Kontakt

Rund um den Datenschutzbeauftragten – Das müssen Sie bei seiner Bestellung beachten

Nina Richard M. Sc.

Veröffentlicht am 12.01.2015 von Nina Richard M. Sc.

In vielen Branchen herrscht immer noch Unklarheit darüber, unter welchen Umständen die Bestellung eines Datenschutzbeauftragten verpflichtend ist. Die Verunsicherung gilt auch für weitere Aspekte bei der Bestellung eines Datenschutzbeauftragten, z.B. in Bezug auf die Fragen, wie die Bestellung erfolgen muss oder wie sich die Anzahl der Personen berechnet, die an der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten beteiligt sind. Außerdem bestehen teilweise unterschiedliche Bedingungen für öffentliche und nicht-öffentliche Stellen.

Unter nicht-öffentliche Stellen fallen juristische und natürliche Personen, Personengesellschaften und auch nicht rechtsfähige Vereinigungen (Gewerkschaften). Der Begriff öffentliche Stellen bezeichnet Behörden, Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen. Grundsätzlich ist jede öffentliche und nicht-öffentliche Stelle, die personenbezogene Daten automatisiert erhebt, verarbeitet und/oder nutzt, nach § 4f des Bundesdatenschutzgesetzes zur schriftlichen Bestellung eines Beauftragten für den Datenschutz verpflichtet. Laut dem Bundesdatenschutzgesetz ist eine „automatisierte Verarbeitung [.] die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen.“  Weiterhin liegt eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten vor, wenn innerhalb der Stelle mindestens 20 Personen mit der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten in anderer Weise, z.B. mittels Karteien, beschäftigt sind. Allerdings gibt es Ausnahmen für nicht-öffentliche Stellen.

Sind in einer nicht-öffentlichen Stelle höchstens neun Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt, ist diese nicht verpflichtet einen Beauftragten für den Datenschutz zu bestellen. Erhebt, verarbeitet oder nutzt das Unternehmen allerdings automatisiert personenbezogene Daten, welche einer Vorabkontrolle nach BDSG § 4d Abs. 5 unterliegen, verpflichtet dies zu einer Bestellung eines betrieblichen Datenschutzbeauftragten. Eine Vorabkontrolle ist dann verpflichtend, wenn personenbezogene Daten der besonderen Art oder Daten zur Bewertung der Persönlichkeit verarbeitet werden. Auch Unternehmen, die personenbezogene Daten zum Zweck der Übermittlung, in anonymisierter oder nicht-anonymisierter Form oder der Markt- und Meinungsforschung verarbeiten, sind zur Bestellung verpflichtet.

Ein weiteres und teilweise schwieriges Problem ist die Berechnung der Personen, die mit der Verarbeitung von personenbezogenen Daten beschäftigt sind. In § 4f des Bundesdatenschutzgesetzes heißt es:

„Die Sätze 1 und 2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“

Doch welche Personen werden mit gerechnet? Und was genau bedeutet „in der Regel“? In der Informationsbroschüre des Bundesbeauftragten für Datenschutz  sowie in einem Merkblatt des hessischen Beauftragten für Datenschutz  zum Thema betrieblicher Datenschutzbeauftragter wird erläutert, dass sämtliche Personen, unabhängig ihres arbeitsrechtlichen Status, zu berücksichtigen sind, die an der Verarbeitung personenbezogener Daten beteiligt sind. Somit werden auch Praktikanten, Auszubildende, Freiberufler, Zeitarbeiter sowie Voll- und Teilzeitarbeitskräfte in die Berechnung einbezogen. Da der arbeitsrechtliche Status für die Berechnung nicht entscheidend ist, werden auch Firmeninhaber mitgerechnet. Weiterhin ist entscheidend, dass es zur regelmäßigen Aufgabenbewältigung einer Person gehört, personenbezogene Daten automatisiert zu verarbeiten. So werden z.B. Urlaubsvertretungen oder eine kurzfristige Erhöhung, der an der Verarbeitung beteiligten Personen, nicht mitgezählt.  

Zusammenfassend lässt sich festhalten, dass grundsätzlich jede öffentliche und nicht-öffentliche Stelle zur Bestellung eines Datenschutzbeauftragten verpflichtet ist. Eine Ausnahme von der Bestellung besteht für nicht-öffentliche Stelle, wenn weniger als zehn Personen an der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten beteiligt sind. Bei der Bestellung eines Datenschutzbeauftragten sollte darauf geachtet werden, dass die bestellte Person geeignet ist. Sie sollte ausreichend Wissen sowohl in BWL, IT und Jura besitzen. Außerdem ist zu beachten, dass die bestellte Person in keinem Interessenskonflikt zum bestellenden Unternehmen steht.

Wichtig: An dieser Stelle wird noch einmal explizit daraufhin gewiesen, dass auch wenn ein Unternehmen nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet sein sollte, trotzdem die Pflicht zur Einhaltung des Datenschutzes im Unternehmen besteht. Für die Einhaltung der Bestimmungen ist in diesem Fall die Geschäftsleitung

Rund um den Datenschutzbeauftragten