Als Datenschutz-Dienstleister stellen wir – insbesondere im Mittelstand – erschreckend häufig fest, dass viele Arbeitgeber respektive verantwortliche Stellen von der Funktion des Datenschutzbeauftragten regelmäßig erst durch ein Audit im Qualitätsmanagement (QM-Audit) oder die Wirtschaftsprüfer erfahren.

Welche konkreten Funktionen, Aufgaben und  Pflichten mit der Position interner/externer Datenschutzbeauftragter verbunden ist, erklären wir zumeist erst im Akquisegespräch oder bei der Bestellung.  Aus diesem Grunde möchten wir die Gelegenheit nutzen und uns zu den Aufgaben und Pflichten der Person interner/externer Datenschutzbeauftragter äußern.

Unter einer verantwortlichen Stelle sind Unternehmen, Behörden, Körperschaften oder sonstige Organisationen zu verstehen. Theoretisch kann es auch innerhalb einer Organisation mehrere verantwortliche Stellen geben, dies ist allerdings seltener der Fall.

„ Datenschutzbeauftragter Pflichten “ – Aufgabenbeschreibung des DSB

Welche Pflichten sollte ein interner / externer Datenschutzbeauftragter erfüllen? Soll das Thema „ Datenschutzbeauftragter Pflichten “ kurz umrissen werden, kann gesagt werden: Nach § 4g Abs. 1 Bundesdatenschutzgesetz (BDSG) ist die Pflicht des Datenschutzbeauftragten, die Einhaltung des Datenschutzes sicherzustellen. Weiterhin wird geschrieben, dass ein Datenschutzbeauftragter…

  • …für die Überwachung und Kontrolle des Gebrauchs von Datenverarbeitungsprogrammen verantwortlich ist,
  • …als Ansprechpartner bei datenschutzrechtlich relevanten Themen zur Verfügung steht sowie
  • …das Personal über die gesetzeskonforme Verarbeitung von Daten informieren und beraten soll.

Außerdem…

  • …unterliegt er der Verschwiegenheitspflicht (§ 4f Abs. 4 BDSG),
  • … muss gesetzlich vorgeschriebene Informationen über die verantwortliche Stelle der Öffentlichkeit zugänglich machen (§ 4g Abs. 2 Satz 2 BDSG) und
  • …ist für die Vorabkontrolle/n (§ 4d Abs. 6 BDSG) zuständig.

Des Weiteren ist es möglich, dass die verantwortliche Stelle dem Datenschutzbeauftragten weitere Aufgaben zuweisen kann, die sich nicht aus dem Bundesdatenschutzgesetz perspektivisch aus der EU-Datenschutzgrundverordnung (EU-DSGVO) ergeben.

„ Datenschutzbeauftragter Pflichten “ – Einhaltung der Datenschutzregelungen (§ 4g Abs. 1 Satz 1 BDSG)

Der Datenschutzbeauftragte muss auf die Einhaltung des Datenschutzes „hinwirken“ – diese recht schwammige Formulierung lässt das Ziel der Aktivität des Datenschutzbeauftragten erkennen, aber ebenso seine beschränken Einwirkungsmöglichkeiten. Im Vordergrund stehen sowohl Kontrollfunktionen als auch die Funktion des Datenschutzbeauftragten als Berater, der Datenschutzdefizite ermitteln und zu erforderlichen Verbesserungen anregen soll. Der Datenschutzbeauftragte kann die Verbesserungen jedoch nicht verwirklichen oder gewährleisten. Diese Aufgabe obliegt der jeweiligen Organisation respektive verantwortlichen Stelle, der der Datenschutzbeauftragte unterstellt ist.   Nach § 4f Abs. 3 BDSG ist jedoch der Datenschutzbeauftragte in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei und unterliegt somit nicht der Weisungsbefugnis der verantwortlichen Stelle. Bei der Unterzeichnung der Bestellungsurkunde sollte an die Aufnahme eines entsprechenden Passus gedacht werden. Auch kann die Konkretisierung der Aufgaben durch die Stellenbeschreibung, die Bestellungsurkunde oder einen Arbeits- bzw. Dienstleistungsvertrag mit einem Dienstleister erfolgen.

Die Anknüpfungspunkte der datenschutzrechtlichen Regelungen reichen dabei von bereichsspezifischen Vorschriften bis hin zu Vereinbarungen der Arbeitnehmervertretungen (z.B. Betriebsrat). Bestimmungen wie die §§ 67 ff. Sozialgesetzbuch X (SGB X), §§ 91 ff. Telekommunikationsgesetz (TKG) oder auch Sondervorschriften über Personalfragebögen (§§ 94 Betriebsverfassungsgesetz (BetrVG), 75 Abs. 3 Nr. 8, 76 Abs. 2 Nr. 2 Bundespersonalvertretungsgesetz (BPersVG) etc. sind ebenso vom Datenschutzbeauftragten zu beachten wie die Regelungen des Bundesdatenschutzgesetzes.

