Datenschutz
Wann Unternehmen einen Datenschutzbeauftragten brauchen
Die Frage, ob ein Unternehmen einen Datenbeauftragter berufen muss, entscheidet sich an zwei Faktoren: die Anzahl der Mitarbeiter, die mit einer ständigen automatisierten Datenverarbeitung betraut sind, sowie dem Ziel bzw. Zweck der Datenverarbeitung.
Ein Datenschutzbeauftragter ist regelmäßig bei Verarbeitung personenbezogener Daten zu bestellen. Wann ein eigener Datenschutzbeauftragter bestellt werden muss, bestimmt das Bundesdatenschutzgesetz in § 4f BDSG. Nach dieser Norm sind grundsätzlich all jene Unternehmen dazu verpflichtet einen Beauftragten für den Datenschutz zu bestellen, die personenbezogene Daten automatisiert verarbeiten. Damit spielt grundsätzlich weder die Organisationsform des Unternehmens noch die rechtliche Grundlage der Verarbeitung eine Rolle. Mit personenbezogenen Daten sind dabei Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 BDSG) gemeint.
Die Systematik des Gesetzes: Regel-Ausnahme-Prinzip
Auch wenn grundsätzlich die meisten Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, so hat das Gesetz in § 4f BDSG diverse Ausnahmen vorgesehen, wann eine Bestellung ausnahmsweise entfallen kann. Zunächst muss in diesem Zusammenhang auf die mit der Datenverarbeitung beschäftigte Personenanzahl abgestellt werden. Danach gilt
- Bei einer automatisierten Verarbeitung muss keine Bestellung eines Datenschutzbeauftragen erfolgen, wenn in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung der personenbezogenen Daten betraut sind (§ 4f Abs. 1 S. 4 BDSG).
- Sinkt auf Grund der Reduzierung des Personalbestandes die Beschäftigtenanzahl nicht nur vorübergehend unter 10 Personen, so erlischt damit auch die Verpflichtung einen Datenschutzbeauftragten zu bestellen.
Beauftragter für Datenschutz auch bei besonderer Verarbeitungsaktivität nötig
Selbst wenn ein Unternehmen die oben genannte Anzahl der mit der Datenverarbeitung beschäftigten Personen nicht erreicht, kann es dennoch notwendig sein, einen Datenschutzbeauftragten zu bestellen (also eine „Ausnahme der Ausnahme“). So hat der Gesetzgeber hat in § 4f Abs. 1 S. 6 BDSG verschiedene Fälle zusammengefasst, in denen wegen besonderer Verarbeitungen oder besonders sensibler Daten eine erhöhte Gefahr für die personenbezogenen Daten der Betroffenen besteht.
Eine besondere Gefahr liegt demnach vor, wenn entweder eine automatisierte Datenverarbeitung zur geschäftsmäßigen anonymisierten oder nicht anonymisierten Übermittlung von Daten oder für Zwecke der Markt- oder Meinungsforschung stattfindet oder eine automatisierte Verarbeitung vorgenommen wird, die einer Vorabkontrolle im Sinne von § 4d Abs. 5 BDSG unterliegt.
Daten unterliegen einer Vorabkontrolle, wenn die Datenverarbeitung „besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist“. Dies ist insbesondere der Fall bei professionellen Adresshändlern sowie Unternehmen zur Mitglieder- oder Personalverwaltung, Telefondatenerfassung, Videoüberwachung oder der Kundenbetreuung
Auch wenn ein Unternehmen mit besonders sensiblen Daten im Sinne von § 3 Abs. 9 BDSG (beispielsweise Daten über die rassische und ethnische Herkunft, über politische Meinungen oder religiöse oder philosophische Überzeugungen) umgeht, kann ein Datenschutzbeauftragter nötig sein. Sollten Sie an dieser Stelle unsicher sein, ob Ihr Unternehmen einen Datenschutzbeauftragten benötigt, empfehlen wir Ihnen Rechtsrat einzuholen (lesen Sie hier, warum Sie einen Datenschutzbeauftragten bestellen sollten).
Wer darf zum Datenschutzbeauftragten berufen werden?
Nach dem BDSG kann sowohl ein eigener Mitarbeiter (so genannter „interner Datenschutzbeauftragter“) sowie auch eine externe Person (so genannter „externer Datenschutzbeauftragter“) zum Datenschutzbeauftragten bestellt werden. Dabei ist die Bestellung zum einen an das Vorliegen einer gewissen Fachkunde sowie an die Zuverlässigkeit der Person geknüpft. Der Gesetzgeber hat aber kein festes Anforderungsprofil festgelegt. Ob der Bestellte den Anforderungen genügt, muss damit am Einzelfall und je nach der Schwerpunktsetzung des Unternehmens sowie anhand einer branchenspezifisch erforderlichen Fachkunde festgestellt werden.
