Datenschutz durch Datenschutzbeauftragten

In der Privatwirtschaft haben Unternehmen, Gewerbetreibende und Freiberufler, soweit personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen erhoben, verarbeitet oder genutzt werden und dies keinem ausschließlich persönlichen oder familiären Zweck dient, die gesetzlichen Regelungen des Bundesdatenschutzgesetzes (BDSG) einzuhalten. Diese sehen die Gewährleistung von Datenschutz und Persönlichkeitsschutz im Zusammenhang mit dem Informationsverkehr vor. Hinzu kommen spezielle Datenschutzvorschriften für bestimmte Sachverhalte, wie z.B. das Betriebsverfassungsgesetz für Personaldaten und das Telemedienrecht beim Interneteinsatz.

Personenbezogene Daten im Sinne von § 3 Abs. 1 BSDG sind dabei alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, gleichgültig ob als Privatperson, Kunde, Mitarbeiter, Firmeninhaber oder dergleichen. Demnach fallen also z.B. die Adresse, E-Mail-Adresse und Telefonnummer, das Geburtsdatum, der Familienstand, der berufliche Werdegang, die wirtschaftlichen Verhältnisse, das Konsumverhalten, die Sozialversicherungsnummer, der Gesundheitszustand und vieles mehr unter den Bereich der personenbezogenen Daten.

Das Datenschutzrecht in Deutschland beruht auf dem Prinzip der Eigenverantwortung und Eigenkontrolle, d.h. jede Daten verarbeitende Stelle hat selbst für die Einhaltung der Datenschutzregelungen zu sorgen. Das wiederum bedeutet, verantwortlich für den Datenschutz im Unternehmen ist in erster Linie die Unternehmensleitung.

Dieser Verantwortung wird das Unternehmen mit der Bestellung eines Datenschutzbeauftragten gerecht. Der Datenschutzbeauftragte soll die Unternehmensleitung in der verantwortlichen Handhabung des Datenschutzes unterstützen. Dabei ist seine Aufgabe, auf die Einhaltung des Datenschutzes, insbesondere durch Beratung und Aufzeigen von möglichen datenschutzrechtlichen Problemen, hinzuwirken.
Wann ein Datenschutzbeauftragter bestellt werden muss, hängt von verschiedenen Kriterien ab. Entscheidend sind Art der Datenspeicherung und Datenerhebung, sowie die Anzahl der Personen, die personenbezogene Daten erheben, speichern oder nutzen und der Geschäftszweck des Unternehmens.
Werden im Unternehmen mehr als 9 Personen mit automatischer Verarbeitung personenbezogener Daten (d.h. mit Hilfe von Datenverarbeitungsanlagen) oder 20 Personen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten mittels manueller Dateien (z.B. durch ein Karteisystem, Formularsammlung) beschäftigt, so muss ein Datenschutzbeauftragter bestellt werden. Um die Anzahl der Beschäftigten festzustellen ist die „Kopfzahl“ entscheidend. Damit zählen auch Teilzeitarbeitskräfte als jeweils eine Person und der Gesetzgeber unterscheidet nicht zwischen freien Mitarbeitern, Heimarbeitskräften und Leiharbeitern oder Auszubildenden und Praktikanten. Ausschlaggebend ist, wie viele Personen tatsächlich mit der Verarbeitung der Daten betraut sind.

Unabhängig von der Anzahl der beschäftigten Personen müssen Unternehmen immer einen Datenschutzbeauftragten bestellen, wenn sie Verfahren einsetzen, die nach § 4 e Abs. 5 BDSG der Vorabkontrolle unterliegen. Weitere Verpflichtete sind Unternehmen, die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung (Auskunfteien, Informationsdienste, Adresshandel), der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.

Der Datenschutzbeauftragte ist spätestens einen Monat nach Aufnahme der Tätigkeit der nichtöffentlichen Stelle schriftlich zu bestellen. Wird dieser Pflicht vorsätzlich oder fahrlässig nicht oder nicht rechtzeitig nachgekommen, kann dies mit einer Geldbuße von bis zu 50.000 € geahndet werden (§ 43 Absatz 1 Nr. 2 BDSG).

