Was zu den Aufgaben eines betrieblichen Datenschutzbeauftragten gehört

In der zweistufigen Kontrolle des deutschen Datenschutzrechts übernimmt der betriebliche Datenschutzbeauftragte (DSB) eine wichtige Aufgabe: Während staatliche Aufsichtsbehörden ein wachsames Auge auf die Einhaltung der Vorgaben haben, soll der betriebliche DSB im Vorfeld dafür sorgen, dass es beim Datenschutz im Unternehmen erst gar nichts zu beanstanden gibt. Mit der Datenschutz-Grundverordnung (DSGVO) wurde das Konzept Datenschutzbeauftragter nun auf europäischer Ebene etabliert.

Der DSB soll sicherstellen, dass die gültigen Gesetze und den Datenschutz betreffende Vorschriften eingehalten werden. Ein betrieblicher Datenschutzbeauftragter …

  • kontrolliert und analysiert das Datenschutzniveau des gesamten KMU
  • erstellt Gutachten und unterbreitet Vorschläge zur Verbesserung des Datenschutzes
  • konzipiert Unternehmensrichtlinien und Betriebsvereinbarungen
  • informiert Mitarbeiter in Schulungen über Datenschutz im Unternehmen
  • steht im Kontakt zu den Behörden, um immer up to date zu sein

Den Schwerpunkt seiner Aufgaben stellt die Überwachung von Programmen zur Datenverarbeitung dar. Soll neue Software eingeführt werden, gehört der betriebliche Datenschutzbeauftragte zu den Ersten, die davon erfahren, und prüft, dass der Datenschutz im Unternehmen nicht verletzt wird.

Darüber hinaus führt der DSB ein sogenanntes Verfahrensverzeichnis, in dem er Umfang und Art der Datenverarbeitung im KMU protokolliert. Welche Aufgaben ein betrieblicher Datenschutzbeauftragter hat, steht gesondert auch in Art. 39 DSGVO. 

Auch interessant: Neue Datenschutz-Grundverordnung in der EU

Wann ein betrieblicher Datenschutzbeauftragter bestellt werden muss

Ob ein KMU den Datenschutz im Unternehmen mittels eines betrieblichen Datenschutzbeauftragten absichern muss, hängt entscheidend vom Geschäftsbereich und der Anzahl der Personen ab, die sich mit der Datenverarbeitung befassen. Dies schreibt Artikel 37  der Datenschutzgrundverordnung (DSGVO) vor. 

Ein betrieblicher Datenschutzbeauftragter muss unabhängig von der Zahl der Beschäftigten bestellt werden, wenn …

  • im KMU personenbezogene Daten im Geschäftskontext für die (anonymisierte) Übermittlung ermittelt, verarbeitet oder genutzt werden – also zum Beispiel in Adressverlagen oder Markt- und Meinungsforschungsinstituten – oder
  • personenbezogene Daten automatisiert verarbeitet werden, die einer Vorabkontrolle unterliegen.

Dabei wird unter der automatisierten Verarbeitung nach §3 des Bundesdatenschutzgesetzes die „Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen“ verstanden. Beispiele hierfür sind die computergestützte Personalverwaltung, Kundenbetreuungs-, Abwicklungs- und Abrechnungssysteme sowie Kommunikationssysteme.

Die Datenschutzgrundverordnung (DSGVO) ist für viele Unternehmen ein Buch mit sieben Siegeln. Der DSB sollte sich mit den Inhalten auskennen. Die Datenschutzgrundverordnung (DSGVO) ist für viele Unternehmen ein Buch mit sieben Siegeln. Der DSB sollte sich mit den Inhalten auskennen. (© 2018 Shutterstock / Datenschutz-Stockfoto)

Datenschutzbeauftragter sorgt für Vorabkontrolle

Daten bedürfen immer dann einer Vorabkontrolle durch den betrieblichen Datenschutzbeauftragten, wenn ihre automatisierte Verarbeitung besondere Risiken im Hinblick auf die Rechte und Freiheiten der betroffenen Personen bedeuten. Dies ist zum Beispiel dann der Fall, wenn ihre Leistung oder ihr Verhalten anhand der verarbeiteten Daten bewertet werden soll – zum Beispiel bei der automatisierten Arbeitszeiterfassung.

Weiter gilt, dass ein betrieblicher Datenschutzbeauftragter Pflicht ist, wenn im Unternehmen mehr als neun Personen mit der automatisierten Erhebung, Verarbeitung und Nutzung personenbezogener Daten betraut sind oder mehr als 19 Personen mit der nicht automatisierten Erhebung, Verarbeitung und Nutzung personenbezogener Daten beschäftigt sind.

