Der betriebliche Datenschutzbeauftragte

Der betriebliche Datenschutzbeauftragte

Das Bundesdatenschutzgesetz verlangt die Bestellung eines betrieblichen Datenschutzbeauftragten (bDSB), wenn gewisse Merkmale im Unternehmen gegeben sind. Aber auch, wenn kein bDSB bestellt werden muss, muss das Unternehmen das Gesetz einhalten. Was also zu tun ist und welchen Nutzen dies auch für das Unternehmen darstellen kann, zeigt dieser Beitrag.

Lange galt und gilt vermutlich auch in Teilen heute noch: Das Bundesdatenschutzgesetz wird eher als Behinderung der betrieblichen Praxis und Hürde zur Wettbewerbsfähigkeit angesehen – sperrig, antiquiert, losgelöst vom Zeitgeist, etc.

Unsere eigene Wahrnehmung in den letzten zwei Jahren ist eher eine andere. In Zeiten von Big Data, Open Data, Geo-Data, Social Media, beruflichen Netzwerken, verschiedenen Schnittstellen hier, eGovernment, Cloud, Userdaten als Gold des digitalen Zeitalters etc. regt sich bei vielen eine gewisse Grundbefürchtung, ob denn die Unternehmen noch alles im Griff haben.

Datensicherheit und Datenschutz werden zunehmend als notwendiges Werteversprechen eines Unternehmens wahrgenommen und es wird erwartet, dass dieses Versprechen eingehalten wird. Aus dieser Sicht wirkt die Rolle eines betrieblichen Datenschutzbeauftragten (bDSB) ganz anders. Aber zunächst zum rechtlichen Rahmen für nicht-öffentliche Stellen (sprich Unternehmen).

Nach § 4f Abs. 1 BDSG haben nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, einen bDSB schriftlich zu bestellen, sofern mindestens zehn Personen ständig in der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Ferner gilt das Gleiche, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Unabhängig von der Anzahl der Beschäftigten ist in jedem Fall ein bDSB zu bestellen, wenn automatisierte Verarbeitungen unternommen werden, die der Vorabkontrolle nach § 4d Abs. 5 BDSG unterliegen. Das sind nach § 3 Abs. 9 BDSG Verfahren, die Angaben zur rassischen und ethnischen Herkunft, politischen Meinung, religiösen oder philosophischen Überzeugung,  Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben geben.

Aber auch wenn kein bDSB, der die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nachweisen muss, bestellt werden muss, muss das Unternehmen das BDSG einhalten.

Zu den wesentlichen Aufgaben des bDSB gehören (nicht abschließend):

  • Regelmäßiges Schulen der Mitarbeiter

Der Ausübung der Schulungsfunktion kommt eine große Bedeutung zu. Alle MitarbeiterInnen sind in die Erfordernisse des Datenschutzes und der Datensicherheit einzuweisen und auf aktuellem Stand zu halten. Mit unternehmensspezifischen Beispielen, angereichert durch generelle Fallbeispiele, sind MitarbeiterInnen zu sensibilisieren.

Der weiterführende Nutzen für das Unternehmen ist, dass jede/r MitarbeiterIn auch DatenschutzbotschafterIn des Unternehmens ist und sich im eigenen Aufgabengebiet korrekt verhält sowie bei konkreten Anfragen auch konkrete Antworten geben kann.

  • Ansprechpartner für Betroffene

Betroffene sind natürliche Personen, bei denen der Grund gegeben sein kann, dass ein Unternehmen personenbezogene Daten erhebt, verarbeitet oder nutzt. Das können Kunden, eigene MitarbeiterInnen, MitarbeiterInnen der Geschäftspartner und viele mehr sein. Jeder hat das Recht, Auskunft bei einem Unternehmen zu verlangen. Und hier bestätigt es sich, ob das gegebene Werteversprechen „Datenschutz und Datensicherheit” greift. Wenn jemand Auskunft verlangt, soll er diese auch prompt und zuverlässig erhalten.