Datenschutzbeauftragter kann nur eine natürliche Person sein. Zu beachten ist, dass im Unternehmen keine Interessenkonflikte bei der Benennung eines Datenschutzbeauftragten entstehen um einen ordnungsgemäßen Umgang mit den personenbezogenen Daten gewährleisten zu können.
So können der Leiter oder andere Führungskräfte sich nicht selbst zum Datenschutzbeauftragen des Unternehmens bestellen. Dies würde gerade den Grundsätzen des BDSG zuwiderlaufen, wonach der Datenschutzbeauftragte gerade zur Beratung und Unterstützung der unternehmensleitung in Datenschutzfragen bestellt wird. Ungeeignet sind außerdem Mitarbeiter (insbesondere Führungskräfte) aus der Personalabteilung, der IT-Abteilung, Marketing und Vertrieb und Bereichen, in denen besonders viele sensible Daten verarbeitet werden, da hier das Potential für nicht ordnungsgemäßen Umgang mit personenbezogenen Daten relativ hoch ist und der Datenschutzbeauftragte sich und seine Abteilung selbst kontrollieren müsste. Problematisch im Hinblick auf eine Interessenkollision ist es auch, wenn ein Mitarbeiter aus der Rechtsabteilung zum Datenschutzbeauftragten gemacht wird, der gleichzeitig für Gerichtsverfahren gegen Mitarbeiter zuständig ist.
Der Datenschutzbeauftragte ist ausschließlich beratend tätig und hat nach dem BDSG keine Weisungsbefugnisse.
Im Ergebnis ist es wichtig eine Person zu finden, die für die Bestellung als Datenschutzbeauftragter Potential mitbringt, diese Person auch bereit ist sich fortzubilden und die Aufgabe verantwortungsvoll wahrzunehmen.
Dabei ist es dem Gesetz nach freigestellt, ob ein eigener Mitarbeiter oder eine Person, die dem Unternehmen nicht angehört zum Datenschutzbeauftragten bestellt wird. Bei Letztgenanntem handelt es sich um einen sog. externen Datenschutzbeauftragten. In diesem Fall kann auch ein Rechtsanwalt diese Aufgaben für das Unternehmen wahrnehmen.

Zum Datenschutzbeauftragten darf nach § 4 f Abs. 2 BDSG nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.
Grundsätzlich gilt für die erforderliche Fachkunde: je mehr Daten und von der verantwortlichen Stelle verarbeitet werden je sensibler deren Inhalt ist, desto höher sind die Anforderungen an die Qualifikation des Datenschutzbeauftragten.
Von dem Datenschutzbeauftragenten wird mindestens gefordert Grundkenntnisse zu den verfassungsrechtlichen Persönlichkeitsrechten der Betroffenen und Mitarbeiter zu besitzen, sowie über umfassende Kenntnisse der Regelungen des BDSG und anderer datenschutzrechtlicher Bestimmungen zu verfügen. Darüber hinaus werden Grundkenntnisse im betriebswirtschaftlichen, technischen und organisatorischen Bereich gefordert, die bereits im Zeitpunkt der Bestellung des Datenschutzbeauftragten im ausreichenden Maß vorliegen müssen.
Der Begriff der Zuverlässigkeit umfasst eine sorgfältige und gründliche Arbeitsweise, Belastbarkeit, Lernfähigkeit, Loyalität und Gewissenhaftigkeit, sowie die Fähigkeit die datenschutzrechtlichen Belange gegenüber dem Unternehmen zu vertreten.

