Datenschutz

Wenn Ihr Unternehmen personenbezogene Daten automatisiert erhebt, verarbeitet oder nutzt, besteht für Sie die Verpflichtung, bei diesen Arbeiten die Einhaltung des Bundesdatenschutzgesetzes (BDSG) sowie anderer Vorschriften über den Datenschutz sicherzustellen.

Für viele Unternehmen resultiert aus dem § 4f des Bundesdatenschutzgesetzes (BDSG) die Pflicht zur Bestellung eines Datenschutzbeauftragten, der auf die Einhaltung der Bestimmungen des Bundesdatenschutzgesetzes (BDSG) hinzuwirken hat.

Im Rahmen meiner Tätigkeit als DEKRA-zertifizierte Fachkraft für Datenschutz unterstütze ich Sie als externer betrieblicher Datenschutzbeauftragter bei der Erfüllung dieser Verpflichtung.

Qualifikation

Welche Kenntnisse und Fähigkeiten muss ein betrieblicher Datenschutz haben?

An betriebliche Datenschutzbeauftragte werden hohe Anforderungen gestellt. Neben der persönlichen Zuverlässigkeit muss der Datenschutzbeauftragte auch die Fachkunde zum Thema Datenschutz in geeigneter Weise nachweisen.

Die Anforderungen an die Fachkunde eines Datenschutzbeauftragten wurden vom Landgericht Ulm näher definiert. Das Gericht stellte in seinem Urteil (Az.: 5T 153/90-01 LG Ulm) fest, dass insbesondere an die Fachkunde hohe Anforderungen gestellt werden.

Das Gericht führte aus, dass Datenschutzbeauftragte Computerexperten sein sollen Außerdem sollten Datenschutzbeauftragte die Anwendung der Vorschriften der Datenschutzgesetze des Bundes und der Länder sowie alle anderen den Datenschutz betreffenden Rechtsvorschriften beherrschen.

Eine Möglichkeit zum Nachweis der geforderten Fachkunde ist die Dekra-Zertifizierung als „Fachkraft für Datenschutz“. Die zeitlich begrenzte Zertifizierung kann durch regelmäßige Nachprüfungen oder durch den Nachweis von Weiterbildungen verlängert werden.

Zertifizierungsstelle:

DEKRA Certification GmbH, Handwerkstr. 15, 70565 Stuttgart.

Die für die Zertifizierung vorausgesetzte Fachkunde wird unter http://www.dekra-personenzertifizierung.de/de/fachkraft-datenschutz genauer definiert. Dazu gehören unter anderem:

  • Grundlagen des Datenschutzes
  • IT-Sicherheit und Datenschutz: Vorgaben des Systemdatenschutzes, technisch-organisatorische Maßnahmen, Angemessenheit von Maßnahmen
  • IT-Grundschutz des BSI, Informationssicherheits-Management, Zertifizierung
  • Verschlüsselung von Informationen
  • Grundlagen Recht
  • Rechte der Betroffenen
  • Meldepflichten und Verfahrensverzeichnis

 

Gesetzliche Verpflichtung

Welche Unternehmen benötigen einen betrieblichen Datenschutzbeauftragten?

Unternehmen sind laut Bundesdatenschutzgesetz (BDSG) immer dann verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen, wenn sie bei der automatisierten Datenverarbeitung mindestens 10 Personen oder bei der Verarbeitung auf andere Weise (manuelle Verfahren) mindestens 20 Personen beschäftigen.

Nicht öffentliche Stellen (also Unternehmen) müssen außerdem in jedem Fall einen betrieblichen Datenschutzbeauftragten bestellen, wenn sie automatisierte Datenverarbeitungen vornehmen, die wegen besonderer Sensitivität der Verpflichtung zur Vorabkontrolle (vgl. § 4d Abs. 5 BDSG) unterliegen.

Unternehmen, die personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung oder der anonymisierten Übermittlung erheben, verarbeiten oder nutzen, sind ebenfalls grundsätzlich verpflichtet, einen Datenschutzbeauftragten zu bestellen.

Der betriebliche DSB ist innerhalb einer Frist von einem Monat nach Aufnahme der Tätigkeit der nicht öffentlichen Stelle zu bestellen. Wird der Datenschutzbeauftragte vorsätzlich oder fahrlässig nicht oder nicht rechtzeitig bestellt, so stellt dies eine Ordnungswidrigkeit dar, die mit einer Geldbuße geahndet werden kann.

Aufgaben

Was sind die Aufgaben des betrieblichen Datenschutzbeauftragten?

