Eine Abmahnung kann im Internet fast jeden treffen, aus unterschiedlichsten Gründen und wegen der …
Datenschutzbeauftragter Aufgaben
Aufgaben des DatenschutzbeauftragtenDatenschutzbeauftragter des Unternehmens - Welche Aufgaben hat er?
Den meisten Firmen ist bekannt, dass Sie dazu gezwungen sind, einen Beauftragten für den Schutz Ihrer Daten zu benennen. Die mit dieser Position verbundenen spezifischen Aufgaben sind jedoch für viele Firmen und sogar für den zuständigen Beauftragten für den Schutz personenbezogener Daten oft nicht ersichtlich. 4g I 1 BDSG schreibt vor, dass der Beauftragte für den Schutz personenbezogener Daten auf die Beachtung des BDSG und anderer datenschutzrechtlicher Bestimmungen hinzuwirken hat.
Denn der Beauftragte für den Datenschutz kann die Datenschutzbestimmungen nicht selbst umsetzen. Idealerweise wird das Datenschutzniveau im Betrieb untersucht und überwacht und dem Management und den Fachabteilungen Anregungen zur Optimierung oder Einführung einer Datenschutz-Organisation im Betrieb gegeben. Er selbst hat daher keine Entscheidungsbefugnis, sondern berichtet nach §4f III 1 Bundesdatenschutzgesetz (BDSG) an die Unternehmensleitung.
Aber auch ohne formelle Entscheidungsbefugnis hat der Beauftragte für den Datenschutz eine große Eigenverantwortung im Unter-nehmen. Weil mit der zunehmenden Kompliziertheit der rechtlichen Vorschriften der Umfang der Aufgaben zunimmt. Auch bei Datenschutzverletzungen - auch wenn sie aus reiner Unwissenheit entstanden sind - besteht die Gefahr von Schadensersatzansprüchen der Beteiligten und Bußgeldern durch die Aufsichtsbehörde. Ganz zu schweigen vom Imageverlust des Unternehmens.
Dem Datenschutzbeauftragten müssen alle datenschutzrechtlichen Vorschriften und deren Interpretation durch laufende gerichtliche Entscheidungen bekannt sein - also nicht nur das BDSG, sondern alle branchenspezifischen Sonderstandards und sogar Absprachen mit den Arbeitnehmervertretern. Diese Steuerungskompetenz gilt für das ganze Unter-nehmen. Dazu gehören alle Unternehmensbereiche und Gebiete, in denen personenbezogene Informationen bearbeitet werden (könnten) - vom Personalwesen und der Wirtschaftsprüfung über die Buchhaltung und das Rechnungswesen bis hin zu den Bereichen Vermarktung und Verkauf.
Entsprechend vielseitig ist das Aufgabengebiet. Er hat Sachverständigengutachten zu verfassen, Dienstleistungsverträge zu überprüfen, Arbeitsverträge und Unternehmensleitlinien zu verfassen, zu informieren und mit den zuständigen Stellen zu korrespondieren. Die konkreten Ausmaße richten sich nach den konkreten Bedürfnissen im Unter-nehmen. In der Regel sind folgende Gebiete betroffen: Der Fokus der Aktivität liegt auf der Kontrolle der EDV-Programme.
Damit sollen Datenschutzverletzungen im Voraus vermieden werden. Zu diesem Zweck wird der behördliche Beauftragte für den Datenschutz frühzeitig vor der Vorstellung der neuen Maßnahmen informiert, damit er die Möglichkeit hat, eine Meinung vorzubringen. Weil die Verarbeitung von Daten prinzipiell nur dann erlaubt ist, wenn sie notwendig ist, also das schonendste Mittel, um den angestrebten Zweck zu erreichen, ist es für den Datenschutzbeauftragten neben umfangreichen rechtlichen Erkenntnissen auch von Bedeutung, dass er über Kenntnisse der fachlichen Umsetzung verfügt.
Nur wenn die Mitarbeitenden einbezogen werden, können Datensicherung und -schutz im Betrieb wirksam umgesetzt werden. Dies erfordert, dass Mitarbeitende, die mit persönlichen Informationen umgehen, dafür entsprechend sensibilisiert werden. Dieser Auftrag wird dem Beauftragten für den Schutz personenbezogener Daten nach §4g Abs. 1 S. 2 Nr. 3 BDSG erteilt. Darüber hinaus unterhält der Beauftragte für den Schutz personenbezogener Daten eine Liste der Verfahren nach 4g II BDSG über Form und Inhalt der Verarbeitung im Betrieb.
Dies betrifft insbesondere die berichtspflichtigen Angaben im Sinne des 4e S. 1 Nr. 1-8 BDSG, die der Beauftragte für den Datenschutz jedermann zugänglich zu machen hat. Nach §4g II 1 BDSG müssen die geforderten Angaben dem Beauftragten für den Datenschutz vom Betrieb zur Kenntnis gebracht werden. Häufig ist es jedoch in der Realität so, dass der Beauftragte für den Datenschutz diese Daten zunächst sammeln und laufend auf den neuesten Stand bringen muss, indem er die verschiedenen Dienststellen um Auskünfte ersucht.
Eine weitere ursprüngliche Aufgabenstellung des Beauftragten für den Datenschutz ist die Ex-ante-Kontrolle von "Verfahren der automatisierten Verarbeitung" im Sinne des 4d V BDSG, sofern damit spezielle Gefahren verbunden sind. Das ist bei besonderen Angaben nach 3 BDSG ( "ethnische Zugehörigkeit, gesundheitliche Situation, Geschlecht, Religionszugehörigkeit, politische Einstellung ") und wenn die Verarbeitung zur Beurteilung der Person des Betreffenden ausreicht.
Durch die formell geringe Bedeutung des Beauftragten für den Datenschutz sind viele Firmen dazu veranlasst, die Stelle gezielt innerbetrieblich mit einer Persönlichkeit zu füllen, von der keine Schwierigkeiten zu befürchten sind und die im Zweifelsfall lieber kritisch agiert. Dies kann jedoch zu erheblichen Beeinträchtigungen für das Management und das Management selbst führen.
Weil das Unternehemen für Datenschutzverstöße nach 43 BDSG einsteht. Bei Datenschutzverletzungen können Firmen nicht freigelassen werden, weil der Beauftragte für den Datenschutz falsche oder unzureichende Hinweise gegeben hat. In den Innenverhältnissen ist die Geschäftsführung selbst der Gesellschaft nach 93 I 1 Aktiengesetz oder 43 Gmbh direkt haftbar, wenn nicht die Sorgfaltspflicht eines sorgfältigen und verantwortungsbewussten Geschäftsführers angewendet wird.
Das wird besonders wichtig, wenn das Management gezielt einen unzureichenden Beauftragten für den Datenschutz benennt, der nicht über die erforderlichen Qualifikationen verfügt. Konkretes Umsetzen im Betrieb (z.B. Implementierung von Controls, Consulting, Strategieentwicklung, Dokumentationen, Directories, Logfile-Auswertung, Risk Management, Auswertung von Schutzkonzepten, Betriebsvereinbarung, Videoüberwachung, Kooperation mit dem Gesamtbetriebsrat, etc.
Das Management muss daher vor der Selektion sicherstellen und nachweisen, dass der Bewerber über dieses Spezialwissen verfügt, um seine Sorgfaltspflichten gegenüber dem Betrieb zu erfüllen. Wir sind Spezialisten für Datensicherheit, IT-Sicherheit und IT-Forensik und beraten in Deutschland.