Der Vorteil eines internen Datenschutzbeauftragten liegt auf der Hand: Wird ein Mitarbeiter zum Datenschutzbeauftragten bestellt, ist er mit den Abläufen und Strukturen im Unternehmen vertraut. Dies verkürzt Einarbeitungszeiten. Andererseits muss sich ein Unternehmen aber auch darüber im Klaren sein, dass die Tätigkeit des Datenschutzbeauftragten vom Mitarbeiter einen hohen Einsatz fordern wird, der mit einer großen zusätzlichen Arbeitsbelastung verbunden ist. Hinzukommen Zeiten für Fortbildungen in denen der Mitarbeiter ebenfalls nicht für seine regulären Aufgaben verfügbar ist. Auch ist es schwer, eine absolute Unabhängigkeit des Datenschutzbeauftragten herzustellen, die aber nötig ist, damit Datenschutzkonzepte wirklsam umgesetzt werden können.

Aus Sicht des Unternehmens hat die Bestellung eines externen Datenschutzbeauftragten zahlreiche Vorteile. Er wird per Vertrag bestellt und steht zu dem Unternehmen in keinem arbeitsrechtlichen Beschäftigungsverhältnis. Somit gelten die Kündigungsschutzregeln des Arbeitsrechts nicht bei Übernahme der Tätigkeit durch einen externen Datenschutzbeauftragten. Die Bestellung kann, anders als bei einem internen Arbeitnehmer, ohne die Einschaltung des Betriebsrats erfolgen. Eine Ausnahme würde nur gelten, wenn eine anderweitige Betriebsvereinbarung besteht.
Eine externe Lösung per Vertrag bietet weiterhin den Vorteil, dass sich das eigene Personal im Betrieb auf das Kerngeschäft konzentrieren kann und die Befassung mit der Datenschutzproblematik ausgelagert wird. Der externe Datenschutzbeauftragte ist in der Lage, mit Fachkenntnissen und Berufserfahrung die Aufgaben den gesetzlichen Anforderungen entsprechend, rationell und in wirtschaftlich sinnvoller Weise zu erledigen. Gerade durch die Bestellung eines externen Datenschutzbeauftragenten vermeidet man weitestgehend das Problem der Intereressenkollision. Zusätzliche Kosten für Fort- und Weiterbildungen, sowie für Arbeitsmittel entstehen dem Unternehmen durch den externen Datenschutzbeauftragten gerade nicht. Diese sind mit dem Honorar des Datenschutzbeauftragen abgegolten.

Das Angebot an externen Datenschutzbeauftragten ist mittlerweile groß. Es fällt auf, dass insbesondere IT-Systemhäuser vermehrt Angebote zur Bestellung von externen Datenschutzbeauftragten im Programm haben. Hierzu sei angemerkt, dass Datenschutz viele andere Rechtsgebiete wie das IT-Recht, Wettbewerbsrecht, Arbeitsrecht, Vertragsrecht etc. berührt. Die Beantwortung dieser komplexen rechtlichen Fragestellungen kann bei Nichtjuristen schnell in den Bereich der unzulässigen Rechtsberatung gelangen.

Nach dem Wortlaut des Gesetzes ist die Aufgabe des Datenschutzbeauftragten auf die Einhaltung des Datenschutzgesetzes und anderer Vorschriften über den Datenschutz hinzuwirken.

Kontrolle der datenerheblichen Vorgänge

Der Datenschutzbeauftragte hat die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden, zu überwachen. Hier zielt der Gesetzgeber auf die Kontrolle der Zulässigkeit der Datenerhebung und –speicherung, der Zweckbindung, des Grundsatzes der Datensparsamkeit und dem Schutz vor unberechtigtem Zugriff auf die Daten ab. Für die Einhaltung dieser Punkte empfiehlt es sich zunächst eine Checkliste in Anlehnung an die Erfordernisse nach § 9 BDSG Anlage zu erstellen und so die technischen und organisatorischen Maßnahmen für die Prozesse und Verfahren im Unternehmen zu prüfen und damit einen dem Schutzbedarf der Daten angemessenen Datenschutz zu gewährleisten.

