Braucht Ihr Unternehmen einen Datenschutzbeauftragten?
Wir starten das Jahr mit einer Thematik, die regelmäßig für Verwirrung sorgt. Zugegeben, das BDSG ist selbst für Juristen eine Herausforderung. Verweisungen, undefinierte Rechtsbegriffe, besonders viele Schachtelsätze, diverse Absätze und Aufzählungen lassen einen schnell den Überblick verlieren.
Dennoch sind diese gesetzlichen Regelungen zum Umgang mit personenbezogenen und sonstigen Daten unerlässlich, heute mehr denn je. Nur, was verbirgt sich hinter der Thematik "Datenschutzbeauftragter"? Das verraten wir Ihnen hier:
Dennoch sind diese gesetzlichen Regelungen zum Umgang mit personenbezogenen und sonstigen Daten unerlässlich, heute mehr denn je. Nur, was verbirgt sich hinter der Thematik "Datenschutzbeauftragter"? Das verraten wir Ihnen hier:
Die rechtlichen Anforderungen an den Umgang mit Daten sind gestiegen. Klar, denn nichts ist heute einfacher, als Daten zu erheben, zu speichern, zu verarbeiten, weiterzuleiten etc.
Der Gesetzgeber verfolgt durch Verabschiedung entsprechender Gesetze das Ziel, das informationelle Selbstbestimmungsrecht der betroffenen Personen bestmöglich zu schützen. Die Regelungen zur Datenverarbeitung finden sich zum einen im BDSG = Bundesdatenschutzgesetz, aber auch in Fachgesetzen mit speziellen datenschutzrechtlichen Regelungen.
Es gibt auch Länder-Datenschutzgesetze, wobei das Berliner Datenschutzgesetz etwa nur auf die Datenverarbeitung durch Behörden oder sonstige öffentliche Stellen des Landes Berlin Anwendung findet und für nicht-öffentliche Stellen mit Sitz in Berlin das BDSG die maßgeblichen Regelungen enthält. Wer sich in diesem Bereich bewegt, muss daher zunächst wissen, was er prüft und welches Gesetz einschlägig oder spezieller sein könnte, als ein anderes.
Der „Datenschutzbeauftragte“ wurde erschaffen, um dafür Sorgen zu tragen, dass das jeweilige Unternehmen die datenschutzrechtlichen Anforderungen erfüllt.
Hier stellt sich aber im Vorfeld, gerade für kleinere Betriebe, zunächst die Frage, ob die Bestellung eines Datenschutzbeauftragter nach dem BDSG überhaupt erforderlich ist.
Denn: Der Datenschutzbeauftragte darf intern nicht einfach nur benannt werden, getreu nach dem Motto: "Frau XY ist ab heute unsere Datenschutzbeauftragte, herzlichen Glückwunsch." Der Datenschutzbeauftragte muss ausgebildet und geschult werden. Er muss nachweisen können, im Sinne des BDSG im Umgang mit den maßgeblichen Daten geschult zu sein. Diese Ausbildung kostet Geld. Und wer sich den Datenschutzbeauftragten extern organisiert und das Thema auf Dritte verlagert, bekommt hierfür sicherlich auch eine Rechnung gestellt. Zu fragen ist daher zunächst, ob die Beschäftigung eines Datenschutzbeauftragten überhaupt erforderlich ist.
Es können also sowohl interne als auch externe Personen zum
Datenschutzbeauftragten ernannt werden. Wichtig aber, insbesondere bei
der Bestellung eines internen Datenschutzbeauftragten ist, dass dieser in
keinem Interessenkonflikt zum Unternehmen oder seinen sonstigen Tätigkeiten im Unternehmen steht und es eine klare Trennung der Aufgabenbereiche gibt.
Daher sind Mitglieder der Unternehmensleitung von der Ernennung zum Datenschutzbeauftragten ausgeschlossen.
Besonderer Kündigungsschutz
Achtung: Der Datenschutzbeauftragte steht unter besonderem Kündigungsschutz. Insbesondere kann nur unter den Voraussetzungen des § 626 BGB fristlos gekündigt werden. Auch nach der Beendigung der Tätigkeit als Datenschutzbeauftragter ordnet § 4 f Abs. 3 Satz 6 BDSG einen besonderen Kündigungsschutz für die Dauer von einem Jahr an. Somit sollte die Auswahl des Datenschutzbeauftragten mit Bedacht erfolgen!
