Juristischer Teil: Betrieblicher Datenschutzbeauftragter

Mission & Partner | Einstieg für Unternehmen | Alle Dokumente

Wann muss man einen bDSB bestellen?

Öffentliche und nicht öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, sind verpflichtet, bei diesen Arbeiten die Ausführungen des Bundesdatenschutzgesetzes sowie anderer Vorschriften über den Datenschutz sicherzustellen. Der oder die Datenschutzbeauftragte ist Organ der Selbstkontrolle; sie unterstützen und beraten ihr Unternehmen. Die Unternehmen haben einen betrieblichen Beauftragten für den Datenschutz schriftlich zu bestellen, wenn sie bei der automatisierten Datenverarbeitung mindestens 5 Arbeitnehmer oder bei Verarbeitung auf andere Weise mindestens 20 Personen beschäftigen.

Zu den Verpflichteten zählen

• natürliche Person (Architekt, Anwalt, Steuerberater),
• juristische Person (Telefondienste, Banken, Privatkliniken),
• Personengesellschaft (GbR, GmbH, OHG Anwaltssozietät) und
• nicht rechtsfähige Vereinigung (Gewerkschaften, politische Parteien, Berufsverbände)

Unabhängig von der Anzahl der Arbeitnehmer haben nicht öffentliche Stellen einen bDSB zu bestellen, soweit sie automatisierte Verarbeitungen vornehmen, die wegen besonderer Sensitivität vor Einsatz zu prüfen sind (siehe Vorabkontrolle) oder die personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung oder der anonymisierten Übermittlung erheben, verarbeiten oder nutzen. Mit der Aufgabe des bDSB kann auch eine Person außerhalb der verantwortlichen Stelle betraut werden. Der bDSB ist innerhalb einer Frist von einem Monat nach Aufnahme der Tätigkeit der nicht öffentlichen Stelle zu bestellen. Wird der betriebliche Datenschutzbeauftragte vorsätzlich oder fahrlässig nicht oder nicht rechtzeitig bestellt, so stellt dies eine Ordnungswidrigkeit dar, die mit einer Geldbuße geahndet werden kann.

Persönliche Voraussetzungen des bDSB

Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Die erforderliche Fachkunde umfasst sowohl das allgemeine Grundwissen hinsichtlich des Datenschutzrechts sowie über Verfahren und Techniken der automatisierten Datenverarbeitung, als auch die Kenntnis über betriebswirtschaftliche Zusammenhänge. Darüber hinaus muss der oder die bDSB mit der Organisation und den Funktionen seines Betriebes vertraut sein, einen guten Überblick über alle Fachaufgaben haben, zu deren Erfüllung personenbezogene Daten verarbeitet werden. Der Begriff der Zuverlässigkeit umfasst sowohl sorgfältige und gründliche Arbeitsweise, Belastbarkeit, Lernfähigkeit, Loyalität und Gewissenhaftigkeit als auch Inkompatibilität der Aufgabe des Datenschutzbeauftragten mit anderen hauptamtlichen Aufgaben des Datenschutzbeauftragten. Eine Interessenkollision kann bei nebenamtlich mit der Aufgabe des bDSB betrauten Personen entstehen. Darüber hinaus sollen auch Personen nicht zu bDSB berufen werden, die in dieser Funktion in Interessenkonflikte geraten würden, die über das unvermeindliche Maß hinausgehen. Unvereinbar wäre es zum Beispiel, den Inhaber, den Vorstand, den Geschäftsführer oder den sonstigen gesetzlichen oder verfassungsmäßig berufenen Leiter zu bestellen, da sie sich nicht wirksam selbst kontrollieren können. Weiter ist zu vermeiden, Personen zu Datenschutzbeauftragten zu bestellen, die von ihrer Stellung im Betrieb für die Datenverarbeitung verantwortlich sind (Betriebsleiter, Leiter der EDV). Dagegen kommen als Datenschutzbeauftragte beispielsweise Mitarbeiter/-innen der Revision, der Rechtsabteilung und Organisation in Frage. Die Bestellung zum bDSB kann in entsprechender Anwendung von § 626 BGB und auf Verlangen der zuständigen Aufsichtsbehörde widerrufen werden.

