Der Datenschutzbeauftragte

Die Verarbeitung von personenbezogenen Daten nimmt heutzutage immer mehr zu. Unternehmen und Öffentliche Stellen sind darauf angewiesen, unsere Daten zu speichern und zu verarbeiten. Um die Einhaltung des Datenschutzes zu gewährleisten, hat der Gesetzgeber im Bundesdatenschutzgesetz (BDSG) festgelegt, dass in bestimmten Unternehmen und Öffentliche Stellen zwingend ein Datenschutzbeauftragter zu bestellen ist. Wer unter diese Regelung fällt und was die Anforderungen und Aufgaben eines Datenschutzbeauftragten sind, soll im folgendem umrissen werden.

 

Wer braucht einen Datenschutzbeauftragten?

Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, sind verpflichtet einen Datenschutzbeauftragten zu bestellen (§ 4f BDSG). Die automatisierte Verarbeitung von Daten d.h. unter Einsatz von Datenverarbeitungsanlagen (z.B. Textverarbeitung), umfasst dabei jegliche Speicherung, Veränderung, Übermittlung, Sperrung und Löschung. Unter Nicht-öffentliche Stellen fallen sowohl juristische Personen (z.B. AGs, GmbHs), Personengesellschaften (z.B. GbR), nicht rechtsfähige Vereinigungen (z.B. Gewerkschaften, politische Parteien) als auch natürliche Personen (z.B. Ärzte, Architekten, Rechtsanwälte). Sie sind jedoch nur dann verpflichtet einen Datenschutzbeauftragten zu bestellen, wenn sie mehr als neun Personen mit der automatisierten Verarbeitung oder bei der manuellen Verarbeitung mehr als 20 Personen beschäftigen. Bei der Ermittlung ob eine Person mit der automatisierten Ermittlung beschäftigt ist, ist nicht auf den arbeitsrechtlichen Status, sondern auf den Aufgabenschwerpunkt abzustellen. Unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen, müssen alle nicht-öffentlichen Stellen einen Beauftragten für Datenschutz bestellen, wenn sie die Daten geschäftsmäßig zum Zwecke der Übermittlung (z.B. Adressenhandel) oder zum Zwecke der anonymisierten Übermittlung (z.B. Marktforschung) verarbeiten. Dies gilt auch für Stellen, die eine automatisierte Verarbeitung von Daten vornehmen, bei deren eine Vorabkontrolle durchzuführen ist. Eine Vorabkontrolle ist bei besonderen Arten personenbezogener Daten (Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben) und bei Daten durchzuführen, die mit dem Ziel verarbeitet werden, die Persönlichkeit des Betroffenen zu bewerten, es sei denn, dass eine Einwilligung des Betroffenen oder eine gesetzliche Verpflichtung vorliegt.

 

Was sind die Aufgaben eines Datenschutzbeauftragten?

Der Datenschutzbeauftragte ist in erster Linie Wächter der datenschutzrechtlichen Regelungen. Sein Aufgabenspektrum ist jedoch vielfältig und umfasst sämtliche Felder des gesamten Unternehmens, die mit dem Datenschutzrecht in Berührung kommen. Er setzt die datenschutzrechtlichen Bestimmungen nicht um, sondern analysiert und kontrolliert diese und ist dadurch der Geschäftsleitung unterstellt. Der konkrete Umfang der Aufgaben hängt jedoch immer von den tatsächlichen Anforderungen im Unternehmen ab. Neben der Funktion als Ansprechpartnern erstellt er unter anderem Gutachten, prüft Verträge, entwirft Unternehmensrichtlinien, erteilt Auskünfte und überwacht die Datenverarbeitungsprogramme. Er führt das Verfahrensverzeichnis und wird zur Schulung der Mitarbeiter eingesetzt.

 

Für was haftet er?

