Bestellung des Datenschutz-Profis

Der Datenschutzbeauftragte wird durch das Unternehmen schriftlich bestellt. Von Gesetzes wegen muss dies innerhalb einer Frist von einem Monat nach Aufnahme der Geschäftstätigkeit geschehen. Ansonsten drohen dem Unternehmen empfindliche Geldbußen von bis zu 50.000 Euro.

Das Bundesarbeitsgericht hat in einer Grundsatzentscheidung bereits im November 1997 festgestellt (AZ 1 ABR 21/97), dass der betriebliche Datenschutzbeauftagte der Arbeitgeberseite zuzuordnen ist. Die Unternehmensleitung muss aus diesem Grund einen eventuell vorhandenen Betriebsrat bei der Bestellung des Datenschutzbeauftragten nicht miteinbeziehen.

Der Datenschutzbeauftragte darf für die ordnungsgemäße Wahrnehmung seiner Tätigkeit nicht den Abteilungen unterstehen, die er gleichzeitig zu kontrollieren hat. Daher legt das Bundesdatenschutzgesetz in §4f Abs. 3 fest, dass der Beauftragte für den Datenschutz der Leitung unmittelbar zu unterstellen ist. Hierfür bietet sich die Schaffung einer Stabsstelle an, die der Geschäftsführung oder dem Vorstand untersteht. Das Gesetz legt auch fest, dass der Beauftragte in Ausübung seiner Datenschutztätigkeit weisungsfrei ist.

Zudem stärkt ein besonderer Kündigungsschutz die Aufgaben des Datenschutzbeauftragten: Eine Kündigung ist nur zulässig, wenn Gründe für eine fristlose Kündigung vorliegen, etwa Betrug oder Arbeitsverweigerung. Hinzu kommt ein Kündigungsschutz für den Zeitraum eines Jahres nach Beendigung der Arbeit als Datenschutzbeauftragter.

Einen wesentlichen Teil der Arbeit des Datenschutzbeauftragten ist die Kontrolle der Einhaltung gesetzlicher Vorgaben: Gemäß §4g des Bundesdatenschutzgesetzes sorgt der Beauftragte für Datenschutz für die Einhaltung der Gesetze und Vorschriften für den Datenschutz im Unternehmen. Die vorrangige Aufgabe ist dabei die Beratung der entsprechenden Abteilungen. Dabei steht es dem Beauftragten frei, wann und in welcher Form er entsprechende Kontrollen durchführt. Neben dem Nachgehen von Beschwerden, die Anlass für eine gezielte Kontrolle sind, müssen auch regelmäßige Kontrollen stattfinden. Hierzu sollte ein Unternehmen dem Datenschutzbeauftragten unter anderem nicht nur Zugang zum Rechenzentrum gewähren, sondern auch alle Unterlagen zur Verfügung stellen, die mit der Verarbeitung personenbezogener Daten in Zusammenhang stehen.

Eine besondere Aufgabe des Datenschutzbeauftragten ist die sogenannte Vorabkontrolle. §4d Abs. 5 des Bundesdatenschutzgesetzes regelt, wann eine solche Vorabkontrolle notwendig ist: „Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle).“ Das ist zum Beispiel dann der Fall, wenn die Verarbeitung der personenbezogenen Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten, etwa seine Fähigkeiten oder sein Verhalten. Die Vorabkon­trolle prüft bereits vor Beginn der Datenverarbeitung, ob die geplante Verarbeitung der personenbezogenen Daten rechtlich gedeckt ist. Zudem sind auch die Risikofaktoren für einen Missbrauch der Daten zu ermitteln.

Die IT-Abteilung sollte darüber hinaus bereits bei der Planung neuer Systeme auf die Expertise des Datenschutzverantwortlichen zurückgreifen und ihn bei der Beschaffung von Hard- und Software beratend hinzuziehen. So kann dieser sicherstellen, dass bei der Auswahl der Systeme darauf geachtet wird, dass so wenig personenbezogene Daten wie möglich erhoben werden.