Aus aktuellem Anlass sollen wiederkehrende Probleme und Fragen zum Datenschutz behandelt werden.
Gem. § 4f BDSG haben öffentliche und nicht öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, einen Beauftragten für den Datenschutz schriftlich zu bestellen.
Nicht öffentliche Stellen, d.h. regelmäßig private Unternehmen haben einen betrieblichen Beauftragten für den Datenschutz zu bestellen, wenn sie bei der automatisierten Datenverarbeitung mindestens 10 Personen oder bei der Verarbeitung auf andere Weise (manuelle Verfahren) mindestens 20 Personen beschäftigen. Das Gesetz formuliert dies wie folgt:“… Die Sätze 1 und 2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Soweit aufgrund der Struktur einer öffentlichen Stelle erforderlich, genügt die Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche….“. Zu den nicht öffentlichen Stellen gehören regelmäßig auch Freiberufler, sofern keine speziellen berufsrechtlichen Normen Ausnahmen bilden.
Die Anzahl der beschäftigten Personen ist in einigen Fällen nicht relevant, wenn eine sog. Vorabkontrolle nach § 4 d Abs. 5 BDSG notwendig ist, sog. sensible Daten verarbeitet werden.
Nach gesetzlicher Regelung des BDSG sind Unternehmen zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet,
- unabhängig von der Zahl der Beschäftigten, wenn sie als verantwortliche Stelle personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung oder der anonymisierten Übermittlung erheben, verarbeiten oder nutzen (z. B. Markt- und Meinungsforschungsinstitute), § 4 f Abs. 1 Satz 6 BDSG,
- unabhängig von der Zahl der Beschäftigten, wenn sie als verantwortliche Stelle automatisierte Datenverarbeitungen vornehmen, die einer Vorabkontrolle, § 4 f Abs. 1 Satz 6 BDSG,
- als verantwortliche Stelle mindestens 10 Personen wenigstens vorübergehend mit automatisierter Datenerhebung, -verarbeitung oder -nutzung beschäftigen, § 4 f Abs. 1 Satz 4 BDSG, oder
- als verantwortliche Stelle mindestens zwanzig Arbeitnehmer wenigstens vorübergehend mit nichtautomatisierter Datenerhebung, -verarbeitung oder -nutzung beschäftigen, § 4 f Abs. 1 Satz 3 BDSG.
Als Datenschutzbeauftragte kann sowohl intern ein Mitarbeiter, als auch ein Externer bestellt werden. Zu beachten ist, dass der interne Datenschutzbeauftragte besondere Rechte, insbesondere besonderen Kündigungsschutz erhält.
Der Datenschutzbeauftragte kann bestellt werden, wenn er über die notwendige erforderliche Fachkunde und Zuverlässigkeit verfügt. Der betriebliche Datenschutzbeauftragte muss die gesetzlichen Regelungen, die Grundrechte mit Datenschutzbezug, das Bundesdatenschutzgesetz, bereichsspezifische datenschutzrechtliche Regelungen und die einschlägigen Spezialvorschriften des Fachbereichs kennen und sicher anwenden können. In einem Beschluss hat das Landgericht Ulm (Az.: 5T 153/90-01 LG Ulm) im Ergebnis folgende grundsätzlichen Punkte festgelegt: die Anforderungen an den Datenschutzbeauftragten, der Computerexperte sein soll/muß, mindestens folgende Punkte umfassen: Anwendung der Vorschriften der Datenschutzgesetze des Bundes und der Länder und alle anderen den Datenschutz betreffenden Rechtsvorschriften, Kenntnisse der betrieblichen Organisation, didaktische Fähigkeiten, psychologisches Einfühlungsvermögen, Organisationstalent, angemessener Umgang in Konflikten um seine Person, seine Funktion und seine Aufgabe.
Die Bestellung eines betrieblichen Datenschutzbeauftragten muss gem. § 4 f Abs. 1 BDSG schriftlich erfolgen.
Der betriebliche Datenschutzbeauftragten ist innerhalb einer Frist von einem Monat nach Aufnahme der Tätigkeit der nicht öffentlichen Stelle zu bestellen. Wird der Datenschutzbeauftragte vorsätzlich oder fahrlässig nicht oder nicht rechtzeitig bestellt, so stellt dies eine Ordnungswidrigkeit dar, die mit einer Geldbuße geahndet werden kann.
Gerne berate ich Sie im Bereich des Datenschutzes.
Rechtsanwalt Dr. Stephan Schmelzer, Fachanwalt IT-Recht, Fachanwalt Arbeitsrecht, zertifizierter Datenschutzbeauftragter, http://www.ra-schmelzer.de, Ostberg 3, 59229 Ahlen, Tel.: 02382.6646
Alle Beiträge sind nach bestem Wissen zusammengestellt. Eine Haftung für deren Inhalt kann jedoch nicht übernommen werden.