Archiv

DatenschutzRechte und Pflichten des Datenschutzbeauftragten

© runzelkorn - Fotolia.com
Wer nach dem Bundesdatenschutzgesetz (BDSG) einen Datenschutzbeauftragten (DSB) bestellen muss, sollte dessen Pflichten und Rechte kennen. In diesem Ratgeber stellen wir die wichtigsten vor.
erschienen: 15.06.2010
Schlagwörter: Datensicherheit
(1 Bewertung)

Wann muss ein Datenschutzbeauftragter bestellt werden?

Unternehmen, also nach dem Gesetz nicht-öffentliche Stellen, die mehr als neun Mitarbeiter beschäftigen und personenbezogene Daten automatisiert verarbeiten, müssen einen Datenschutzbeauftragten bestellen. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Ein DSB muss auch bestellt werden, wenn:

  • Unternehmen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen,
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeitet werden.

In beiden Fällen muss – unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen – ein Datenschutzbeauftragter bestellt werden.

Hinweis

Daten sind personenbezogen, wenn sie eindeutig einer bestimmten natürlichen Person zugeordnet sind oder diese Zuordnung zumindest mittelbar erfolgen kann. Beispiel: Max Müller hat grüne Augen, fährt einen VW und wurde in München geboren.

Der entsprechende Gesetzestext lautet:

„Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“

Wann greift die sogenannte Vorabkontrolle?

Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie vor Beginn der Verarbeitung der Prüfung (Vorabkontrolle). Vorabkontrollen werden dann durchgeführt, wenn es sich um folgende Angaben handelt:

  • Rassische und ethnische Herkunft
  • Politische Meinungen
  • Religiöse oder philosophische Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Gesundheit
  • Sexualleben

Das Gleiche gilt, wenn die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens zu bewerten.

Pflichten des Datenschutzbeauftragten

Der Datenschutzbeauftragte wirkt zunächst einmal auf die Einhaltung des Bundesdatenschutzgesetz und anderer Vorschriften über den Datenschutz hin. Daneben muss er die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme überwachen, mit denen personenbezogene Daten verarbeitet werden sollen. Beispiel: Programm für das Customer Relationship Management mit Daten zu einzelnen Personen, die für Kunden arbeiten.

Überwachen bedeutet, dass der Datenschutzbeauftragte von sich aus aktiv wird und nicht erst bei auftretenden Problemen. Andererseits muss der Datenschutzbeauftragte auch die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften des Bundesdatenschutzgesetzes sowie mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut machen. Das kann persönlich oder schriftlich über Merkblätter oder per E-Mail erfolgen. Gleiches gilt auch für andere Regelungen über den Datenschutz.

Im Rahmen der Überwachungspflicht sollten Datenschutzbeauftragte besonders auf folgende Arbeitsbereiche beziehungsweise Arbeitsvorgänge achten, bei denen besondere Risiken in Bezug auf die Verwendung von personenbezogenen Daten herrschen:

  • Löschung von Daten und Vernichtung von Datenträgern,
  • Weiterleitung von Daten an Dritte oder ins Ausland,
  • Verarbeitung von Daten durch externe Mitarbeiter,
  • Notebooks von Außendienstmitarbeitern,
  • Umgang mit Passwörtern, mobilen Geräten und Datenträgern,
  • Arbeitsplätze, bei denen mit sensiblen Daten gearbeitet wird (zum Beispiel Personalabteilung oder Callcenter).

Hinweis

Da auch der Betriebsrat mit personenbezogenen Daten arbeitet, unterliegt auch er den Bestimmungen des Datenschutzes. Gleichwohl darf der Datenschutzbeauftragte den Betriebsrat in Bezug auf seinen Umgang mit personenbezogenen Daten (insbesondere Daten über Mitarbeiter) nicht kontrollieren. Denn er gilt als Vertreter der Arbeitgeberseite. Eine Kontrolle des Betriebsrats ist nur durch eine unabhängige Instanz möglich. Alternativ kann der Betriebsrat einen eigenen Datenschutzbeauftragten für seine Belange bestellen.

Was die personenbezogenen Daten anbelangt, so ist der Datenschutzbeauftragte zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf ihn zulassen, verpflichtet. Ausnahme: Er  wird durch den Betroffenen davon befreit.

Technische und organisatorische Maßnahmen

Laut BDSG soll ein Datenschutzbeauftragter darauf hinwirken, dass alle für den Datenschutz erforderlichen technischen und organisatorischen Maßnahmen ergriffen werden. Die genauen Maßnahmen sind:

  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Trennungsgebot

Was sich hinter den einzelnen Maßnahmen verbirgt, ist in der Anlage zu §9 des BDSG aufgeführt.

Datenschutzbeauftragte müssen informiert werden, wenn Unternehmen neue Verfahren zur automatisierten Verarbeitung von personenbezogenen Daten planen. Und zwar rechtzeitig, was bedeutet: Sie müssen noch ausreichend Zeit haben, sich mit der Materie zu beschäftigen, um möglicherweise Einfluss auf den Prozess nehmen zu können.

Unternehmen müssen dem Datenschutzbeauftragten außerdem ein sogenanntes Verfahrensverzeichnis aushändigen, das eine Übersicht über die automatisierten Verarbeitungen innerhalb des Unternehmens enthält, in denen personenbezogene Daten gespeichert werden.

(1 Bewertung)  Artikel bewerten

Über den Autor
David Wolf

David Wolf ist Redakteur bei business-wissen.de. Er schreibt Beiträge zu betriebswirtschaftlichen Themen und ist für die redaktionelle Betreuung der Fachbeiträge externer Autoren verantwortlich.

AnschriftDavid Wolf
www.business-wissen.de
Bismarckstraße 21
76133 Karlsruhe
Tel.+49 721 1839721
E-Mailredaktion@business-wissen.de
Webwww.textwolf.de
Facebookwww.facebook.com/textwolf.PR