Rechte und Pflichten des Datenschutzbeauftragten

Die Stellung des Datenschutzbeauftragten innerhalb eines Unternehmens hat in den vergangenen Jahren zunehmend an Bedeutung gewonnen. Dafür haben der Gesetzgeber und die Rechtsprechung gesorgt. Dr. Rolf Kowanz, Partner und Rechtsanwalt der Wirtschaftskanzlei DLA Piper fasst zusammen, worauf Firmen achten müssen.

Was verantwortet der Datenschutzbeauftragte?

Private Unternehmen sind ab einer gewissen Größenordnung verpflichtet, einen Beauftragten für den Datenschutz – den sogenannten betrieblichen Datenschutzbeauftragten (DSB) – zu bestellen. Der DSB verantwortet, dass die Datenschutzbestimmungen im Unternehmen eingehalten werden. Der Gesetzgeber und die Rechtsprechung haben die Rechtsstellung des DSB in den letzten Jahren erheblich gestärkt. Erst kürzlich hat das Bundesarbeitsgericht die Möglichkeiten zur “Abberufung” eines DSB weiter eingeschränkt. Diese Entwicklung sollten Unternehmen in ihren Entscheidungen berücksichtigen, gerade dann wenn sie vor der Wahl zur Bestellung eines internen order externen DSB stehen.

Wer muss einen Datenschutzbeauftragten beschäftigen?

Private Unternehmen, egal ob als Einzelperson, Gesellschaft oder Personenvereinigung, sind nach § 4 f Bundesdatenschutzgesetz (BDSG) verpflichtet, einen DSB zu bestellen, wenn sie ständig mehr als neun Personen mit der automatisierten Verarbeitung personenbezogener Daten, also der Nutzung von Daten mittels IT-Systemen, beschäftigen oder personenbezogene Daten durch mindestens 20 Personen auf andere Weise erheben, verarbeiten oder nutzen. Unabhängig von der Anzahl der Mitarbeiter, die mit der Erhebung beziehungsweise Verarbeitung personenbezogener Daten beschäftigt sind, trifft diese Pflicht auch Unternehmen, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung oder Marketing verarbeiten.

Welche Aufgaben hat der Datenschutzbeauftragte?

Der DSB hat im Unternehmen darauf hinzuwirken, dass die Vorschriften des BDSG und andere Vorschriften über den Datenschutz im Unternehmen eingehalten werden. Er sollte die Unternehmensleitung als auch die mit der jeweiligen Datenverarbeitung betrauten Mitarbeiter hinsichtlich der datenschutzrechtlichen Anforderungen beraten, schulen sowie die Datennutzung im Unternehmen kontrollieren. Daneben trifft den DSB auch die Aufgabe, die Betroffenen – also die Personen, deren personenbezogene Daten verarbeitet werden – bei der Wahrnehmung ihrer Rechte zu unterstützen.

Welche persönlichen Qualifikationen benötigt ein Datenschutzbeauftragter?

Um seinen Aufgaben gerecht werden zu können, muss der DSB bestimmte persönliche Anforderungen erfüllen. Das Gesetz verlangt, dass der DSB die erforderliche Fachkunde und Zuverlässigkeit besitzen muss. Die notwendige Fachkunde, die sich auf rechtliche, organisatorische, technische und kommunikative Fähigkeiten bezieht, ist dabei jeweils abhängig vom betroffenen Unternehmen und dem Umfang der dort vorgenommenen Datenverarbeitung. Er muss entsprechend mehr Fachkenntnisse besitzen, wenn er für ein Unternehmen tätig ist, das geschäftsmäßig personenbezogene Daten beispielsweise zu Marketingzwecken erhebt und verarbeitet.

In punkto Zuverlässigkeit sollten Interessenkonflikte vermieden werden. Das kann vorkommen, wenn seine Zuständigkeit sich nicht nur auf die Einhaltung der Datenschutzbestimmungen beschränkt, sondern gleichzeitig auch Leiter der IT ist. Eine solche Selbstkontrolle würde zu einer Interessenkollision führen und gegen die Zuverlässigkeit sprechen.

Festanstellung versus externe Dienstleistung

Bei der Besetzung der Position des DSB hat das Unternehmen grundsätzlich die Wahl, ob ein eigener Mitarbeiter zum DSB bestellt oder ein Externer mit den Kontrollpflichten betraut wird. Bei der Entscheidung über die Besetzung der Position des DSB mit einem Internen oder Externen muss man die jeweiligen Besonderheiten des betroffenen Unternehmens berücksichtigen. Es kann sinnvoll sein, einen internen DSB zu benennen, da er mit den organisatorischen Abläufen im Unternehmen sehr gut vertraut ist. Ein externer DSB verfügt andererseits häufig über einen breiten Fundus an Erfahrungen hinsichtlich der Kontrolle und Umsetzung der datenschutzrechtlichen Vorgaben durch seine Tätigkeit für verschiedene Auftraggeber.

Eine Zwitterstellung hat ein Beauftragter für den Datenschutz in Konzernunternehmen, sofern hiermit ein Mitarbeiter eines Konzernunternehmens bestellt wird. Dieser sogenannte Konzerndatenschutzbeauftragte wird von den jeweiligen rechtlichen Einheiten des Konzerns als einheitlicher Ansprechpartner bestellt und kann auf eine effektive Kontrolle des Datenflusses im gesamten Konzern hinwirken.

Zudem sollten Unternehmen bei ihrer Entscheidung auch die arbeitsrechtlichen Aspekte einer “internen Lösung” im Blick behalten. Dafür muss man die im September 2009 in Kraft getretenen BDSG-Novelle II zu Kündigungs- und Abberufungsschutzvorschriften beachten.

Das Arbeitsverhältnis zu einem internen DSB kann nur bis zu einem Jahr nach Beendigung seines Amtes und gegen Vorlage von Tatsachen und wichtigen Gründen fristlos beendet werden. Dadurch werden Unabhängigkeit im Vergleich zur restlichen Belegschaft sowie weisungsfreie Amtsausübung gestärkt. Neben dieser Einschränkung hinsichtlich der Kündigung des Arbeitsverhältnisses genießt der DSB auch einen besonderen Abberufungsschutz, der ihn vor ungerechtfertigten Amtsenthebungen durch den Arbeitgeber schützen soll. Eine Abberufung aus dem Amt als DSB ist gemäß § 4 f Abs. 3 Satz 4 BDSG nur aus wichtigem Grund möglich. Nach dem aktuellen Urteil des Bundesarbeitsgerichts vom 23.03.2011 (Az.: 10 AZR 562/09) stellt allein die Entscheidung des Arbeitgebers, zukünftig die Aufgaben des DSB durch einen externen Dritten wahrnehmen zu lassen, rechtlich keinen wichtigen Grund dar. Zwar ist der Arbeitgeber bei der erstmaligen Bestellung frei, ob ein interner oder externer DSB bestellt werden soll. Entscheidet sich das Unternehmen dann aber für einen internen DSB, reicht die Kündigungsbegründung, jetzt mit einem externen DSB zusammenarbeiten zu wollen, nicht aus. Ebenso wenig wird gemäß der BGH-Entscheidung die Zuverlässigkeit eines internen DSB durch seine bloße Mitgliedschaft im Betriebsrat in Frage gestellt.