Aufgaben eines bDSB

• Auf Einhaltung des BDSG und anderer Vorschriften über den Datenschutz hinwirken.
• Die ordnungsgemäßen Anwendung der DV-Programme, mit deren Hilfe personenbezogene Daten verarbeitet werden, überwachen.
• Die bei der Verarbeitung personenbezogener Daten tätigen Personen schulen. Dies kann zum Beispiel in schriftlicher Form, durch Schulungsveranstaltungen oder auch durch Anregungen und Informationen im Rahmen von Dienstbesprechungen erfolgen.
• Jedermann auf Antrag die Angaben über Verfahren automatisierter Verarbeitungen in geeigneter Weise zur Verfügung stellen.
• Vor Beginn der automatisierten Verarbeitung kontrollieren, ob die Verarbeitung besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist (siehe Vorabkontrolle).

Rechte und Pflichten des bDSB

Der oder die Beauftragte für den Datenschutz ist dem Leiter der nicht öffentlichen Stelle unmittelbar zu unterstellen. Er oder sie ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Sie sind zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird. Die Daten verarbeitende Stelle ist verpflichtet, die oder den bDSB bei der Erfüllung der Aufgaben zu unterstützen und ihr oder ihm insbesondere, soweit dies zur Erfüllung der Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Die oder der bDSB ist von der verantwortlichen Stelle eine Übersicht über die meldepflichtigen Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. Die oder der bDSB ist über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten. Die oder der bDSB hat sich in Zweifelsfällen an den Landesbeauftragten für den Datenschutz Niedersachsen zu wenden.

Automatisierte Verarbeitung aber noch kein bDSB - Meldepflicht nach BDSG

Das Bundesdatenschutzgesetz verpflichtet Stellen der Wirtschaft, die automatisierte Verarbeitung personenbezogener Daten vor ihrer Inbetriebnahme der zuständigen Aufsichtsbehörde zu melden. Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat. Die Meldepflicht entfällt ferner, wenn die verantwortliche Stelle personenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei höchstens vier Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt und entweder eine Einwilligung der Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit den Betroffenen dient. Meldepflichtig sind zudem automatisierte Verarbeitungen, in denen geschäftsmäßig personenbezogene Daten von der jeweiligen Stelle zum Zwecke der Übermittlung oder zum Zwecke der anonymisierten Übermittlung gespeichert werden.

Die Aufsichtsbehörde führt ein Register der meldepflichtigen automatisierten Verarbeitungen. Der Inhalt der Meldung ergibt sich aus § 4e BDSG. Das Register kann von jedem eingesehen werden. Das Einsichtsrecht erstreckt sich dabei jedoch nicht auf die technische Beschreibung. Wenn eine verantwortliche Stelle vorsätzlich oder fahrlässig eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht, begeht sie eine Ordnungswidrigkeit, die mit einer Geldbuße geahndet werden kann.

Links zu dem Thema:

• zehnseitiges PDF des niedersächsischen Datenschutzbeauftragten
• 2 Muster zur Bestellung eines bDSB
• Sehr ausführliches Skript des Bundesbeauftragten für den Datenschutz zum DSB
• Selbst-Check, ob Sie einen bDSB benennen müssen
• weitere Hinweise des unabhängigen Landeszentrums für Datenschutz
• Abberufung eines bDSB aufgrund mangelnder Zuverlässigkeit wegen möglicher Interessenkonflikte

Und was kostet Fehlverhalten?

2 Jahre, 250.000, 130.000, 50.000 oder 25.000 Euro?

Wenn man gegen datenschutzrechtliche Vorgaben verstößt, kann dies als Straftat oder Ordnungswidrigkeit bestraft werden. Aber ein Geschädigter kann unter Umständen auch Schadensersatz geltend machen. Beachtenswert ist auch, dass seit 2001 die Beträge bei den Verstößen gegen Ordnungswidrigkeiten stark erhöht worden.

Straftaten

Gemäß § 44 I BDSG wird man mit einer Freiheitsstrafe bis zu 2 Jahren oder mit Geldstrafe bestraft, wenn personenbezogene Daten gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, unbefugt erhoben oder verarbeitet werden.
Gem. § 44 II BDSG wird die Tat jedoch nur auf Antrag verfolgt. Anträge kann gemäß § 44 II BDSG der Betroffene, die verantwortliche Stelle, der Bundesbeauftragte und die Datenschutzaufsichtsbehörde stellen.

Im Hinblick auf Straftaten, die im Internet begangen werden können, ist ferner hinzuweisen auf die Strafbestimmungen des Strafrechts:

• § 202a StGB - Ausspähen von Daten
• § 303a StGB - Datenveränderung
• § 303b StGB - Computersabotage
• § 203 StGB - Verletzung von Privatgeheimnissen
• § 206 StGB - Fernmeldegeheimnis

Ordnungswidrigkeiten

Bei den Bußgeldvorschriften wird zwischen Formalverstößen, § 43 I BDSG, und materiellen Verstößen - insbesondere unbefugte Datenverarbeitung -, § 43 II BDSG, unterschieden.