Datenschutz-Schulungen

Außerdem werden die bei der Verarbeitung personenbezogener Daten tätigen Personen vom Datenschutzbeauftragten im Hinblick auf die Datenschutzpraktiken geschult. Dies kann in schriftlicher Form, durch Schulungsveranstaltungen oder auch im Rahmen von Dienstbesprechungen erfolgen. Dabei geht es um den Umgang mit Kunden-, Lieferanten-, und Personaldaten, um die richtigen Verhaltensweisen bei der Datenübermittlung per Fax und E-Mail oder um Fragen der Datensicherheit.
Weiterhin ist durch eine sogenannte Vorabkontrolle bei Beginn die automatisierte Datenverarbeitung auf besondere Risiken für die Rechte und Freiheiten der Betroffenen zu kontrollieren.

Verfahrensverzeichnis

Eine weitere Aufgabe des Datenschutzbeauftragten ist es, entsprechende Verfahrensverzeichnisse zu führen, die zur Überprüfung des ordnungsgemäßen Einsatzes der Datenverarbeitungsprogramme dienen. Die Verantwortung über den Inhalt der Verfahrensübersichten trägt der zu erstellende Fachbereich im Unternehmen. Der Datenschutzbeauftragte muss allerdings auf die Erstellung und zur Verfügung Stellung hinwirken.

Er ist außerdem dazu berufen Beschwerden nachzugehen, wenn Betroffene mit der Behauptung an das Unternehmen herantreten, dass die Verarbeitung ihrer personenbezogenen Daten sie in ihren Rechten verletze. Dazu gehört auch gegenüber Betroffen das Recht auf Auskunft gem. § 34 BDSG zu wahren.
Hinzu kommt das der Datenschutzbeauftragte für das Unternehmen dafür sogen soll, das der in § 5 BDSG geregelten Pflicht nachgekommen wird, alle Mitarbeiter zur Einhaltung des Datengeheimnisses zu verpflichten. Hier sollten die Verpflichtungserklärungen regelmäßig kontrolliert werden oder - sofern noch nicht vorhanden - ein geeignetes Formular zur Verfügung gestellt werden.
Ein wichtiger und notwendiger Ansprechpartner ist der Datenschutzbeauftragte natürlich auch bei der Ermittlung und Bewältigung von Datenschutzpannen. Dabei sind von ihm die notwendigen Schritte zur Schadensvermeidung oder –regulierung einzuleiten.

Veranwortung des Datenschutzbeauftragten

Voraussetzung für die Prüfpflichten des Datenschutzbeauftragten ist, dass ihm die zur Aufgabenerfüllung erforderlichen Zutritts- und Einsichtsrechte in alle betrieblichen Bereiche eingeräumt werden. Er muss in alle relevanten betrieblichen Planungs- und Entscheidungsabläufe eingebunden sein und hat die für die Aufgabenerfüllung erforderlichen Unterlagen zu erhalten. Dabei darf er auch auf personenbezogene Daten zugreifen und zwar auch dann, wenn diese einer besonderen Geheimhaltungspflicht, z. B. der ärztlichen Schweigepflicht, unterliegen. Dies gilt sowohl für den internen als auch für den externen Datenschutzbeauftragten.
In jedem Fall ist der Datenschutzbeauftragte bei der Kenntnis der personenbezogenen Daten zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch die Betroffenen befreit wurde. Ansonsten macht er sich nach § 203 StGB strafbar, wenn er unbefugt ein fremdes Geheimnis offenbart, das einem in § 203 Abs. 1 und 2 StGB Genannten (z. B. einem Arzt) in dessen beruflicher Eigenschaft anvertraut wurde oder sonst bekannt geworden ist und von dem er bei der Erfüllung seiner Aufgaben als Beauftragter für den Datenschutz Kenntnis erlangt hat. Zudem kann er gem. §§ 43, 44 BDSG straf- oder bußgeldrechtlich belangt werden.
Dem Datenschutzbeauftragten steht vor Gericht ein Zeugnisverweigerungsrecht zu, wenn er bei seiner Tätigkeit Kenntnis von Daten erhält, für die dem Leiter der nicht-öffentlichen Stelle oder einer bei der nicht-öffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht. Soweit das Zeugnisverweigerungsrecht des Beauftragten für den Datenschutz reicht, unterliegen seine Akten und andere Schriftstücke zudem einem Beschlagnahmeverbot (§ 4 f Abs. 4a BDSG).

