Sind Sie fit im Datenschutz?

Management

Das Bundesdatenschutzgesetz sieht eine ganze Reihe von Aufgaben vor, denen sich ein Datenschutzbeauftragter im Unternehmen widmen muss

Wie bereits in Teil 1 ausgeführt, sind die meisten Unternehmen gesetzlich verpflichtet, einen Datenschutzbeauftragten (im folgenden: DSB) zu bestellen. Dabei hat das Unternehmen die Wahl, ob es einen externen oder einen internen DSB einschaltet. Je nach Größe des Unternehmens wird sich dabei der DSB seinen Aufgaben in Vollzeit oder nur in Teilzeit widmen können. Was genau sind diese Aufgaben?

Das Bundesdatenschutzgesetz (BDSG) nennt ausdrücklich die folgenden Aufgaben, die weiter unten erläutert werden: Hinwirken auf die Einhaltung der datenschutzrechtlichen Bestimmungen, Vorabkontrolle, Schulungen, Verfügbarmachung des Öffentlichen Verfahrensverzeichnisses. Darüber hinaus ergeben sich weitere Aufgaben aus dem Gesamtzusammenhang des BDSG oder sonstiger Spezialgesetze sowie aufgrund von unternehmensbedingten Besonderheiten. Beispielsweise hat der DSB auch arbeitsrechtliche Vorschriften zur Erhebung, Verarbeitung und Nutzung von Personaldaten zu überprüfen oder die Nutzung von Kundendaten zu überwachen, zum Beispiel im Bereich des Telefonmarketings.

Insgesamt empfiehlt es sich dem DSB eine Stellenbeschreibung an die Hand zu geben, die seine gesetzlichen Aufgaben konkretisiert und ihm eventuell darüber hinausgehende, aber im sachlichen Zusammenhang stehende Aufgaben zuweist. Im Einzelnen:

Überwachungspflicht nach § 4g Abs. 1 Nr. 1 BDSG

Der DSB hat auf die Einhaltung der relevanten datenschutzrechtlichen Bestimmungen “hinzuwirken”, hierzu gehört insbesondere die Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme.

Um es klarzustellen: Der DSB kann nicht gegen den Willen der Unternehmensleitung Datenschutzmaßnahmen durchsetzen. Es ist aber seine Aufgabe, Maßnahmen zur Sicherstellung der Einhaltung des Datenschutzes vorzuschlagen. Das Gesetz gibt ihm zur Überwachung zwei Befugnisse an die Hand:

Zum einen ist ihm vom Unternehmen ein so genanntes “Verfahrensverzeichnis” zur Verfügung zu stellen. Dabei handelt es sich um eine Übersicht über die automatisierten Verfahren des Unternehmens, unterteilt nach dem Zweck der Erhebung, Verarbeitung und Nutzung der Daten.

Ein solches “Verfahren” wäre zum Beispiel die Personalverwaltung. Das Verzeichnis muss neben dem Zweck der Datenerhebung, -verarbeitung oder –nutzung, die betroffenen Personengruppen und Daten auflisten, ferner Empfänger der Daten, Regelfristen für die Löschung, geplante Datenübermittlungen in Drittstaaten sowie Angaben über technische und organisatorische Maßnahmen, die zum Schutz der personenbezogenen Daten getroffen wurden. Dabei hat der DSB darauf hinzuwirken, dass das Verzeichnis ordnungsgemäß bereitgestellt und aktualisiert wird.

Zum anderen ist der DSB rechtzeitig vorab zu unterrichten, wenn neue Vorhaben zur automatisierten Verarbeitung von personenbezogenen Daten anstehen. “Rechtzeitig” bedeutet, dass der DSB ausreichend Zeit hat, aus datenschutzrechtlicher Sicht Stellung zur Programmeinführung zu nehmen und seine Stellungnahme die Planungen noch beeinflussen kann.

