DatenschutzRechte und Pflichten des Datenschutzbeauftragten

Wer nach dem Bundesdatenschutzgesetz (BDSG) einen Datenschutzbeauftragten (DSB) bestellen muss, sollte dessen Pflichten und Rechte kennen. In diesem Ratgeber stellen wir die wichtigsten vor.

Wann muss ein Datenschutzbeauftragter bestellt werden?

Unternehmen, in denen sich mindestens 20 Mitarbeiter mit personenbezogenen Daten beschäftigen und personenbezogene Daten automatisiert verarbeiten, müssen einen Datenschutzbeauftragten (DSB) bestellen. Dabei ist es möglich, dass sich Unternehmen einen gemeinsamen DSB teilen, wenn dieser von allen Unternehmen leicht erreichbar ist.

Unabhängig von der Zahl der Beschäftigten muss ein Unternehmen einen DSB bestellen, wenn:

  • das Unternehmen Daten verarbeitet, für die eine Datenschutz-Folgenabschätzung erforderlich ist,
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeitet werden.

Hinweis

Daten sind personenbezogen, wenn sie eindeutig einer bestimmten natürlichen Person zugeordnet sind oder diese Zuordnung zumindest mittelbar erfolgen kann. Zum Beispiel durch Zuordnung eines Namens zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Pflichten des Datenschutzbeauftragten

Der Datenschutzbeauftragte wirkt zunächst einmal auf die Einhaltung der Datenschutz-Grundverordnung (DSG-VO) und des Bundesdatenschutzgesetzes (BDSG) und anderer Vorschriften über den Datenschutz hin. Dazu muss er die Geschäftsleitung, externe Partner und die Beschäftigten im Unternehmen hinsichtlich der Pflichten unterrichten und beraten, die sich aus den gesetzlichen Anforderungen ergeben. Das kann persönlich oder schriftlich über Merkblätter oder per E-Mail erfolgen.

Außerdem hat der DSB eine Überwachungspflicht. Demnach sollten Datenschutzbeauftragte besonders auf folgende Arbeitsbereiche und Arbeitsvorgänge achten, bei denen besondere Risiken in Bezug auf die Verwendung von personenbezogenen Daten herrschen:

  • Löschung von Daten und Vernichtung von Datenträgern
  • Weiterleitung von Daten an Dritte
  • Verarbeitung von Daten durch externe Mitarbeiter
  • Notebooks von Außendienstmitarbeitern
  • Umgang mit Passwörtern, mobilen Geräten und Datenträgern
  • Arbeitsplätze, bei denen mit sensiblen Daten gearbeitet wird (zum Beispiel Personalabteilung oder Callcenter)

Hinweis

Da auch der Betriebsrat mit personenbezogenen Daten arbeitet, unterliegt auch er den Bestimmungen des Datenschutzes. Gleichwohl darf der Datenschutzbeauftragte den Betriebsrat in Bezug auf seinen Umgang mit personenbezogenen Daten (insbesondere Daten über Mitarbeiter) nicht kontrollieren. Denn er gilt als Vertreter der Arbeitgeberseite. Eine Kontrolle des Betriebsrats ist nur durch eine unabhängige Instanz möglich. Alternativ kann der Betriebsrat einen eigenen Datenschutzbeauftragten für seine Belange bestellen.

Was die personenbezogenen Daten anbelangt, so ist der Datenschutzbeauftragte zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf ihn zulassen, verpflichtet. Ausnahme: Er  wird durch den Betroffenen davon befreit.

Technische und organisatorische Maßnahmen

Der Datenschutzbeauftragte soll darauf hinwirken, dass alle für den Datenschutz erforderlichen technischen und organisatorischen Maßnahmen ergriffen werden. Die Maßnahmen betreffen insbesondere:

  • Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle)
  • Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle)
  • Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle)
  • Verhinderung der Nutzung automatisierter Verarbeitungssysteme mithilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle)
  • Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle)
  • Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mithilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle)
  • Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle)
  • Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle)
  • Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit)
  • Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit)
  • Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität)
  • Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle)
  • Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)
  • Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit)

Außerdem muss der DSB dafür sorgen, dass personenbezogene Daten unverzüglich gelöscht werden, wenn ihre Verarbeitung unzulässig ist, sie zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen oder ihre Kenntnis für seine Aufgabenerfüllung nicht mehr erforderlich ist.

Datenschutzbeauftragte müssen informiert werden, wenn Unternehmen neue Verfahren zur automatisierten Verarbeitung von personenbezogenen Daten planen. Und zwar rechtzeitig, was bedeutet: Sie müssen noch ausreichend Zeit haben, sich mit der Materie zu beschäftigen, um möglicherweise Einfluss auf den Prozess nehmen zu können.

Unternehmen müssen dem Datenschutzbeauftragten außerdem ein sogenanntes Verfahrensverzeichnis aushändigen, das eine Übersicht über die automatisierten Verarbeitungen innerhalb und außerhalb des Unternehmens enthält, in denen personenbezogene Daten gespeichert werden.

Dazu im Management-Handbuch

Weiterlesen

Vorlagen nutzen

Excel-Tipps