Datenschutz und Datensicherheit

Bei der Gewährleistung des Datenschutzes im Unternehmen ist ein weiteres wichtiges Element die Datensicherheit. Datensicherheit ist die technische Sicherung, Erhaltung und Verfügbarkeit der Datenverarbeitungssysteme und der verarbeiteten Daten. So sind auch Fragen bezüglich der Datensicherheit durch Beratung mit dem Datenschutzbeauftragten zu klären. Dazu gehört die Beratung zur Auswahl, Konfiguration und Einsatz der geeigneten IT-Technik, zum Schutz personenbezogener Daten durch Verschlüsselung, zur Abschottung der Internetanbindung von der die personenbezogenen Daten enthaltenden internen Unternehmens-Datenverarbeitung, zum Passwortgebrauch, zur Notwendigkeit sowie Art und Weise der Verwendung von mobilen Datenträgern und Datenverarbeitenden Geräten (dienstliche und private „BYOD“) und zur Regelung privater IT- und Internet- Nutzung.

Aufsichtsbehörden

Die Aufsichtsbehörden für den Datenschutz kontrollieren bei den verantwortlichen Stellen die Ausführung der Gesetze und Vorschriften über den Datenschutz und beraten den betrieblichen Datenschutzbeauftragten (§ 38 BDSG). Sie verwalten das Register der meldepflichtigen automatisierten Verarbeitungen nach § 4 d BDSG. Das Register kann von jedem eingesehen werden. Das Einsichtsrecht erstreckt sich dabei jedoch nicht auf die technische Beschreibung.
Im nicht-öffentlichen Bereich, also für die Unternehmen der Privatwirtschaft, bestimmt die Landesregierung jedes Bundeslandes die jeweilige Aufsichtsbehörde (§ 38 Absatz 6 BDSG). Die örtliche Zuständigkeit richtet sich nach dem Sitz der nicht-öffentlichen Stelle.
So ist das bayrische Landesamt für Datenschutzaufsicht als Datenschutzaufsichtsbehörde für die verantwortlichen Stellen zuständig, die ihren Sitz oder eine Betriebsstätte in Bayern haben.
Eine Ausnahme bei der Datenschutz-Aufsicht besteht bei Post- und Telekommunikationsdienstleistungen. Hier ist als Aufsichtsbehörde ausschließlich der "Bundesbeauftragte für den Datenschutz und die Informationsfreiheit" zuständig.

Eine spezielle Meldepflicht vor Inbetriebnahme von Datenverarbeitungssystemen gegenüber den Datenschutzaufsichtsbehörden besteht nach § 4 d BDSG nur für Bereiche mit automatisierter Datenverarbeitung, wenn es sich um Wirtschaftsauskunfteien, sonstige Informationsdienste, Adresshandelsunternehmen, Markt-, Meinungs- und Sozialforschungsinstitute, sowie sonstige Unternehmen ohne betrieblichen Datenschutzbeauftragten, die personenbezogene Daten verarbeiten und dazu weder die Einwilligung des Betroffenen, noch ein Vertragsverhältnis bzw. vertragsähnliches Vertrauensverhältnis mit dem Betroffenen vorliegt handelt. Sofern es sich um eine meldepflichtige Stelle handelt, sind Angaben gem. § 4 e BDSG gegenüber der zuständigen Aufsichtsbehörde zu machen. Wenn eine verantwortliche Stelle vorsätzlich oder fahrlässig eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht, begeht sie eine Ordnungswidrigkeit, was ein Bußgeldverfahren nach sich zieht und mit einer Geldbuße geahndet werden kann.
Im Übrigen bestehen für Unternehmen keine besonderen Meldepflichten (insb. über die Bestellung eines Datenschutzbeauftragten) gegenüber den Aufsichtsbehörden, jedoch können sich diese oder deren Datenschutzbeauftragter sich bei Fragen zum Datenschutz an die Aufsichtsbehörden wenden.