Die Aufgaben des betrieblichen Datenschutzbeauftragten sind im §4g Bundesdatenschutzgesetz (BDSG) definiert – diese sind unter anderem:

  • Hinwirken auf die Einhaltung des Bundesdatenschutzgesetzes (BDSG) und anderer Vorschriften über den Datenschutz
  • Überwachung der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen, mit deren Hilfe personenbezogene Daten verarbeitet werden
  • Unterweisung zum Thema Datenschutz für Personen, die an der Verarbeitung personenbezogener Daten beteiligt sind
  • Verfahrensverzeichnis zur Verfügung stellen

Vergleich

Ist ein interner oder ein externer betrieblicher Datenschutzbeauftragter für Ihr Unternehmen sinnvoller?

Die gesetzeskonforme Bestellung eines betrieblichen Datenschutzbeauftragten aus den Reihen der eigenen Belegschaft ist für viele Unternehmen schwierig umzusetzen. Bettina Sokol (Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen) kommentierte das Problem im 17. Datenschutzbericht wie folgt:

„Grundsätzlich ist die Möglichkeit für die Bestellung externer Beauftragter […] oft eine praktikable Lösung, da sie häufig selbst nicht über Personal verfügen, das die für Datenschutzbeauftragte erforderliche fachliche Eignung hat. Hier kann eine externe Person, die mehrere ähnlich strukturierte Unternehmen betreut, kostengünstiger und fachlich qualifizierter arbeiten.“

Unternehmen haben also die Wahl, einen internen Mitarbeiter oder einen externen Dienstleister zum betrieblichen Datenschutzbeauftragten zu bestellen.

externer Datenschutzbeauftragter interner Datenschutzbeauftragter
Zertifizierte Fachkunde – sofort nach Bestellung einsatzbereit Weiterbildungsmaßnahmen zur Erlangung der erforderlichen Fachkunde sind zeit- und kostenintensiv
Unternehmensressourcen werden nicht gebunden interne Datenschutzbeauftragte können Ihrer Hauptbeschäftigung nicht mehr zu 100% nachgehen
Keine Kosten für vorgeschriebene Weiterbildung Kosten für Fort-und Weiterbildung müssen vom Arbeitgeber übernommen werden
Einarbeitung in die Betriebsabläufe erforderlich Betriebsabläufe sind bekannt
Vereinbarung zur Abberufung bzw. Kündigung der Bestellung wird vertraglich festgelegt Abberufung kann nur aus wichtigen Gründen erfolgen (§4f Abs. 3 Satz 4 / §626 BGB),  Kündigungsschutz von 1 Jahr nach Abberufung
Relevante Erfahrungen zum Thema Datenschutz aus anderen Unternehmen und Branchen Datenschutz ist oft ein vollkommen neues Fachgebiet für interne Mitarbeiter
Der Betriebsrat hat kein Mitbestimmungsrecht bei der Bestellung eines externen Datenschutzbeauftragten Der Betriebsrat kann auf die Bestellung des internen Datenschutzbeauftragten  aufgrund seines Mitbestimmungsrechtes Einfluss nehmen (§99 BetrVG)
Neutrales Auftreten gegenüber Betroffenen (z.B. Kunden, Mitarbeiter) und Aufsichtsbehörden Durch die eigene Mitarbeit im Unternehmen wird die Neutralität oft angezweifelt.

Weitere Informationen

Bundesdatenschutzgesetz (BDSG):

http://www.bfdi.bund.de/bfdi_wiki/index.php/Bundesdatenschutzgesetz

Informationen der IHK Frankfurt zum Thema Datenschutz:

http://www.frankfurt-main.ihk.de/recht/themen/arbeitsrecht/datenschutzbeauftragter/

Tobias Modrey

Fachkraft für Datenschutz

Zertifiziert durch die DEKRA Certification GmbH unter der Register-Nr.: PC14901-285

Profitieren Sie von meiner langjährigen Erfahrung im Bereich Datenschutz.
Als externer betrieblicher Datenschutzbeauftragter helfe ich Ihnen gern bei der effizienten Umsetzung der Vorgaben des Bundesdatenschutzgesetzes.

Bitte kontaktieren Sie mich per E-Mail unter datenschutz@mo3.de oder telefonisch unter:

06002 34295120

 

Verbands-Mitgliedschaften:

VEGS-eV
Verband Europäischer Gutachter & Sachverständiger (VEGS) e. V.
Register-Nr.: 991380

 

Meine weiteren Qualifikationen:

EDV Sachverständiger für Systeme und Anwendungen
(DEKRA-zertifiziert)

IT-Forensic-Analyst spezialisiert auf Windows Betriebssysteme
(DEKRA-zertifiziert)

IT-Forensic-Analyst spezialisiert auf Mobile Devices
(DEKRA-zertifiziert)