Jede Firma braucht einen Datenschutz-Profi

Deutschland hat mit die strengsten Datenschutzgesetze weltweit. Diese Gesetze regeln auch, wie Unternehmen mit Daten umzugehen haben und wann sie einen sogenannten Datenschutzbeauftragten brauchen.

Die meisten Unternehmen sind sich darüber im Klaren, dass sie verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, der über die Einhaltung der Datenschutzgesetze wacht. Doch häufig ist weniger klar, welche konkreten Aufgaben und Pflichten der Datenschutzbeauftragte zu erfüllen hat. Oft wird nur pro forma ein entsprechender Mitarbeiter als Datenschutzwächter abgestellt, um den gesetzlichen Vorgaben Genüge zu tun.

So gut wie jedes Unternehmen in Deutschland, das irgendwelche personenbezogenen Daten verarbeitet, braucht einen Datenschutzbeauftragten. Das regelt das Bundesdatenschutzgesetz (BDSG). Es findet für alle Unternehmen Anwendung, die „Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben“ (§1 Abs. 2 Nr. 3).

§4f Abs. 1 legt in den oben genannten Fällen fest, „nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen.“ Zu Unternehmen, sogenannten nicht-öffentlichen Stellen, gehören juristische Personen wie GmbHs oder Aktiengesellschaften, Personengesellschaften wie eine GbR oder OHG, nicht rechtsfähige Vereinigungen wie Gewerkschaften sowie natürliche Personen wie Ärzte.

Ausgenommen von der Pflicht eines eigenen Datenschutzbeauftragten sind lediglich kleine Unternehmen, in denen weniger als zehn Personen ständig mit der automatisierten Verarbeitung, Nutzung oder Erhebung personenbezogener Daten beschäftigt sind oder weniger als 20 Mitarbeiter auf andere Weise, etwa manuell, damit befasst sind.

Grundsätzlich kann jeder Mitarbeiter eines Unternehmens Datenschutzbeauftragter werden. Das Gesetz legt lediglich fest, dass der betreffende Mitarbeiter eine ausreichende Fachkunde und Zuverlässigkeit mitzubringen hat. Fachkunde bedeutet, dass der Mitarbeiter die gesetzlichen Regeln kennt und anwenden kann. Dazu gehören die Grundrechte mit Datenschutzbezug, das Bundesdatenschutzgesetz sowie etwaige einschlägige Regelungen für die Branche, in der ein Unternehmen tätig ist.

Falls dem bestellten Datenschutzbeauftragten diese Kenntnisse fehlen, muss der Arbeitgeber diesem laut BDSG §4f Abs. 3 die Möglichkeit zur Teilnahme an entsprechenden Fortbildungen gewähren: „Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde hat die verantwortliche Stelle dem Beauftragten für den Datenschutz die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen.“

Ebenfalls möglich ist die Bestellung eines externen Datenschutzbeauftragten. Klassischerweise ist das ein Anwalt. Der Vertrag mit ihm sollte so gestaltet sein, dass der Beauftragte seine Aufgaben unabhängig erfüllen kann. Gewährleistet sein müssen unter anderem Haftungsfreistellungen und Dokumentationspflichten.