Voraussetzung für die Pflicht zur Ernennung eines Datenschutzbeauftragten ist zunächst, dass in dem Unternehmen „personenbezogene Daten“ verarbeitet werden. Gemäß § 3 Abs. 1 BDSG sind das Daten, die sich auf die persönlichen oder sachlichen Verhältnisse einer bestimmten oder bestimmbaren Person beziehen, also etwa (aber nicht abschließend):
Name, Anschrift, Familienstand, Staatsangehörigkeit, Konfession, Beruf, Erscheinungsbild oder Gesundheitszustand.
Diese Daten müssten durch Ihr Unternehmen aber auch "verarbeitet" werden. Verarbeitet werden Daten, wenn diese gespeichert, verändert, übermittelt, gesperrt oder gelöscht werden.
Wird eine Datenverarbeitung im Unternehmen durchgeführt, findet das BDSG grundsätzlich Anwendung. Dies bedeutet aber noch nicht, dass auch ein Datenschutzbeauftragter bestellt werden muss.
Die Pflicht zur Ernennung eines Datenschutzbeauftragten ergibt sich nur in folgenden Fällen:
Nach § 4 f Abs.1 Satz 4 BDSG ist eine nicht-öffentliche Stelle, die „in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt“ von der Verpflichtung einen Datenschutzbeauftragten zu bestellen, befreit. Werden die Daten nicht automatisiert verarbeitet, ergibt sich Verpflichtung erst ab 20 Beschäftigten.
Eine automatisierte Datenverarbeitung liegt vor, wenn die Daten unter dem Einsatz von Datenverarbeitungsanlagen (insb. EDV-Anlagen, modernen Mobiltelefonen, Videoanlagen mit Aufzeichnungen u.a.) erfasst werden.
Zu den Beschäftigten zählen gem. § 3 Abs. 11 BDSG nicht nur Festangestellte, sondern auch Leiharbeitnehmer, Auszubildende, Praktikanten, Freiwillige sowie der Geschäftsführer selbst. Die Beschäftigung mit der Verarbeitung der Daten muss nicht die Hauptaufgabe dieser Personen sein, sie müssen aber für diese Aufgabe vorgesehen sein und diese immer dann wahrnehmen, wenn sie anfällt. Eine zeitweise Überschreitung der Grenze ist unerheblich, sind jedoch dauerhaft mehr als 9 Personen mit der Datenverarbeitung beschäftigt, so muss innerhalb eines Monats ein Datenschutzbeauftragter bestellt werden (§ 4f Abs. 1 Satz 2 BDSG).
Daneben gibt es spezielle Konstellationen, in denen die Bestellung eines Datenschutzbeauftragten unabhängig von der Zahl der beschäftigten Personen erforderlich ist (§ 4 f Abs. 1 Satz 6 BDSG). Ausnahmen können sich zum Beispiel ergeben, wenn „besondere Arten personenbezogener Daten“ im Sinne des § 3 Abs. 9 BDSG (Daten, die im Zusammenhang mit der politischen Überzeugung, Konfession, Gesundheit stehen) Gegenstand der Verarbeitung sind oder wenn die Daten zum Zweck der Markt- oder Meinungsforschung automatisiert verarbeitet werden.
Rechtsfolgen bei Verstoß gegen das BDSG
Für Verstöße gegen datenschutzrechtliche Regeln ist das Unternehmen gem. § 43 BDSG selbst verantwortlich.
Verstöße werden mit bis zu 300.000 € Bußgeld pro Verstoß geahndet.
Hat die Geschäftsleitung den Datenschutzbeauftragten nicht mit der erforderlichen Sorgfalt ausgesucht oder geschult, so haftet die Geschäftsleitung unmittelbar gegenüber dem Unternehmen.
Sie sehen, die Regeln, wann ein Datenschutzbeauftragter zu bestellen ist, sind umfangreich, und es gibt in Sachen Datenschutz viele Ausnahmen von der Ausnahme.
Gerne hätten wir Ihnen eine Check-Liste zur Verfügung gestellt, anhand derer Sie ganz entspannt durchprüfen können, ob Ihr Unternehmen einen Datenschutzbeauftragten bestellen muss, oder nicht. Die gesetzlichen Ausnahmetatbestände sind hierfür jedoch zu umfangreich und das Risiko, das Ihr Unternehmen doch unter die ein oder andere Ausnahme fällt, zu hoch.
Daher prüfen wir die Voraussetzungen nach dem Bundesdatenschutzgesetz für jedes Unternehmen gesondert und möchten auch Ihnen empfehlen, sich nicht auf Checklisten zu verlassen, sondern einen Anwalt Ihres Vertrauens mit dieser Prüfung zu beauftragen.
In diesem Sinne wünschen wir einen erfolgreichen Start in das Jahr 2016.
law. by adesse.
Kontakt: office@adesse-anwaelte.de | Tel.: 030 / 34 74 34 100
Keine Kommentare:
Kommentar veröffentlichen