Der Datenschutzbeauftragte hat umfassende Kenntnisse sämtlicher relevanten Bestimmungen zum Datenschutz sowie zur Datensicherheit zu besitzen und deren konkrete Umsetzung zu beherrschen. Er hat gemäß § 4g Abs. 1 S. 1 BDSG auf die Einhaltung des BDSG und anderer datenschutzrechtlicher Vorschriften hinzuwirken. Diese Aufgabe hat er gewissenhaft zu erfüllen. Bei Verstößen kann er grundsätzlich Haftung genommen werden.

Allerdings muss für die Frage der Haftung zwischen dem internen und externen Datenschutzbeauftragten unterschieden werden. Bei dem internen Datenschutzbeauftragten finden die arbeitsrechtlichen Vorschriften Anwendung. Er ist dann Arbeitnehmer und auf ihn finden uneingeschränkt die Grundsätze der beschränkten Arbeitnehmerhaftung Anwendung. Das Unternehmen kann somit nur bei vorsätzlichen oder grob fahrlässigen Handlungen gegen ihn vorgehen. Bei dem externen Datenschutzbeauftragten liegt es anders. Bei Verstößen kann das Unternehmen gegen ihn vorgehen, allerdings nur dann, wenn keine Haftungsbeschränkung zwischen dem Datenschutzbeauftragten und dem Unternehmen vorliegt. Üblicherweise wird eine Vereinbarung getroffen, dass die Haftung des Datenschutzbeauftragten hinsichtlich leichter Fahrlässigkeit ausgeschlossen ist. Somit wird in den seltensten Fällen eine Haftung greifen bzw. nur dann, wenn grob fahrlässig oder vorsätzlich gehandelt wurde. Somit haftet das Unternehmen einem Dritten gegenüber zunächst voll und kann sich nicht dadurch freizeichnen, dass es z.B. einen wenig ausgebildeten Datenschutzbeauftragten einstellt.

 

Was sind personenbezogene Daten?

Laut § 3 Bundesdatenschutzgesetz (BDSG) sind personenbezogene Daten: „ Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“. Unter persönliche Verhältnisse fallen unter anderem Name, Anschrift, Geburtsdatum, Familienstand, Staatsangehörigkeit, Konfession, Beruf, Eigenschaften, Aussehen, Gesundheitszustand, Werturteile, Fingerabdrücke. Zu den sachlichen Verhältnissen zählen z.B. vertragliche Rechtsverhältnisse, Bauplanung, Grundbesitz, Bestehen eines Arbeitsverhältnisses, Teilnahme an einer Weiterbildungsveranstaltung, Führen eines Telefongesprächs.

Die Informationen müssen allerdings nicht zwingend auf eine bestimmte Person bezogen sein. Vielmehr reicht es aus, dass durch die Daten ein Bezug auf eine Person hergestellt werden kann. So ist es denkbar, dass durch eine Telefonnummer, Matrikelnummer oder Versicherungsnummer auf eine Person geschlossen werden kann. Daten von juristischen Personen werden dagegen nicht vom Bundesdatenschutzgesetz erfasst. Handelt es sich jedoch um bei dem Unternehmen um eine Personengesellschaft so kann wiederum das Datenschutzgesetz eingreifen.

Das Bundesdatenschutzgesetz kennt auch Daten, die besonders schützenswert sind und die nur erhoben, verarbeitet oder genutzt werden dürfen, wenn eine Einwilligung des Betroffenen vorliegt. Dazu zählen unter anderem Angaben zur Herkunft, politische Meinung oder die religiöse Überzeugung.

_________________________________________________________________________________________________

Sie haben Fragen rund um das Thema IT-Recht, Lizenzen und Datenschutz? Wir helfen Ihnen gerne!

Das Expertenteam um Rechtsanwalt Christian Solmecke steht Ihnen gerne Rede und Antwort für Ihre Fragen.

Rufen Sie uns an 0221 / 951 563 0 (Beratung bundesweit).
_________________________________________________________________________________________________

Hier gelangen Sie zurück zur Übersichtseite IT-Recht

 

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (4 Bewertungen, Durchschnitt: 4,75 von 5)

Jetzt unseren Newsletter abonnieren

E-Mail-Adresse eingeben und immer auf dem Laufenden bleiben:
×