  • Führen des Verfahrensverzeichnisses und des Jedermannverzeichnisses

Der bDSB führt das seitens der verantwortlichen Stelle (das Unternehmen) zu erstellende Verfahrensverzeichnis, welches alle IT-gestützten Geschäftsprozesse einschließlich der technisch-organisatorischen Maßnahmen dokumentiert. und macht dies in Form eines Jedermannverzeichnisses für alle zugänglich. Hierüber kann sich ein Dritter einen Eindruck verschaffen, wie das Unternehmen mit automatisierten Verfahren und der Datenverarbeitung insgesamt umgeht. In der Datenschutzgrundverordnung (DS-GVO) wird dieses Dokument als „Verzeichnis der Verarbeitungsaktivitäten“ weitergeführt werden müssen. Das Jedermannverzeichnis entfällt künftig.

Aus Sicht der Unternehmensführung hat dieses Verfahrensverzeichnis ebenso eine wichtige Bedeutung. Kann sie doch mit dem Erstellen und Pflegen eines solchen Verzeichnisses einen rechtskonformen Umgang bei neuen IT-Projekten sicherstellen.

  • Regelmäßige Kontrollen der technisch-organisatorischen Maßnahmen (TOM)

Zur wirksamen Umsetzung von Datenschutz und Datensicherheit muss das Unternehmen angemessene technische und organisatorische Maßnahmen (Funktionstrennung, Rechtekonzept, Umgang mit Datenträgern u. v. m.) ergreifen. Der bDSB muss diese TOMs regelmäßig kontrollieren.

Aus Sicht der Unternehmensleitung sind die Ergebnisse solcher Kontrollen steuerungsrelevant und somit mehr als nützlich.

  • Durchführen von Vorabkontrollen

Bei bestimmten risikoreichen Datenverarbeitungen ist eine besondere interne Kontrolle vorzunehmen. Die Vorabkontrolle soll zeitlich vor der Inbetriebnahme stattfinden und beinhaltet eine Prüfung durch den bDSB, ob besondere Risiken für die Rechte und Freiheiten der Betroffenen gegeben sind. 

Sensible und risikoreiche Verfahren sind z. B. umfassende Personalinformationssysteme, Videoüberwachungen, GPS-Ortungen, etc.

Aus Sicht der Unternehmensleitung sind dies wertvolle Hinweise für die Steuerung entsprechender IT-Projekte.

  • Hinwirken auf eine datenschutzkonforme Aufbau- und Ablauforganisation des Unternehmens

Ein bDSB ist nicht für eine rechtskonforme Aufbau- und Ablauforganisation verantwortlich, er soll auf diese in verschiedenster Weise (siehe u. a. oben) hinwirken. Das erfolgt z. B. durch Mitwirken bei der Entwicklung von Richtlinien und Vereinbarungen, bei der Umsetzung von Auftragsdatenverarbeitungen u. v. m.

In der Regel erlangt der bDSB über die Zeit eine wertvolle Methodenkompetenz (konzeptionelles Arbeiten, Instrumenten-Know-how für Projektsteuerung, etc.), die in vielerlei Hinsicht nützlich für das Unternehmen sein kann.

Wie Sie sehen, unterliegt auch der betriebliche Datenschutzbeauftragte in seiner Rolle und Funktion vor dem Hintergrund der stetig steigenden Digitalisierung einer Veränderung der Wahrnehmung. Wie wir meinen, zu Recht.

Wenn Sie weiteren Informationsbedarf hierüber haben, wenden Sie sich an uns. Auch vor dem Hintergrund, dass der betriebliche Datenschutzbeauftragte ein externer Dritter sein kann.

Hannes Hahn und Nicole Schmidt

Links:

http://www.datenschutzassistent.de/
http://www.roedl.de/themen/cyber-sicherheits-check-hilft-eigene-position-zu-bestimmen
http://www.roedl.de/themen/penetrationstest-cyber-sicherheit