Was zu den Aufgaben eines betrieblichen Datenschutzbeauftragten gehört

In der zweistufigen Kontrolle des deutschen Datenschutzrechts übernimmt der betriebliche Datenschutzbeauftragte (DSB) eine wichtige Aufgabe: Während staatliche Aufsichtsbehörden ein wachsames Auge auf die Einhaltung der Vorgaben haben, soll der betriebliche DSB im Vorfeld dafür sorgen, dass es beim Datenschutz im Unternehmen erst gar nichts zu beanstanden gibt.

Er soll sicherstellen, dass das Bundesdatenschutzgesetz (BDSG) und andere den Datenschutz betreffende Vorschriften eingehalten werden. Ein betrieblicher Datenschutzbeauftragter …

  • kontrolliert und analysiert das Datenschutzniveau Ihres gesamten KMU,
  • erstellt Gutachten und unterbreitet Vorschläge zur Verbesserung des Datenschutzes,
  • konzipiert Unternehmensrichtlinien und Betriebsvereinbarungen,
  • informiert Mitarbeiter in Schulungen über Datenschutz im Unternehmen und
  • steht im Kontakt zu den Behörden, um immer up to date zu sein.

Den Schwerpunkt seiner Aufgaben stellt die Überwachung von Programmen zur Datenverarbeitung dar. Soll neue Software eingeführt werden, gehört der betriebliche Datenschutzbeauftragte zu den Ersten, die davon erfahren und prüft, dass der Datenschutz im Unternehmen nicht verletzt wird.

Darüber hinaus führt der DSB ein sogenanntes Verfahrensverzeichnis, in dem er Umfang und Art der Datenverarbeitung in Ihrem KMU protokolliert.

Wann ein betrieblicher Datenschutzbeauftragter bestellt werden muss

Ob Ihr KMU den Datenschutz im Unternehmen mittels eines betrieblichen Datenschutzbeauftragten absichern muss, hängt entscheidend vom Geschäftsbereich und der Anzahl der Personen ab, die sich mit der Datenverarbeitung befassen.

Ein betrieblicher Datenschutzbeauftragter muss unabhängig von der Zahl der Beschäftigten bestellt werden, wenn …

  • in Ihrem KMU personenbezogene Daten im Geschäftskontext für die (anonymisierte) Übermittlung ermittelt, verarbeitet oder genutzt werden – also zum Beispiel in Adressverlagen oder Markt- und Meinungsforschungsinstituten – oder
  • personenbezogene Daten automatisiert verarbeitet werden, die einer Vorabkontrolle unterliegen.

Dabei wird unter der automatisierten Verarbeitung nach §3 des Bundesdatenschutzgesetzes die "Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen" verstanden. Beispiele hierfür sind die computergestützte…

  • Personalverwaltung,
  • Kundenbetreuungs-, Abwicklungs- und Abrechnungssysteme sowie
  • Kommunikationssysteme.

Daten bedürfen immer dann einer Vorabkontrolle durch Ihren betrieblichen Datenschutzbeauftragten, wenn ihre automatisierte Verarbeitung besondere Risiken im Hinblick auf die Rechte und Freiheiten der betroffenen Personen bedeuten. Dies ist zum Beispiel dann der Fall, wenn ihre Leistung oder ihr Verhalten anhand der verarbeiteten Daten bewertet werden soll – zum Beispiel bei der automatisierten Arbeitszeiterfassung.

Weiter gilt, dass Sie einen betrieblichen Datenschutzbeauftragten zum Datenschutz im Unternehmen einsetzen müssen, wenn in Ihrem KMU…

  • mehr als neun Personen mit der automatisierten Erhebung, Verarbeitung und Nutzung personenbezogener Daten betraut sind oder
  • mehr als 19 Personen mit der nicht automatisierten Erhebung, Verarbeitung und Nutzung personenbezogener Daten beschäftigt sind.

Mit "Personen" sind dabei nicht nur Arbeitnehmer, sondern alle im Unternehmen Tätigen gemeint. So zählen auch Auszubildende, freie Mitarbeiter und Sie als Geschäftsführer dazu – sofern die Arbeit mit personenbezogenen Daten zum jeweiligen Aufgabenbereich gehört.