Bezogen auf das Bundesdatenschutzgesetz sollte ein interner / externer Datenschutzbeauftragter,

  • die einzelnen Datenschutzsicherungsmaßnahmen, sogenannte technische und organisatorische Maßnahmen (§ 9 und Anlage zu § 9 Satz 1 BDSG),
  • die strikten Verwendungsbeschränkungen von Protokolldaten (§ 14 Abs. 4 BDSG) die das Grundprinzip der Datensparsamkeit und der Zweckbindung im Datenschutz bestätigt sowie
  • die Einhaltung des Datenschutzes bei der Auftragsvergabe (§ 11 BDSG)

prüfen sowie dabei beraten und sich mit

  • der Reaktion der verantwortlichen Stellen auf das Auskunfts- und Berichtigungsersuch des Betroffenen (§§ 19, 20, 34, 35 BDSG),
  • der Zulässigkeit von Übermittlungen in Drittstaaten (§§ 4b, 4c BDSG) und
  • der Rechtmäßigkeit von Profilbildungen (§ 6a BDSG)

befassen auch auch hier prüfen und datenschutz-organisatorisch und datenschutz-rechtlich fundiert beraten.

Weiterhin fällt unter die Pflicht des Datenschutzbeauftragten die Kontrolle von

  • Personalakten (§§ 83 BetrVG, 65 Abs. 2 Satz 3 BPersVG),
  • Systemen, die zur Überwachung der Angestellten der Organisation genutzt werden könnten (sogenannte Verhaltens- und Leistungskontrolle) (§§ 87 Nr. 6 BetrVG, 75 Abs. 3 Nr. 16 BPersVG),
  • der Installation von Videoüberwachungsanlagen an öffentlichen Stellen, wie dem Kundenbereich und in Kaufhäusern (§ 6b BDSG) und
  • Telefondiensten, welche personenbezogene Daten für einen Marketingzweck (§ 28 Abs. 1 und 3 Nr. 3 BDSG) generieren.

Es ist daher unerlässlich, einen fachkundigen Datenschutzbeauftragten an der Seite zu haben, welcher eine vollumfängliche datenschutzrechtliche Unterstützung garantieren kann. Dabei ist es grundsätzlich von Vorteil, einen externen Datenschutzbeauftragten zu bestellen, denn dieser besitzt bereits die entsprechende Fachkunde und Erfahrung, die sich ein interner Datenschutzbeauftragter erst (u. a. durch Schulungen) aneignen muss.

„ Datenschutzbeauftragter Pflichten “ – Kontrollrecht des DSB

Mitunter fällt in den Aufgabenbereich des Datenschutzbeauftragten das Kontrollrecht, welches sich auf alle personenbezogenen Daten erstreckt. Bei dem Kontrollrecht spielt es keine Rolle, ob die Position Datenschutzbeauftragten extern oder intern besetzt wurde oder es sich um einen behördlichen, betrieblichen oder kirchlichen Datenschutzbeauftragten handelt – alle sind gesetzlich festgeschriebene Kontrollinstanzen (§ 4f Abs. 1 BDSG). Um die Aufgabe als Kontrollinstanz erfüllen zu können, wird dem Datenschutzbeauftragten gestattet, sich Einblick in sensible Daten (z.B. Personenakten) zu verschaffen. Kompensiert wird das Kontrollrecht durch die Geheimhaltungspflicht, die der Datenschutzbeauftragte einzuhalten hat. Weiterhin kann ein Zustimmungsvorbehalt des Betroffenen über die Überprüfung der Daten vereinbart werden.

„ Datenschutzbeauftragter Pflichten “ – Kontrolle der Datenverarbeitungsprogramme (§ 4g Abs. 1 Satz 4 Nr. 1 BDSG)