Informations- und Meldepflichten bestehen für ein Unternehmen jedoch bei dem Auftreten einer Datenpanne. Tritt im Unternehmen eine Datenpanne auf, so ist die Aufsichtsbehörde über die (mögliche) unrechtmäßige Kenntniserlangung von Daten durch Dritte nach § 42 a BDSG in Kenntnis zu setzen. Zunächst müssen auch die Geschäftsleitung und der Datenschutzbeauftragte informiert werden. Dieser gibt die entsprechenden Informationen an die zuständige Aufsichtsbehörde weiter. Primäres  Ziel im Schadensfall muss es sein, die technischen und organisatorischen Maßnahmen wieder herzustellen und so gemeinsam Maßnahmen zur Schadensbegrenzung umgehend in die Wege zu leiten.
Außerdem müssen auch die Betroffenen über den Schadensfall, möglichst persönlich, informiert werden. Ist die Zahl der Betroffenen zu hoch, so dass es einen unverhältnismäßig hohen Aufwand erfordern würde, so ist nach § 42 a BDSG die Öffentlichkeit über Tageszeitungen zu informieren.
Danach ist mit an Sicherheit grenzender Wahrscheinlichkeit mit einer Überprüfung des Unternehmens durch die Aufsichtsbehörde zu rechen. Daher ist hier im Vorfeld die Wahl eines geeigneten Datenschutzbeauftragten besonders wichtig. Wird im Rahmen der Überprüfung festgestellt, dass die Regelungen des Datenschutzes nicht eingehalten wurden, werden Sanktionen gegen das Unternehmen verhängt.

Sanktionen

Bei Verstößen gegen Datenschutzrecht oder bei Sicherheitsmängeln drohen dem Unternehmen Anordnungen der Datenschutzaufsichtsbehörde nach § 38 Abs.5 BDSG in Form von Maßnahmen zur Beseitigung dieser Verstöße. Außerdem droht dem Unternehmen die Abberufung des Datenschutzbeauftragten, wenn dieser nicht die erforderliche Fachkunde und Zuverlässigkeit besitzt, was zu einem entsprechenden Bußgeld führen kann. Im schlimmsten Fall darf die Aufsichtsbehörde die Datenverarbeitung personenbezogener Daten im Unternehmen verbieten.
Ein Bußgeld kann gegen ein Unternehmen durch ein Bußgeldverfahren aufgrund von Verstößen gegen die in § 43 Abs. 1 und 2 BDSG geregelten Ordnungswidrigkeiten verhängt werden. Das Bußgeld kann bis zu 50.000,00 EUR betragen und bei schwerwiegenden Verstößen bis zu 300.000,00 EUR.
Ein Strafverfahren droht den Verantwortlichen in einem Unternehmen bei einem Verstoß gegen § 44 Abs. 1 BDSG. Hier liegt der Strafrahmen bei bis zu 2 Jahren Freiheitsstrafe.
Zudem drohen einem Unternehmen bei Datenschutzverstößen immer Schadensersatzansprüche der von der Verletzung betroffenen Personen.

Fazit

Datenschutz muss ernst genommen werden. Die Bestellung eines Datenschutzbeauftragten darf kein Selbstzweck sein, oder nur die nötige Erfüllung einer lästigen Pflicht. Ein verantwortungsbewusster Umgang mit sensiblen Daten ist in Zeiten allgegenwärtiger Datenpannen auch ein Qualitätsmerkmal, mit dem man im Wettbewerb punkten kann. Ein Datenschutzbeauftragter kann hier im Unternehmen Standards schaffen, die zum einen sicherstellen, dass die Vorschriften des BDSG eingehalten werden, die zum anderen aber auch dem Qualitätsmanagement erheblich beitragen. Der Schaden, der mit einer (öffentlichen) Bekanntgabe einer Datenpanne einhergeht, kann für Unternehmen in vielfacher Hinsicht immens sein – Imageverlust, Kundenverlust, Bußgelder. All dem kann und muss frühzeitig vorgebeugt werden.