Formalverstöße

Zu den Formalverstößen zählen insbesondere

• die Nichtbestellung eines betrieblichen Datenschutzbeauftragten,
• unzureichende Unterrichtung des Betroffenen,
• unzureichende Erfüllung der Auskunftspflicht gegenüber der Aufsichtsbehörde.

Derartige Verstöße können mit einer Geldbuße bis zu 25.000 Euro geahndet werden, § 43 III 1. Halbsatz BDSG.

Materielle Datenschutzverstöße

Zu den materiellen Datenschutzverstößen gehört insbesondere die unbefugte Erhebung und Verarbeitung personenbezogener Daten. Der Bußgeldrahmen für derartige Verstöße liegt bei 250.000 Euro, gem. § 43 III 2. Halbsatz BDSG. Gemäß § 9 TDDSG werden Verstöße gegen dieses Gesetz mit einer Geldbuße bis zu 50.000 Euro geahndet.

Schadensersatz

Die Schadensersatzansprüche aus unbefugter Datenverarbeitung sind in §§ 7, 8 BSDG geregelt. Diese datenschutzrechtlichen Schadensersatzansprüche ergänzen sonstige zivil- und öffentlich-rechtliche Schadensersatzansprüche des Betroffenen. Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach dem BDSG oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie gem. § 7 BDSG zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.

§ 8 BDSG enthält eine besondere Schadensersatzbestimmung bei automatisierter Datenverarbeitung durch öffentliche Stellen. Die Schadensersatzpflicht ist danach auch in den Fällen gegeben, in denen der öffentlichen Stelle für die unzulässige Verarbeitung kein Verschulden nachgewiesen werden kann. Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen der Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen, Die Ansprüche sind insgesamt auf einen Betrag von 130.000 Euro begrenzt, § 8 III Satz 1 BDSG. Ist aufgrund desselben Ereignisses an mehrere Personen Schadensersatz zu leisten, der insgesamt den Höchstbetrag von 130.000 Euro übersteigt, so verringern sich die einzelnen Schadensersatzleistungen in dem Verhältnis, in dem ihr Gesamtbetrag zu dem Höchstbetrag steht, § 8 III Satz 2 BDSG.

Vorlagen zur Bestellung eines betrieblichen Datenschutzbeauftragten

Das Bundesdatenschutzgesetz (BDSG) verpflichtet Sie als Unternehmer zur Bestellung eines betrieblichen Datenschutzbeauftragten,

• unabhängig von der Zahl der Beschäftigten, wenn Sie als verantwortliche Stelle personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung erheben, verarbeiten oder nutzen (Beispiele: Auskunfteien, Adressverlage, Markt- und Meinungsforschungsinstitute; Vorschrift: § 4f Abs.1 S. 6 BDSG);
• unabhängig von der Zahl der Beschäftigten, wenn Sie als verantwortliche Stelle automatisierte Datenverarbeitungsvorgänge vornehmen, die eine Vorabkontrolle verlangen (z.B. Scoringverfahren, soweit sie selbst Entscheidungscharakter haben; Vorschrift: § 4f Abs.1 S. 6 BDSG);
• ansonsten, wenn Sie als verantwortliche Stelle mindestens fünf Arbeitnehmer wenigstens vorübergehend mit automatisierter Datenerhebung, -verarbeitung oder -nutzung beschäftigen (Vorschrift: § 4f Abs.1 S. 4 BDSG); oder
• als verantwortliche Stelle mindestens zwanzig Arbeitnehmer wenigstens vorübergehend mit nichtautomatisierter Datenerhebung, -verarbeitung oder - nutzung beschäftigen (Vorschrift: § 4f Abs.1 S. 3 BDSG).

Der Datenschutzbeauftragte ist schriftlich zu bestellen; zweckmäßig ist dabei die Festlegung der wichtigsten Aufgaben in der Bestellungsurkunde oder die Bezugnahme auf die Vorschriften der §§ 4f, 4g BDSG. Für die Bestellung können Sie beispielsweise eines der beiden folgenden Muster verwenden:

1. Muster ohne Tätigkeitsbeschreibung
2. Muster mit Tätigkeitsbeschreibung