Da sich die Verarbeitungstechnologie ständig fortentwickelt muss sich der Datenschutzbeauftragten laufend über die neuen datenschutzrechtlichen Rahmenbedingungen informieren. Daher hat der Arbeitgeber seit dem 1.9.2009 dem internen Datenschutzbeauftragte gemäß § 4f Abs. 3 S. 7 BDSG die Teilnahme an Schulungsmaßnahmen zu ermöglichen. Schließlich sollte der Datenschutzbeauftragte auch über die nötigen rechtlichen Kenntnisse verfügen, um auch den Hintergrund der datenschutzrechtlichen Regelungen verstehen und darauf aufbauend die Konsequenzen für die verantwortliche Stelle richtig einschätzen zu können.
Fazit
Einen Datenschutzbeauftragten müssen Sie bestellen, wenn in Ihrem Unternehmen wenigstens 10 Personen mit der automatisierten Datenverarbeitung betraut sind oder einer der besonderen Fälle des § 4f Abs. 1 S. 6 BDSG auf Ihr Unternehmen zutrifft.
QUERVERWEIS
Service-Hinweis
Interaktives Online-Video-Seminar zum Datenschutz
Bleiben Sie als Datenschutzbeauftragter ständig auf dem Laufenden und erfüllen Sie Ihre gesetzliche Schulungsverpflichtung per Online-Jahresabonnement.
weitere Informationen
http://www.iitr.de
ZUM AUTOR
Über Dr. Sebastian Kraska
Institut für IT-Recht - Kraska GmbH
Herr Dr. Sebastian Kraska gründete im Jahr 2007 die Kraska GmbH, die sich mit IT-Dienstleistungen befasst. Im Jahr 2009 kam das Institut für IT-Recht IITR hinzu, das schwerpunktmäßig im Bereich Datenschutz tätig ist und in Kooperation mit der IT-Recht Kanzlei München und weiteren Partnern Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt. Herr Dr. Kraska selbst ist als freiberuflicher Rechtsanwalt im Kapitalmarkt- und IT-Recht tätig und betreut mittelständische Unternehmen. Daneben ist Herr Dr. Kraska seit 2007 Aufsichtsrat der amiando AG.
Institut für IT-Recht - Kraska GmbH
Eschenrieder Straße 62c
82194 Gröbenzell
+49-89-51303920
WEITERE ARTIKEL VON INSTITUT FÜR IT-RECHT - KRASKA GMBH
Finanzmanagement: Datenschutz-Vereinbarung mit dem Steuerberater?
http://perspektive-mittelstand.de/Datenschutz-Vereinbarung-mit-dem-Steuerberater/management-wissen/5509.html
IT/Telekommunikation: Grenzen der revisionssicheren E-Mail-Archivierung
http://perspektive-mittelstand.de/Datenschutz-Grenzen-der-revisionssicheren-E-Mail-Archivierung/management-wissen/5362.html
Wirtschafts- und Arbeitsrecht: Die Europäische Ermittlungsanordnung (EEA)
http://perspektive-mittelstand.de/EU-Datenschutz-Reform-Die-Europaeische-Ermittlungsanordnung-EEA/management-wissen/5357.html
Wirtschafts- und Arbeitsrecht: Datenschutz-Informationspflichten bei Datenpannen
http://perspektive-mittelstand.de/Datenschutz-Informationspflichten-bei-Datenpannen-/management-wissen/5028.html
Link zum Artikelfach des Autoren
http://perspektive-mittelstand.de/Institut-fuer-IT-Recht-Kraska-GmbH/CorporateShowroom/Artikel/6428.html
Link zur Online-Version dieses Beitrags
http://perspektive-mittelstand.de/Datenschutz-Wann-Unternehmen-einen-Datenschutzbeauftragten-brauchen/management-wissen/3067.html
Über Perspektive Mittelstand
Die Perspektive Mittelstand ist eine unabhängige, branchenübergreifende Business-Plattform zur Förderung der Leistungs- und Wettbewerbsfähigkeit kleiner und mittelständischer Unternehmen und ihrer Mitarbeiter. Ziel der Initiative ist es, über hochwertige Informations-, Kommunikations- und Dienstangebote rund um den unternehmerischen und beruflichen Alltag die Wissensbildung, Kommunikation und Interaktion von und zwischen Existenzgründern, Unternehmern, Fach- und Führungskräften und sonstigen Erwerbstätigen zu unterstützen. Weitere Informationen zur Perspektive Mittelstand unter: www.perspektive-mittelstand.de
Die Perspektive Mittelstand ist eine unabhängige, branchenübergreifende Business-Plattform zur Förderung der Leistungs- und Wettbewerbsfähigkeit kleiner und mittelständischer Unternehmen und ihrer Mitarbeiter. Ziel der Initiative ist es, über hochwertige Informations-, Kommunikations- und Dienstangebote rund um den unternehmerischen und beruflichen Alltag die Wissensbildung, Kommunikation und Interaktion von und zwischen Existenzgründern, Unternehmern, Fach- und Führungskräften und sonstigen Erwerbstätigen zu unterstützen. Weitere Informationen zur Perspektive Mittelstand unter: www.perspektive-mittelstand.de