Mit „Personen“ sind dabei nicht nur Arbeitnehmer, sondern alle im Unternehmen Tätigen gemeint. So zählen auch Auszubildende, freie Mitarbeiter und der Geschäftsführer dazu – sofern die Arbeit mit personenbezogenen Daten zum jeweiligen Aufgabenbereich gehört.

Wer betrieblicher Datenschutzbeauftragter werden kann

Sobald feststeht, dass ein KMU einen betrieblichen Datenschutzbeauftragten braucht, bleibt ein Monat Zeit, einen zu bestellen. Das Verstreichen dieser Frist ist eine Ordnungswidrigkeit, die mit einem Bußgeld von bis zu 50.000 Euro bestraft werden kann.

Auch interessant: Einwilligungserklärung – wie Sie den Datenschutz einhalten

Aber natürlich kann nicht jeder Hinz und Kunz betrieblicher Datenschutzbeauftragter werden. Geeignet ist nur, wer sich durch große Zuverlässigkeit und die notwendige Fachkunde auszeichnet. Denn der betriebliche Datenschutzbeauftragte muss zur Sicherstellung des Datenschutzes im Unternehmen über allerlei rechtliche, organisatorische und technische Kenntnisse verfügen.

In puncto Recht bedeutet das, dass er zum Beispiel, dass er folgende Gesetze und Regelungen kennen und anwenden können muss:

  • das Bundesdatenschutzgesetz
  • die neue Datenschutzgrundverordnung
  • die den Datenschutz betreffenden Grundrechte und
  • die für den Geschäftsbereich des KMU relevanten datenschutzrechtlichen Regelungen und mögliche Spezialvorschriften

Darüber hinaus sollte der Kandidat ein echtes Organisationstalent, im Umgang mit Computern und sonstiger Informationstechnik geübt sowie mit der Arbeitsweise und den Aufgaben des KMU bestens vertraut sein. Was Personen mitbringen müssen, die betriebliche Datenschutzbeauftragte werden wollen, steht gesondert auch in Art. 37 Abs. 5 DSGVO.

Die Industrie und Handelskammer (IHK) Frankfurt am Main gibt zu bedenken, dass der bestellte DSB die Chance erhalten sollte, mögliche Wissenslücken zum Datenschutz in Unternehmen zu schließen.

Wer nicht betrieblicher Datenschutzbeauftragter werden kann

Personen, die in einem KMU Positionen innehaben, die zu einem Interessenkonflikt mit den Aufgaben zum Datenschutz im Unternehmen führen können, dürfen nicht betrieblicher Datenschutzbeauftragter werden. So sind ungeeignet für den Posten:

  • die Mitglieder der Geschäftsführung – wie der Geschäftsführer oder Vorstände
  • der Leiter der IT-Abteilung
  • der Leiter der Personalabteilung aufgrund ihres Aufgabenspektrums

Ist in den eigenen Reihen kein geeigneter Datenschutzbeauftragter zu finden,  kann auch von außerhalb Unterstützung kommen. Diese Option dürfte besonders interessant sein, wenn eine Berufsgruppe besonderen Berufsgeheimnissen unterliegt.

Wie ein betrieblicher Datenschutzbeauftragter bestellt werden kann

Beim Bestellen eines betrieblichen Datenschutzbeauftragten gilt es einige bürokratische Hürden zu nehmen: Seine Berufung ist nur dann gültig, wenn formelle Vorgaben eingehalten werden. Es muss darauf geachtet werden, dass …

  • die Bestellung des Datenschutzbeauftragten schriftlich und
  • unabhängig von einem Arbeitsvertrag erfolgt,
  • das entsprechende Dokument vom Geschäftsführer und dem DSB unterschrieben ist und
  • eine detaillierte Aufgabenbeschreibung,
  • die Stellung des DSB im Unternehmen und
  • die Verpflichtung Ihres KMU zur Unterstützung des DSB im Hinblick auf Personal und Material enthält.

Durch diese relativ strengen Vorgaben will Vater Staat sicherstellen, dass wirklich allen Beteiligten die Stellung des Datenschutzbeauftragten klar wird. Denn Datenschutz im Unternehmen kann nicht eben nebenbei sichergestellt werden.

Informationen zu Weiterbildungsprogrammen für betriebliche Datenschutzbeauftragte stellt zum Beispiel der TÜV Nord bereit.