Wann Sie einen Datenschutzbeauftragten einstellen sollten
Unternehmen, die personenbezogene Daten automatisiert verarbeiten, sind regelmäßig dazu verpflichtet, Datenschutzbeauftragte zu bestellen. Davon ist auszugehen, wenn mindestens zehn Personen mit der automatisierten Verarbeitung oder bei der Verarbeitung auf andere Weise (manuelle Verfahren) mindestens 20 Personen beauftragt sind.
Dies ist der Fall, wenn mindestens zehn Personen mit der automatisierten Datenerhebung, -verarbeitung oder -nutzung beschäftigt sind.
Ein Datenschutzbeauftragter muss ferner dann bestellt werden, wenn mindestens 20 Personen in der Regel mit der nichtautomatisierten Datenerhebung, -verarbeitung oder -nutzung beschäftigt sind.
Unabhängig von der Anzahl der Personen haben nicht-öffentliche Stellen einen betrieblichen Datenschutzbeauftragten zu bestellen, soweit sie automatisierte Verarbeitungen vornehmen, die wegen besonderer Sensitivität vor Einsatz zu prüfen sind (z. B. Scoringverfahren bei Kunden, Vorabkontrolle, vgl. § 4 d Abs. 5 BDSG) oder soweit sie personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung oder der anonymisierten Übermittlung erheben, verarbeiten oder nutzen (z. B. Markt- und Meinungsforschungsinstitute).
Kommt die Geschäftsleitung dieser Verpflichtung nicht nach, kann dies Sanktionen auslösen und mit Geldbußen geahndet werden. Die Aufgabe des Datenschutzbeauftragten besteht im Wesentlichen darin, sicherzustellen, dass die Vorschriften des BDSG eingehalten werden. Hierzu zählt z.B. die Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme oder die Personal-Schulung. Dabei weist er die Angestellten in den Datenschutz ein und sorgt dafür, dass nur berechtigtes Personal Einblick in die Daten erhält. Er ist der Geschäftsleitung unmittelbar unterstellt, in seinem Handeln jedoch nicht weisungsgebunden.
Bei der Person, die die Aufgaben eines Datenschutzbeauftragten wahrnimmt, muss es sich nicht zwingend um ein Mitglied des Unternehmens handeln. Vielmehr können externe Datenschutzbeauftragte ihrer Aufgabe gegebenenfalls sogar gewissenhafter nachkommen, da sie eine nötige Distanz zum Unternehmen aufweisen. Die Leiter der Personal- und EDV-Abteilung, sowie deren Untergebene scheiden jedenfalls aus. Sie sind unmittelbar mit der Verarbeitung von Beschäftigtendaten konfrontiert und weisen damit nicht die nötige Neutralität auf, um beurteilen zu können, ob die Datenschutzbestimmungen eingehalten worden sind oder nicht. Auch die Geschäftsführer kommen als Datenschutzbeauftragte nicht in Betracht, weil dies ebenfalls zu einer Interessenkollision der Tätigkeitsbereiche führen würde. Zum Datenschutzbeauftragten kann daneben nur derjenige bestellt werden, der die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.
© Stefan Müller-Römer, Philipp Schumacher, Januar 2015, Alle Rechte vorbehalten