DatenschutzRechte und Pflichten des Datenschutzbeauftragten

Unternehmen, in denen sich mindestens 20 Mitarbeiter mit personenbezogenen Daten beschäftigen und personenbezogene Daten automatisiert verarbeiten, müssen einen Datenschutzbeauftragten (DSB) bestellen. Dabei ist es möglich, dass sich Unternehmen einen gemeinsamen DSB teilen, wenn dieser von allen Unternehmen leicht erreichbar ist.

Unabhängig von der Zahl der Beschäftigten muss ein Unternehmen einen DSB bestellen, wenn:

• das Unternehmen Daten verarbeitet, für die eine Datenschutz-Folgenabschätzung erforderlich ist,
• personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeitet werden.

Der Datenschutzbeauftragte wirkt zunächst einmal auf die Einhaltung der Datenschutz-Grundverordnung (DSG-VO) und des Bundesdatenschutzgesetzes (BDSG) und anderer Vorschriften über den Datenschutz hin. Dazu muss er die Geschäftsleitung, externe Partner und die Beschäftigten im Unternehmen hinsichtlich der Pflichten unterrichten und beraten, die sich aus den gesetzlichen Anforderungen ergeben. Das kann persönlich oder schriftlich über Merkblätter oder per E-Mail erfolgen.

Außerdem hat der DSB eine Überwachungspflicht. Demnach sollten Datenschutzbeauftragte besonders auf folgende Arbeitsbereiche und Arbeitsvorgänge achten, bei denen besondere Risiken in Bezug auf die Verwendung von personenbezogenen Daten herrschen:

• Löschung von Daten und Vernichtung von Datenträgern
• Weiterleitung von Daten an Dritte
• Verarbeitung von Daten durch externe Mitarbeiter
• Notebooks von Außendienstmitarbeitern
• Umgang mit Passwörtern, mobilen Geräten und Datenträgern
• Arbeitsplätze, bei denen mit sensiblen Daten gearbeitet wird (zum Beispiel Personalabteilung oder Callcenter)

Was die personenbezogenen Daten anbelangt, so ist der Datenschutzbeauftragte zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf ihn zulassen, verpflichtet. Ausnahme: Er  wird durch den Betroffenen davon befreit.

Der Datenschutzbeauftragte soll darauf hinwirken, dass alle für den Datenschutz erforderlichen technischen und organisatorischen Maßnahmen ergriffen werden. Die Maßnahmen betreffen insbesondere:

• Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle)
• Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle)
• Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle)
• Verhinderung der Nutzung automatisierter Verarbeitungssysteme mithilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle)
• Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle)
• Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mithilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle)
• Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle)
• Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle)
• Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit)
• Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit)
• Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität)
• Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle)
• Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)
• Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit)

Außerdem muss der DSB dafür sorgen, dass personenbezogene Daten unverzüglich gelöscht werden, wenn ihre Verarbeitung unzulässig ist, sie zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen oder ihre Kenntnis für seine Aufgabenerfüllung nicht mehr erforderlich ist.

Datenschutzbeauftragte müssen informiert werden, wenn Unternehmen neue Verfahren zur automatisierten Verarbeitung von personenbezogenen Daten planen. Und zwar rechtzeitig, was bedeutet: Sie müssen noch ausreichend Zeit haben, sich mit der Materie zu beschäftigen, um möglicherweise Einfluss auf den Prozess nehmen zu können.

Unternehmen müssen dem Datenschutzbeauftragten außerdem ein sogenanntes Verfahrensverzeichnis aushändigen, das eine Übersicht über die automatisierten Verarbeitungen innerhalb und außerhalb des Unternehmens enthält, in denen personenbezogene Daten gespeichert werden.