Für die Überwachung der ordnungsgemäßen Anwendung von Verarbeitungsprogrammen ist der Datenschutzbeauftragte verantwortlich (§ 4g Abs. 1 Satz 3 Nr.1 BDSG). Dabei sind nicht nur die vorhandenen Programme durch den Datenschutzbeauftragten zu prüfen. Der Fokus liegt hierbei wieder auf der Prävention möglicher Verstöße der datenschutzrechtlichen Regelungen. Eine Kontrolle der Programme ist damit primär die Kontrolle des gesamten Prozesses der personenbezogenen Datenverarbeitung, d.h. bei Änderung/Umstellung eines Prozesses, ist eine Prüfung durch den Datenschutzbeauftragten erforderlich. Eine Änderung bzw. Umstellung eines Prozesses (Programmgestaltung) kann bei der Einführung eines neuen Systems, Durchführung eines Updates etc., welches für die Verarbeitung personenbezogener Daten genutzt wird, vorliegen.   Die Prüfung wäre zum Beispiel erforderlich, wenn die verantwortliche Stelle weitere personenbezogene Daten erheben möchte. Der Datenschutzbeauftragte sollte rechtzeitig über das Vorhaben informiert werden und die Möglichkeit haben, seine Meinung über das Vorhaben zu äußern (§ 4f Abs. 5 Satz 1 BDSG). Die sogenannte Informationspflicht (§ 4f Abs. 5 Satz 1 BDSG) konkretisiert somit die generelle Verpflichtung der verantwortlichen Stelle (Unternehmen, Behörde, Vereins etc.), den Datenschutzbeauftragten zu unterstützen.

„ Datenschutzbeauftragter Pflichten “ – Schulungen (§ 4g Abs. 1 Satz 4 Nr. 2 BDSG)

Eine weitere Aufgabe des Datenschutzbeauftragten ist es, das Personal, welches mit der Datenverarbeitung betraut ist, über die Inhalte und Ziele der Datenschutzvorschriften aufzuklären (§ 4g Abs. 1 Satz 4 Nr. 2 BDSG). Es reicht dabei nicht aus, dass der Datenschutzbeauftragte die Arbeitnehmer auf Wunsch berät.   Vielmehr ist es seine Aufgabe, die für die Datenverarbeitung zuständigen Arbeitnehmer soweit über ihre Aufgaben aufzuklären, dass diese wissen, welche datenschutzrechtlichen Anforderungen erfüllt werden müssen. Das notwendige Wissen wird dem Personal mit entsprechenden Datenschutz-Schulungen durch den Datenschutzbeauftragten vermittelt. Die Schulungsfunktion des Datenschutzbeauftragten bringt nicht nur den Vorteil der Weitergabe von datenschutzrechtlichen Kenntnissen, sondern kann bei richtiger Ausführung u. a. auch zu einer Verbesserung der Kommunikation zwischen den Beschäftigten und ihrem Datenschutzbeauftragten führen. So sichert diese nicht nur die Kenntnis der Datenschutzanforderungen, sondern kann ebenso die Chance bieten, durch die Zusammenarbeit von Datenschutzbeauftragtem und zuständigem Personal Datenschutzvorkehrungen effektiver zu gestalten, insbesondere wenn ein externer Datenschutzbeauftragter bestellt ist. Benötigt Ihr Unternehmen eine Datenschutz-Schulung?

„Datenschutzbeauftragter Pflicht“ – Verschwiegenheitspflicht (§ 4f Abs. 4 BDSG)

Ein Gegengewicht zu den umfangreichen Kontrollrechten des Datenschutzbeauftragten, welche ihm Einblicke in sensible personenbezogene Daten verschaffen, ist die Verschwiegenheitspflicht nach § 4f Abs. 4 BDSG. Nach dieser Norm ist der Datenschutzbeauftragte verpflichtet, Stillschweigen über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, zu bewahren. Diese Regelung greift nicht, wenn der Betroffene den Datenschutzbeauftragten von der Verschwiegenheitspflicht befreit (§ 4f Abs. 4 Halbsatz 4 BDSG).

„ Datenschutzbeauftragter Pflichten “ – Öffentlichkeitsaufgaben (§ 4g Abs. 2 Satz 2 BDSG)

Die Datenschutzgesetze, insbesondere das Bundesdatenschutzgesetz, schreiben vor, dass der Datenschutzbeauftragte ebenso verpflichtet ist, der Öffentlichkeit Informationen über die „verantwortliche Stelle“ (§ 4e Abs. 2 Satz 1 Nr. 1 bis 8 BDSG) zu gewährleisten (§ 4g Abs. 2 Satz 2 BDSG). Die im § 4e Abs. 2 Satz 1 Nr. 1 bis 8 BDSG aufgezählten Angaben sind dabei „jedermann“ auf Antrag zur Verfügung zu stellen, da die Informationen der Öffentlichkeit nicht vorenthalten werden sollen. Die Verpflichtung des Datenschutzbeauftragten die Informationen an die Öffentlichkeit weiterzugeben ist nicht uneingeschränkt, gemäß § 4g Abs. 3 Satz 1 BDSG. Die Informationsweitergabe an die Öffentlichkeit durch den Datenschutzbeauftragten hört dort auf, wo diese in den Zuständigkeitsbereich des Staates fällt. So findet der § 4g Abs. 2 Satz 2 BDSG für die in § 6 Abs. 2 Satz 4 BDSG genannten Behörden keine Anwendung.