Wer betrieblicher Datenschutzbeauftragter werden kann

Sobald feststeht, dass Ihr KMU einen betrieblichen Datenschutzbeauftragten braucht, haben Sie einen Monat Zeit, einen zu bestellen. Lassen Sie diese Frist verstreichen, begehen Sie eine Ordnungswidrigkeit, was mit einem Bußgeld von bis zu 50.000 Euro teuer werden kann.

Aber natürlich kann nicht jeder Hinz und Kunz betrieblicher Datenschutzbeauftragter werden. Geeignet ist nur, wer sich durch große Zuverlässigkeit und die notwendige Fachkunde auszeichnet. Denn Ihr betrieblicher Datenschutzbeauftragter muss zur Sicherstellung vom Datenschutz im Unternehmen über allerlei rechtliche, organisatorische und technische Kenntnisse verfügen.

In puncto Recht bedeutet das, dass er zum Beispiel…

  • das Bundesdatenschutzgesetz,
  • die den Datenschutz betreffenden Grundrechte und
  • die für den Geschäftsbereich Ihres KMU relevanten, datenschutzrechtlichen Regelungen und mögliche Spezialvorschriften kennen und anwenden können muss.

Darüber hinaus sollte Ihr Kandidat …

  • ein echtes Organisationstalent,
  • im Umgang mit Computern und sonstiger Informationstechnik ein echter Profi und
  • mit der Arbeitsweise und den Aufgaben Ihres KMU bestens vertraut sein.

Dabei sollten Sie immer Bedenken, dass noch kein Meister vom Himmel gefallen ist. So gibt die Industrie und Handelskammer (IHK) Frankfurt am Main zu bedenken, dass der von Ihnen bestellte DSB die Chance erhalten sollte, mögliche Wissenslücken zum Datenschutz in Unternehmen zu schließen.

Wer nicht betrieblicher Datenschutzbeauftragter werden kann

Personen, die in Ihrem KMU Positionen innehaben, die zu einem Interessenkonflikt mit den Aufgaben zum Datenschutz im Unternehmen führen können, dürfen nicht betrieblicher Datenschutzbeauftragter werden. So sind …

  • die Mitglieder der Geschäftsführung – wie der Geschäftsführer oder Vorstände,
  • der Leiter Ihrer IT-Abteilung und
  • der Leiter Ihrer Personalabteilung aufgrund ihres Aufgabenspektrums ungeeignet.

Möchten Sie Ihren Datenschutzbeauftragten nicht aus den eigenen Reihen rekrutieren, können Sie sich auch von außerhalb Ihres KMU Unterstützung holen: Bestellen Sie einfach einen externen Datenschutzbeauftragten - zum Beispiel über intersoft consulting services. Diese Option dürfte für Sie besonders interessant sein, wenn Ihre Berufsgruppe besonderen Berufsgeheimnissen unterliegt.

Wie ein betrieblicher Datenschutzbeauftragter bestellt werden kann

Bürokratische Hürden müssen Sie auch beim Bestellen eines betrieblichen Datenschutzbeauftragten nehmen: Seine Berufung ist nur dann gültig, wenn formelle Vorgaben eingehalten werden. Darum sollten Sie darauf achten, dass …

  • die Bestellung des Datenschutzbeauftragten schriftlich und
  • unabhängig von einem Arbeitsvertrag erfolgt,
  • das entsprechende Dokument von Ihnen und Ihrem DSB unterschrieben ist und
  • eine detaillierte Aufgabenbeschreibung,
  • die Stellung des DSB im Unternehmen und
  • die Verpflichtung Ihres KMU zur Unterstützung des DSB im Hinblick auf Personal und Material enhält.

Durch diese relativ strengen Vorgaben will Vater Staat sicherstellen, dass wirklich allen Beteiligten die Stellung des Datenschutzbeauftragten klar wird. Denn Datenschutz im Unternehmen kann nicht eben nebenbei sichergestellt werden.

Weiterführende Links:

  • Weitere Informationen zum Datenschutz im Unternehmen erhalten Sie bei der Handelskammer Hamburg.
  • Informationen zu Weiterbildungsprogrammen für betriebliche Datenschutzbeauftragte erhalten Sie beim TÜV Nord.