Der DSB wird insbesondere folgende Grundsätze berücksichtigen:
· personenbezogene Daten dürfen nur erhoben, verarbeitet und genutzt werden soweit dies gesetzlich zulässig ist (maßgeblich sind vor allem die §§ 27-31 BDSG) oder der Betroffene eingewilligt hat;
· es gilt der Grundsatz der Zweckbindung, das heißt, die Daten sollten nur für den Zweck verarbeitet werden, zu dem sie erhoben wurden);
· personenbezogene Daten sind nach Möglichkeit beim Betroffenen direkt zu erheben;
· es gilt der Grundsatz der Datenvermeidung und Datensparsamkeit;
· anonyme oder pseudonyme Verarbeitung hat grundsätzlich Vorrang;
· es sind angemessene technische und organisatorische Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit einzuplanen;

Da der DSB nicht überall vor Ort sein kann, sollte er nach Möglichkeit seine Kontrolle “automatisieren”, das heißt Routinen einführen, die eine Überwachung der ordnungsgemäßen Anwendung sicherstellen. Hierzu gehören technische Maßnahmen wie Protokolldateien, aber auch organisatorische Maßnahmen wie beispielsweise die Sicherstellung, dass neue Mitarbeiter auf § 5 BDSG verpflichtet werden und eine Aufklärung über ihre Rechte und Pflichten erhalten. Gleichzeitig sollte er angemeldete und nicht angemeldete Kontrollen vor Ort durchführen und auch in Gesprächen ermitteln, wie bewusst den einzelnen Mitarbeitern die Erforderlichkeit des Datenschutzes ist. Es ist kein Geheimnis, dass die meisten Verstöße im Bereich des Datenschutzes nicht aufgrund vorsätzlichen Verhaltens, sondern aufgrund von Unwissenheit oder Neugier geschehen.

Erfahrungsgemäss sind wichtige Bereiche der Prüfung: Löschung von Daten und Vernichtung von Datenträgern, Überwachung von Externen, die Daten im Auftrag verarbeiten, Übermittlung von Daten an Dritte oder ins Ausland.

Vorabkontrolle, § 4d Abs. 5 BDSG

Für den Fall, dass eine automatisierte Verarbeitung besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist, ist der DSB ferner zuständig, die so genannte “Vorabkontrolle” durchzuführen. Eine Vorabkontrolle ist ausdrücklich vorgeschrieben, wenn sensitive Daten betroffen sind (zum Beispiel Angaben über die Gesundheit, Gewerkschaftszugehörigkeit oder religiöse Überzeugungen) sowie in Fällen, in denen die Verarbeitung dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten. Genaue Prüfkriterien für eine Vorabkontrolle legt das Gesetz nicht fest, es ist jedoch ratsam insoweit ein formales Freigabeverfahren vorzusehen, welches die Gründe der Verarbeitung, die Vorgehensweisen zum Schutz der Daten sowie eine etwaige Freigabe durch den DSB dokumentiert.

Schulungen, § 4 g Abs. 1 Nr. 2 BDSG

Der DSB ist verpflichtet, die mit der Verarbeitung personenbezogener Daten beschäftigten Mitarbeiter mit den datenschutzrechtlichen Bestimmungen vertraut zu machen. Dabei hat die Unternehmensleitung die erforderlichen Räume, Mittel, Materialien etc. zur Verfügung zu stellen und gegebenenfalls die Teilnahme anzuordnen.

Wie die Schulungen durchgeführt werden, ist letztlich dem DSB überlassen. Grundsätzlich hat die Schulung durch den DSB selbst den Vorteil, dass der DSB auf Fragen eingehen kann und selbst auf bestimmte Problemfelder aufmerksam gemacht wird. In größeren Unternehmen ist eine solche Schulung aber oft nicht machbar, so dass teilweise webbasierte Schulungen angeboten werden. Ein guter Ansatz ist es jedenfalls, wenn jeder neu eingestellte Mitarbeiter grundsätzlich mit den Fragen des Datenschutzes und der Funktion des DSB vertraut gemacht wird.