„ Datenschutzbeauftragter Pflichten “ – Vorabkontrolle (§ 4d Abs. 6 BDSG)

Wenn eine automatisierte Datenverarbeitung besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist, ist nach § 4d Abs. 6 Bundesdatenschutzgesetz eine Vorabkontrolle durchzuführen. Diese Vorabkontrolle erfolgt durch den Datenschutzbeauftragten unter Mitwirkung der verantwortlichen Stelle. Eine Vorabkontrolle stellt eine Vorüberprüfung eines automatisierten Datenverarbeitungsverfahrens dar und ermöglicht der Organisation, potenzielle Datenschutz-Risiken und Gefahren zu erkennen, die sich durch die automatische Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten ergeben.

„ Datenschutzbeauftragter Pflichten “ – weitere Aufgaben

Das BDSG hindert die verantwortliche Stelle nicht daran, dem Datenschutzbeauftragten weitere Aufgaben zu übertragen. Sollen weitere Aufgaben durch den Datenschutzbeauftragten wahrgenommen werden, so unterliegt dies einem doppelten Vorbehalt.

So darf der Datenschutzbeauftragte keine Aufgaben übernehmen, die unmittelbar oder mittelbar in den Kompetenzbereich der verantwortlichen Stelle fallen und der Datenschutzbeauftragte nicht Entscheidungsträger bei Maßnahmen ist, da die Tätigkeit vielmehr empfehlenden / beratenden oder prüfenden Charakter hat. Ein Kernbereich ist die im § 4e Satz 1 Nr. 1 bis 8 BDSG genannte Meldepflicht der verantwortlichen Stelle. Diese ist nach § 4g Abs. 2 Satz 1 BDSG verpflichtet, eine Übersicht über die im § 4e Satz 1 Nr. 1 bis 8 BDSG genannten Punkte zu erstellen und dem Datenschutzbeauftragten zur Verfügung zu stellen. Außerdem muss gewährleistet werden, dass die zusätzliche Aufgabe den Datenschutzbeauftragten nicht in der ordnungsgemäßen Ausübung seiner gesetzlich vorgeschriebenen Aufgaben behindert (§ 4f Abs. 2 Satz 1 BDSG).

„ Datenschutzbeauftragter Pflichten “ – Erweiterung des Aufgabenbereiches durch die EU-DSGVO

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist am 25. Mai 2016 in Kraft getreten und gilt ab 2018 in ganz Europa. Im Gegensatz zur Richtlinie 95/46/EG wirkt die EU-Datenschutz-Grundverordnung direkt in den EU-Mitgliedsstaaten und bedarf keiner Umsetzung z. B. in das BDSG. Mit einigen Vorschriften, die das BDSG nicht erfasst hat, weitet die DSGVO auch die Stellung des Datenschutzbeauftragten aus. Hat dieser nach dem § 4f Abs. 1 Satz 1 BDSG noch eine Beratungsfunktion, worauf es keine Gewähr gibt, ist er nach Art. 39 Abs. 1 lit. b EU-DSGVO dazu verpflichtet, eine umfassende Überwachungsfunktion zu übernehmen. Diese umfassende Überwachungspflicht geht dabei über das bloße „Hinwirken“ hinaus. Es könnte hierzu eine Konkretisierung bzw. Erweiterung dieses Bereiches im BDSG bzw. in der Nachfolgeregelung geben.

Fazit

Ein interner / externer Datenschutzbeauftragter sieht Maßnahmen zur Präventionen gegen mögliche datenschutzrechtliche Verstöße vor und schafft somit eine optimale Basis für den sicheren Umgang mit personenbezogenen Daten. Das Beratung/ Unterstützung durch den Datenschutzbeauftragten kann eine verantwortliche Stelle,  insbesondere die Geschäftsführung, vor Haftungsansprüchen von außerhalb bewahren.

Die Auswahl des Datenschutzbeauftragten sollte daher stets mit Bedacht getätigt werden, da diese wichtige Position (gleich ob interner Datenschutzbeauftragter oder externer Datenschutzbeauftragter) umfangreiche Aufgaben mit sich bringt, die nicht durch Laien durchgeführt werden sollten. Besonders durch die kommende Einführung der EU-Datenschutz-Grundverordnung (DSGVO), welche das Aufgabenfeld des Datenschutzbeauftragten erweitert, ist ein kompetenter Datenschutzbeauftragter unerlässlich. Aufgrund der notwendigen Fachkunde und Zuverlässigkeit raten wir zur Bestellung eines externen Datenschutzbeauftragten, der bereits umfangreiche Erfahrung sowie fundiertes Wissen im Datenschutz besitzt und dieses zielgerichtet einsetzen kann.

Ähnliche Beiträge