Datenschutz im nicht öffentlichen Bereich wenden.

Tipp: Weiterführende Informationen zu Aus- und Fortbildungsmöglichkeiten für Datenschutzbeauftragte, Schulungseinrichtungen und Akademien sowie zu den Erfahrungsaustauschkreisen bei den Industrie- und Handelskammern bietet ein Merkblatt des Innenministeriums an. Darüber hinaus bietet das Innenministerium ein Musterformular zur Bestellung eines Datenschutzbeauftragten an.

5. Rechtliche Grundlagen

Zugeordnete Verfahren

Weitere Informationen finden Sie unter www.service-bw.de.