Oftmals wird der DSB auch damit betraut, die Mitarbeiter auf das Datengeheimnis zu verpflichten. Diese Verpflichtung erfüllt nur dann ihren vom Gesetzgeber beabsichtigten Zweck, wenn sie mit einer Belehrung des Beschäftigten über seine besonderen Verpflichtungen nach dem Datenschutzgesetz verbunden wird. Zu Beweiszwecken sollte die Verpflichtung schriftlich erfolgen.

Öffentliches Verfahrensverzeichnis (oder “Jedermann”-Verzeichnis), § 4g Abs. 2 BDSG

Der DSB hat gegenüber jedermann das Verfahrensverzeichnis des Unternehmens in geeigneter Weise verfügbar zu machen. Dabei ist es zulässig, dass sich dieses Verzeichnis auf die im Gesetz geforderten Angaben beschränkt. Unabhängig davon bietet es sich an, zusätzlich ein etwas umfassenderes “internes” Verzeichnis zu führen, welches dem DSB seine Überwachungsaufgaben erleichtert und auch dazu dienen kann, Auskunftsersuchen Betroffener zu erledigen. Gleichzeitig dient das interne Verfahrensverzeichnis der Aufsichtsbehörde als erstes Informationsmittel im Rahmen ihrer Kontrolltätigkeit.

Beratung über technische und organisatorische Maßnahmen

Der DSB muss erkennen, welche Risiken von den Einzelphasen der Verarbeitung bestimmter Daten ausgehen. Er soll darauf hinwirken, dass für den Schutz der Daten erforderliche technische und organisatorische Maßnahmen getroffen werden. Die Anlage zu § 9 BDSG listet die Maßnahmen, um die es geht, genauer auf. So ist sicherzustellen, dass Unbefugte keinen “körperlichen” Zutritt zu den Datenverarbeitungsanlagen haben (“Zutrittskontrolle”), die Systeme nicht unbefugt genutzt werden können (“Zugangskontrolle”), nur Zugriffsberechtigte auf die Daten zugreifen (“Zugriffskontrolle”), die Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (“Weitergabekontrolle”).

Außerdem muss nachträglich geprüft werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in die Datenverarbeitungssysteme eingegeben oder verändert wurden (“Eingabekontrolle”), im Auftrag zu verarbeitendende Daten nur entsprechend den Weisungen verarbeitet werden (“Auftragskontrolle”), die Daten nicht zufällig zerstört werden (“Verfügbarkeitskontrolle”) und zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (“Trennungsgebot”).

Hinweise für ein dem Stand der Technik entsprechendes Sicherheitskonzept gibt das auch online kostenlos erhältliche IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Weitere Aufgaben

Zu weiteren Aufgaben des DSB kann gehören:

– Aufbau einer internen Datenschutzorganisation
– Beratungspflichten
– Erarbeitung und Pflege von internen Richtlinien
– Verpflichtung der Mitarbeiter auf das Datengeheimnis gemäß § 5 BDSG
– Vertretung des Unternehmens nach außen gegenüber den jeweiligen externen Stellen (Betroffene, Behörden etc.) in Fragen des Datenschutzes, Koordinierungsfunktion
– Verbandsarbeit
– Erledigung von Auskunftsersuchen von Betroffenen
– Durchführung von ggf. erforderlichen Meldungen gegenüber der Behörde
– Mitwirkung bei der datenschutzkonformen Gestaltung von Formularen und Verträgen
– Verpflichtung zur regelmäßigen Berichterstattung an die Geschäftsführung
– Durchführung von regelmäßigen (z.B. jährlichen) Audits (bzw. Koordinierung dieses Audits mit Externen)


In der nächsten Folge wird erläutert, wie ein Verfahrensverzeichnis zu führen ist.