02.02.2012 | IT-Recht und Datenschutz
Unternehmen, die in der Regel mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, haben einen Datenschutzbeauftragten schriftlich zu bestellen, § 4f Abs. 1 S. 4 BDSG. Dies ist vielen Unternehmen nicht bekannt. Das Gleiche gilt übrigens, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind.
Unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen haben Unternehmen einen Datenschutzbeauftragten zu bestellen, wenn
- besondere Arten personenbezogener Daten verarbeitet werden, also Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, oder
- die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten, einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens,
es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist, oder
- personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeitet werden.
Anzahl der mit der Verarbeitung personenbezogener Daten beschäftigter Personen
Die Pflicht zur Bestellung eines Datenschutzbeauftragten gilt für Unternehmen, die in der Regel mehr als neun, also mindestens zehn, Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person, § 3 Abs. 1 BDSG. Werden die Daten nicht automatisiert verarbeitet, liegt die Schwelle bei 20 Personen. Dies gilt nur, soweit nicht die im ersten Absatz genannten Umstände mit besonderem Gefährdungspotenzial für das Persönlichkeitsrecht der Betroffenen die Mindestbeschäftigtenschwellen ganz entfallen lassen.
Doch wann sind diese Personen „in der Regel“ damit „ständig“ beschäftigt? Das bedeutet, dass nach der Unternehmensorganisation gewöhnlich zehn bzw. 20 Personen zur Verarbeitung auch personenbezogener Daten eingeteilt sind und stets dann diese Aufgabe wahrzunehmen haben, wenn sie anfällt, unabhängig davon, wie hoch der Anteil an der Gesamttätigkeit ist. Unerheblich ist auch, mit welchem Stadium der Datenverarbeitung die Personen betraut sind, selbst vor- oder nachbereitende Tätigkeiten genügen. Auch die bloße Nutzung, also etwa Anzeige am Bildschirm mit entsprechendem Zugriffsrecht, reicht aus. Auf die Beschäftigungsform kommt es nicht an. So können auch freie Mitarbeiter, geringfügig Beschäftigte, Praktikanten oder Auszubildende hinzuzählen. Mitarbeiter anderer Unternehmen, die die Daten „im Auftrag“ weiterverarbeiten, brauchen aber nicht mitgezählt zu werden. Auch Vorgesetzte, die lediglich überwachen, aber am Datenverarbeitungsprozess nicht beteiligt sind, zählen nicht mit.
Bestellung eines Datenschutzbeauftragten
Sind die Voraussetzungen gegeben, ist binnen eines Monat ein Datenschutzbeauftragter zu bestellen. Die Bestellung muss schriftlich erfolgen und erfordert eine Vereinbarung, also ein von beiden Seiten unterzeichnetes, gesondertes Dokument.
Person des Datenschutzbeauftragten
Zum Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Zur Fachkunde gehören jedenfalls Grundkenntnisse des Datenschutzrechts, der relevanten, innerbetrieblichen Abläufe sowie der Technik und des Verfahrens der Datenverarbeitung. Dazu kann ein Mitarbeiter des Unternehmens etwa durch Fortbildung geschult werden.
Zum Datenschutzbeauftragten kann aber auch eine unternehmensexterne natürliche Person bestellt werden. Dies kann zum einen den Vorteil haben, dass bei berufsmäßig im Datenschutz tätigen Personen die notwendige Fachkunde durch regelmäßige Tätigkeit geschult wird und Erfahrungen aus anderen Unternehmen genutzt werden können. Zum anderen spielt bei Externen der zusätzliche Kündigungsschutz des Datenschutzbeauftragten keine Rolle, dessen Arbeitsverhältnis sonst bis ein Jahr nach Beendigung der Bestellung nur aus wichtigem Grund gekündigt werden könnte. Einem solchen externen Datenschutzbeauftragten müssen freilich zur Wahrnehmung seiner Aufgaben genügend Ansprechpartner im Unternehmen und, falls erforderlich, Hilfspersonal zur Verfügung stehen.