Sind Sie fit im Datenschutz?
Die Bestellung eines Datenschutzbeauftragten ist Pflicht, wird aber gerne ignoriert
Um das Thema Datenschutz kommt heutzutage keiner mehr herum. Es begegnet uns sowohl im Privatbereich (Stichwort: digitale Patientenakte), als auch im Geschäftsbereich (Stichwort: Direktmarketing) immer häufiger. Dabei gibt es Datenschutz in Deutschland eigentlich schon seit 1970, als in Hessen das weltweit erste Datenschutzgesetz erlassen wurde. 1977 wurde dann das so genannte Bundesdatenschutzgesetz (BDSG) eingeführt.
Die zunehmende Thematisierung des Datenschutzes ist nicht zuletzt auf den technologischen Fortschritt zurückzuführen, der die elektronische Datenverarbeitung nicht mehr zum Ausnahme-, sondern zum Normalfall macht. Auch international rückt das Thema immer mehr in den Vordergrund. Dies liegt zum einen daran, dass aufgrund der europäischen Datenschutzrichtlinien nunmehr in allen europäischen Mitgliedstaaten einschlägige Gesetze zu beachten sind. Zum anderen hat der 11. September und die daraus resultierenden Maßnahmen zu viel Diskussionsbedarf geführt.
Vor diesem Hintergrund muss es erstaunen, dass Datenschutz in vielen Unternehmen noch stiefmütterlich behandelt wird. Oftmals wird es als “reines IT-Thema” abgetan, obwohl letztlich die Geschäftsführung für die Einhaltung der Datenschutzgesetze verantwortlich ist. Schon jetzt gehört es zu einem seriösen Risikomanagement des Unternehmens, dass auch datenschutzrechtliche Risiken minimiert werden. In den nächsten Folgen dieser Kolumne sollen die wichtigsten Grundsätze im Zusammenhang mit dem Datenschutz im Unternehmen erläutert werden.
Wer muss einen Datenschutzbeauftragten haben?
Jeder Geschäftsbetrieb, der mehr als vier Mitarbeiter mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt, ist gesetzlich verpflichtet, einen Datenschutzbeauftragten zu benennen. Da “personenbezogene Daten” alle Angaben sind, die auf eine natürliche Person zurückgeführt werden können, sind bereits alle Mitarbeiter zu zählen, die beispielsweise mit Kundendaten arbeiten oder einen eigenen E-Mail-Account haben. Schon Kassenpersonal, bei dem eine Zahlung per Kreditkarte vorgenommen werden kann, fällt darunter.
Die erste Frage, die sich ein Unternehmen stellen sollte, ist, ob es einen externen oder einen internen Datenschutzbeauftragten bestellt. Ein externer Datenschutzbeauftragter kann zum Beispiel ein Rechtsanwalt sein oder ein Service-Unternehmen, welches eine solche Dienstleistung anbietet und die erforderliche Fachkenntnis vorweisen kann. Voraussetzung für den internen und für den externen Datenschutzbeauftragten ist jedenfalls, dass dieser über allgemeine Rechtskenntnisse verfügt, ein Verständnis für betriebswirtschaftliche Zusammenhänge hat und Grundkenntnisse über Verfahren und Techniken der automatisierten Datenverarbeitung besitzt.
Für einen externen Datenschutzbeauftragten wird man sich entscheiden, wenn im Unternehmen kein entsprechendes Know-how vorhanden ist und es sich aufgrund der geringen Anzahl der Mitarbeiter auch nicht lohnt, dieses Know-how aufzubauen. Ein anderer Grund kann sein, dass man die fast unkündbare Stellung des Datenschutzbeauftragten scheut, da dessen Abberufung nur aus wichtigen Grund möglich ist. Andererseits spricht für einen internen Datenschutzbeauftragten, dass dieser viel näher am Unternehmensgeschehen ist und es ohnehin immer wichtiger sein wird, auch im eigenen Unternehmen über datenschutzrechtliche Kenntnisse zu verfügen.
Frei von Interessenskonflikten
Insbesondere wenn ein interner Datenschutzbeauftragter ernannt wird, sind folgende Punkte zu beachten: Das Gesetz verlangt, dass der Datenschutzbeauftragte neben dem bereits beschriebenen Know-how auch über die zur Erfüllung seiner Aufgaben erforderliche “Zuverlässigkeit” verfügt. Man kann also nicht einen Mitarbeiter benennen, der bereits durch Unzuverlässigkeit aufgefallen ist. Darüber hinaus wird das Amt des Datenschutzbeauftragten oftmals nur nebenamtlich von einem Mitarbeiter ausgeführt. Für diesen Fall ist darauf zu achten, dass keine Interessenkollision vorliegt. Aus diesem Grund sind zum Beispiel die Geschäftsführung, der Leiter der IT, der Personalleiter oder bei Direktvertrieb der Vertriebsleiter für das Amt ungeeignet.
Oftmals wird versäumt, den Datenschutzbeauftragten “schriftlich” zu bestellen, wie es das Gesetz verlangt. Eine solche schriftliche Bestellung sollte insbesondere die Aufgabe und die organisatorische Stellung des Datenschutzbeauftragten konkretisieren, diesen auf seine Verschwiegenheitspflicht gem. § 4f (4) BDSG hinweisen und insgesamt auf das Datenschutzgeheimnis gem. § 5 BDSG verpflichten.
Der Datenschutzbeauftragte ist schließlich unmittelbar der Geschäftsführung zu unterstellen. Diese Position ist nur funktionsbezogen gemeint im Sinne eines direkten Vortragsrechts, sie bleibt also ohne Auswirkung auf die sonstige Eingliederung eines Mitarbeiters im Unternehmen. Ferner ist der Datenschutzbeauftragte weisungsfrei, dies bezieht sich aber nur auf die Ausübung seiner Kontroll- und Beratungstätigkeit. Insoweit ist die Geschäftsführung verpflichtet, ihn bei der Ausübung seiner Aufgaben zu unterstützen. Der Datenschutzbeauftragte hat aber keine Entscheidungsbefugnisse, was beispielsweise die Umsetzung von gewissen Maßnahmen betrifft, dies obliegt allein der Geschäftsführung.
In der nächsten Folge werden die wesentlichen Aufgaben des Datenschutzbeauftragten erläutert.