Externer Datenschutzbeauftragter

Betrieblicher Datenschutzbeauftragter

By

Man benötigt einen betrieblichen Datenschutzbeauftragten, wenn personenbezogene Daten, unter Verwendung von Datenverarbeitungsanlagen, automatisiert werden und mit diesen Daten mehr als 9 Mitarbeiter, im Zuge ihrer normalen Tätigkeit, beschäftigt sind.

Oder, wenn die Datenverarbeitung von personenbezogenen Daten nicht automatisiert, sondern  z.B. in schriftlicher Form erfolgt und mit diesen Daten mindestens 20 Mitarbeiter arbeiten.

Weiterhin gibt es eine Regelung die unabhängig von der Anzahl der Mitarbeiter zutreffen kann, nämlich dann wenn ein Verfahren einer Vorabkontrolle unterliegt ( § 4 d Abs. 5 BDSG ), auch dann muss ein betrieblicher Datenschutzbeauftragter gestellt werden.

Wie man sieht gibt es eine Reihe von Anforderungen die man prüfen muss, ob man gesetzlich dazu verpflichtet ist einen Datenschutzbeauftragten zu bestellen.

Aber welche Fachliche Qualifikation muss ein Datenschutzbeauftragter aufweisen?

Der betriebliche Datenschutzbeauftragte, ob intern oder extern, muss nachgewiesene Kenntnisse im Bereich des Datenschutzrechtes als auch der Informationstechnologie aufweisen, um die Zuverlässigen Aufgaben eines Datenschutzbeauftragten zu erfüllen.  Die Zuverlässigkeit besteht auch darin, dass im Unternehmen kein Interessenskonflikt entsteht, wenn ein interner Mitarbeiter die Aufgabe des betrieblichen Datenschutzbeauftragten übernimmt.

Ein Beispiel aus der Praxis:

Der IT-Leiter in einer Gesellschaft wird vom Geschäftsführer bestimmt ab sofort die Aufgaben des betrieblichen Datenschutzbeauftragten zu übernehmen. Der Geschäftsführer schickt den IT-Leiter daraufhin zu einer Datenschutzschulung, um die Qualifikation im Bereich Datenschutzrecht abzudecken. Die IT-Kenntnisse hat der IT-Leiter aus seiner praktischen Erfahrung bereits.

Ist diese Szenario zulässig?

Nein, denn hier würde ein Interessenskonflikt zum Tragen kommen. Der IT-Leiter  würde bei einem Teil der Verfahren sich selber bzw. seine Abteilung kontrollieren und es ist davon auszugehen das hier keine objektive Bewertung zustande kommen könnte. Weiterhin sind folgende Personen, aus dem eigenen Unternehmen, nicht für die Stelle des betrieblichen Datenschutzbeauftragten geeignet.

Inhaber, Vorstände, Geschäftsführer, IT-Leiter, leitende Mitarbeiter die in einem engen Bezug zu personenbezogenen Datenverfahren stehen, sowie andere Stellen die in einem direkten Interessenskonflikt stehen könnten.

Wie muss ein betrieblicher Datenschutzbeauftragter bestellt werden?

Wenn man einen Datenschutzbeauftragten bestellt, muss dieses schriftlich geschehen. Am besten bei Antritt, spätestens aber innerhalb eines Monats nach der Aufnahme der Tätigkeit als betrieblicher Datenschutzbeauftragter. Eine Mustervorlage für eine schriftliche Bestellung finden Sie hier: Bestellung betrieblicher Datenschutzbeauftragter

Hinweis: Unterlässt man die schriftliche Bestellung, so kann dieses mit einer Geldbuße von bis zu 50.000 Euro geahndet werden! ( § 43 Abs. 1 BDSG )

Was sind die Aufgaben des betrieblichen Datenschutzbeauftragten?

Diese Aufgaben ergeben sich nach dem BDSG § 4g, hier eine kurze Aufführung der Aufgaben die der Datenschutzbeauftragte u.a. zu erfüllen hat.

  • Kontrollen auf Vorabkontrollen
  • Prüfung der Datenverarbeitungsprogramme welche personenbezogene Daten verarbeiten
  • Prüfung zur Verpflichtung auf das Datengeheimnis
  • Unterweisung/Schulung der Mitarbeiter welche personenbezogene Daten, mit Datenverarbeitungsprogrammen,  verarbeiten.
  • Prüfung neuer Verfahren  welche personenbezogene Daten berühren.
  • Auskunftserteilung gegenüber Behörden und Mitarbeitern zum Thema Datenschutz
  • Führen eines Verfahrensverzeichnisses (Beispiel Verfahrensverzeichnis-intern )
  • Richtlinien Erstellung / betriebliche Anweisungen verfassen, zum korrekten Umgang mit personenbezogenen Daten
  • Vertragskontrolle bei Auftragsdatenverarbeitern
  • Vertretung des Unternehmens in Sachen Datenschutz
  • Überwachung der personenbezogenen Verfahren
  • Erstellung einer Datenschutzdokumentation

Sowie weiter Aufgaben die sich nach BDSG ergeben. Wie man hier sieht hat man als Datenschutzbeauftragter einiges anzugehen und gerade die ersten Schritte und Hürden müssen dabei gemeistert werden.

Die Rechte des Datenschutzbeauftragten?

Natürlich hat der betriebliche Datenschutzbeauftragte nicht nur Pflichten sondern auch Rechte, welche das u.a. sind möchten wir Ihnen hier kurz schildern.

