Jeder Geschäftsbetrieb, der mehr als vier Mitarbeiter mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt, ist gesetzlich verpflichtet, einen Datenschutzbeauftragten zu benennen. Dabei hat das Unternehmen die Wahl, ob es einen externen oder einen internen Datenschutzbeauftragten einschaltet. Je nach Größe des Unternehmens wird sich dabei der Datenschutzbeauftragte seinen Aufgaben in Vollzeit oder in Teilzeit widmen können.
Ein externer Datenschutzbeauftragter ist für kleine Unternehmen gedacht, die über kein entsprechendes Know-how verfügen. Ein interner Datenschutzbeauftragter hingegen ist immer im Unternehmensgeschehen.
Das Gesetz verlangt, dass der Datenschutzbeauftragte neben dem bereits beschriebenen Know-how auch über die zur Erfüllung seiner Aufgaben erforderliche "Zuverlässigkeit" verfügt. Man kann also nicht einen Mitarbeiter benennen, der bereits durch Unzuverlässigkeit aufgefallen ist. Oftmals wird das Amt des Datenschutzbeauftragten nur nebenamtlich von einem Mitarbeiter ausgeführt. Für diesen Fall ist darauf zu achten, dass keine Interessenkollision vorliegt. Daher sind die Geschäftsführung, der Leiter der IT, der Personalleiter oder bei Direktvertrieb der Vertriebsleiter für das Amt ungeeignet.
Ein Datenschutzbeauftragter sollte immer schriftlich bestellt werden, in dieser schriftlichen Bestellung muss der Datenschutzbeauftragte auf seine Verschwiegenheitspflicht hingewiesen werden und zum Datenschutzgeheimnis verpflichtet werden.
Ein Datenschutzbeauftragter ist weisungsfrei in Bezug auf die Ausübung seiner Kontroll- und Beratungstätigkeit. Die Geschäftsführung ist verpflichtet ihn bei seinen Aufgaben zu unterstützen. Allerdings hat der Datenschutzbeauftragte keine Entscheidungsbefugnisse, was z.B. die Umsetzung gewisser Maßnahmen betrifft.
Welche Aufgaben hat der Datenschutzbeauftragte?
Insgesamt empfiehlt es sich dem Datenschutzbeauftragten eine Stellenbeschreibung an die Hand zu geben, die seine gesetzlichen Aufgaben konkretisiert und ihm eventuell darüber hinausgehende, aber im sachlichen Zusammenhang stehende Aufgaben zuweist:
Überwachungspflicht Vorabkontrolle Schulungen Öffentliches Verfahrensverzeichnis Beratung über technische und organisatorische Maßnahmen
Zu den weiteren Aufgaben kann gehören:
- Aufbau einer internen Datenschutzorganisation
- Beratungspflichten
- Verpflichtung der Mitarbeiter auf das Datengeheimnis gemäß § 5 BDSG
- Vertretung des Unternehmens nach außen gegenüber den jeweiligen externen Stellen in Fragen des Datenschutzes, Koordinierungsfunktion
- Durchführung von erforderlichen Meldungen gegenüber der Behörde
- Mitwirkung bei der datenschutzkonformen Gestaltung von Formularen und Verträgen
- Erarbeitung und Pflege von internen Richtlinien
- Verpflichtung zur regelmäßigen Berichterstattung an die Geschäftsführung
- Durchführung von regelmäßigen Audits
- Verbandsarbeit
Grundsätzlich sind Unternehmen gemäß § 4d (1) BDSG verpflichtet, ihre "automatisierten Verarbeitungen" bei der zuständigen Aufsichtsbehörde anzumelden, bevor sie diese in Betrieb nehmen. Die meldepflichtigen Angaben ergeben sich dabei aus § 4e Satz 1 BDSG. Die Angaben der Meldung führt die Aufsichtsbehörde in einem für jedermann einsehbaren Register - auch bekannt als "Jedermann- Verfahrensverzeichnis".
Hat ein Unternehmen einen Datenschutzbeauftragten bestellt, entfällt diese Meldepflicht in der Regel. Allerdings erlöst dies das Unternehmen nicht davon, die meldepflichtigen Angaben dennoch zu erheben und zu dokumentieren. Zum einen ist das Unternehmen verpflichtet, dem Datenschutzbeauftragten für seine tägliche Arbeit eine Übersicht zu machen, mit den Angaben, die sonst an die Aufsichtbehörde gemeldet werden müssen. Diese Übersicht soll es dem Datenschutzbeauftragten ermöglichen, die Rechtmäßigkeit der Verarbeitung der Daten zu kontrollieren und besondere Risiken zu erkennen.
Ein "Jedermann-Verfahrensverzeichnis" muss folgende Angaben enthalten:
- Name oder Firma der verantwortlichen Stelle
- Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen
- Anschrift der verantwortlichen Stelle
- Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung
- Beschreibung der betroffenen Personengruppen, Daten oder Datenkategorien
- Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können
- Regelfristen für die Löschung der Daten
- eine geplante Datenübermittlung in Drittstaaten
Ein internes Verfahrensverzeichnis sollte darüber hinaus insbesondere Informationen zu technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten liefern, außerdem Angaben über zugriffsberechtigte Personen, sowie genauere Daten zum Standort der jeweiligen Datenverarbeitung. Zudem eventuelle Ansprechpartner am Ort, die Beschreibung der eingesetzten Hard- und Software und Angaben zum Stand der Planungen im Falle eines neu einzuführenden Verfahrens.
Selbstverständlich stehen wir Ihnen auch gerne persönlich bei Fragen zu den o.g. Informationen zur Verfügung.
Ihr Team bei Gerald Spies - PC Systeme und Netzwerke
Gerald Spies PC-Systeme und Netzwerke Wir bei Gerald Spies PC-Systeme und Netzwerke bieten Ihnen die passende Lösung rund um Ihren Personalcomputer. - Und natürlich auch den!