  • Kontrollrecht zur Wahrnehmung seiner Tätigkeit als Datenschutzbeauftragter
  • Sollte es für die Aufgabe als Datenschutzbeauftragter erforderlich sein, müssen dem Mitarbeiter auch Räume und Geräte, sowie Informationsmaterial gestellt werden
  • Der Datenschutzbeauftragte hat kein Weisungsrecht gegenüber anderer Abteilungen im Unternehmen, oder der Geschäftsführung gegenüber, ist aber Weisungsfrei bei den Anwendungen die den Datenschutz betreffen.
  • Zeugnisverweigerungsrecht § 4f Abs. 4a BDSG
  • Rechte zur Weiterbildung im Bereich Datenschutz, um Fachlich auf dem aktuellsten Stand zu sein

Kündigung des Datenschutzbeauftragten

Diesen Part werden wir in 2 Teile splitten, im ersten Teil geht es um die Widerrufung der Bestellung des internen betrieblichen Datenschutzbeauftragten.

Diese Bestellung, für den internen Datenschutzbeauftragten, kann nur widerrufen werden, wenn eine Aufsichtsbehörde dieses vorgibt oder Voraussetzungen zum Tragen kommen, die eine fristlose Kündigung gerechtfertigten ( § 626 BGB ). Ein Paradebeispiel wäre, wenn der Mitarbeiter seine Pflicht auf Verschwiegenheit gebrochen hat. Ansonsten hat der interne betriebliche Datenschutzbeauftragte ein gesondertes Kündigungsrecht § 4f Abs. 3 BDSG, welches deren eines Betriebsratsmitgliedes gleichzusetzen ist.

Bei externen Datenschutzbeauftragten sieht die Sachlage etwas anders aus. Hier wird ein Dienstleistungsvertrag geschlossen, der zum vereinbarten Zeitpunkt gekündigt werden kann und dieses ohne Wenn und Aber!

Internen oder externen Datenschutzbeauftragten?

Abschließen stellt sich häufig die Frage ob man einen internen Mitarbeiter zum betrieblichen Datenschutzbeauftragten benennt, oder diesen Part an eine externe Firma auslagert. Hier sind natürliche einige Vor- und Nachteile versteckt, die wir kurz erläutern wollen.

Wenn man einen internen Mitarbeiter bestellen möchte, dann muss man erst einmal jemanden mit der Fachlichen Qualifikation finden, oder diesen in allen Bereich ausbilden lassen (Schulungen, Prüfungen, Weiterbildungen), dann darf dieser Mitarbeiter in keinem direkten Interessenskonflikt stehen, wie oben schon beschrieben. Dieses engt natürlich die Anzahl der Personen im eigenen Unternehmen massiv ein.

Ein externer Dienstleister hat dagegen mehr als nur einen Vorteil. Zu allererst besteht natürlich kein Interessenskonflikt. Weiterhin sind die externen Datenschutzbeauftragten alle in dem Bereich ausgebildet und bilden sich ständig fort. Es gibt auch nicht die so oft gehörte „Betriebsblindheit“, sondern ein externer Datenschutzbeauftragter wird systematisch an die Aufgaben rangehen. Hier profitieren die Unternehmen natürlich auch von der bereits vorhandenen Erfahrung. Für ein Unternehmen vielleicht auch nicht ganz uninteressant ist, dass man die Haftung dem externen Dienstleister überschreibt und die Haftung nicht mehr selbst beim Unternehmen liegt. Als Nachteil wird oft angeführt, dass die internen Betriebsstrukturen nicht bekannt sind, aber dieses kann auch ein Vorteil sein, wenn man wirklich von Anfang an das ganze Unternehmen nach Datenschutzrechtlichen Aspekten betrachtet und durchleuchtet.

Intern und extern, geht das?

Unternehmen die sich entscheiden einen internen Mitarbeiter zum Datenschutzbeauftragten zu bestellen, sich aber auch extern Datenschutzrechtlich helfen zu lassen, ist natürlich auch eine Möglichkeit. Der externe Dienstleister ist dann ein Ansprechpartner für den internen betrieblichen Datenschutzbeauftragten und steht diesem mit Rat und Tat zur Seite. Auch kann der externe Dienstleister den internen Datenschutzbeauftragten Schulen, Unterweisen und ihm ein Zertifikat ausstellen, was sogar mehr Sinn macht, da hier schon von Anfang praxisnahe Beispiele aus dem Unternehmen aufgenommen werden können. So findet sich der interne Datenschutzbeauftragte auch schnell in seine Tätigkeit ein und hat ein Datenschutz Backup, mit dem externen Dienstleister, im Rücken.

Wie Sie sich auch entscheiden, wir können Ihnen bei allen Fragen zum Thema Datenschutz behilflich sein. Sei es als externer Datenschutzbeauftragter, oder als externer Dienstleister der Ihnen bzw. Ihrem Mitarbeiter im Datenschutz unterstützt.

Gerne kümmern wir uns auch um die Erlangung der fachlichen Kenntnis die nach BDSG gefordert wird. Nehmen Sie einfach mit uns Kontakt auf, wir helfen Ihnen!

Zum Kontaktformular

Bundesweit tätig

Als externer Datenschutzbeauftragter sind wir u.A in folgenden Städten tätig: Köln, Düsseldorf, Leverkusen, Bonn, Berlin, Wuppertal, Münster, Aachen, Duisburg, Bochum, Bielefeld, Stuttgart, München, Hamburg, Bremen, Dortmund, Frankfurt sowie in weiteren Teilen Deutschlands.

Externe Informationen Datenschutzbeauftragter

Wikipedia: Datenschutzbeauftragter
BfDI
Entschließungen des Düsseldorfer Kreises