Warum Sie einen Datenschutzbeauftragten einstellen sollten
Unternehmen, die personenbezogene Daten automatisiert verarbeiten, sind regelmäßig dazu verpflichtet, Datenschutzbeauftragte zu bestellen. Davon ist auszugehen, wenn mindestens zehn Personen mit der automatisierten Verarbeitung oder bei der Verarbeitung auf andere Weise (manuelle Verfahren) mindestens 20 Personen beauftragt sind.
Unabhängig von der Anzahl der Personen haben nicht-öffentliche Stellen einen betrieblichen DSB zu bestellen, soweit sie automatisierte Verarbeitungen vornehmen, die wegen besonderer Sensitivität vor Einsatz zu prüfen sind (z. B. Scoringverfahren bei Kunden, Vorabkontrolle, vgl. § 4 d Abs. 5 BDSG) oder soweit sie personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung oder der anonymisierten Übermittlung erheben, verarbeiten oder nutzen (z. B. Auskunfteien, Adressverlage, Markt- und Meinungsforschungsinstitute).
Kommt die Geschäftsleitung dieser Verpflichtung nicht nach, kann dies Sanktionen auslösen, die bis hin zu einer Gewinnabschöpfung führen können.
Die Aufgabe des Datenschutzbeauftragten besteht im Wesentlichen darin, sicherzustellen, dass die Vorschriften des BDSG eingehalten werden. Dabei weist er die Angestellten in den Datenschutz ein und sorgt dafür, dass nur berechtigtes Personal Einblick in die Daten erhält. Außerdem überwacht er die Programme und stellt sicher, dass die Betroffenen ihr Selbstbestimmungsrecht wahrnehmen können.
Er ist der Geschäftsleitung unmittelbar unterstellt, in seinem Handeln jedoch nicht weisungsgebunden. Allerdings trägt er ihr gegenüber eine umfangreiche Berichts- und Rechenschaftspflicht.
Es stellt sich die Frage, wer einen solchen Posten überhaupt wahrnehmen darf. Grundsätzlich muss es sich dabei nicht zwingend um ein Mitglied des Unternehmens handeln. Vielmehr können externe Datenschutzbeauftragte ihrer Aufgabe gegebenenfalls im Zweifel gewissenhafter nachkommen, da sie die nötige Distanz zum Unternehmen aufweisen.
Die Leiter der Personal- und EDV-Abteilung, sowie deren Untergebene scheiden jedenfalls aus. Sie sind unmittelbar mit der Verarbeitung von Beschäftigtendaten konfrontiert und weisen damit nicht die nötige Neutralität auf, um beurteilen zu können, ob die Datenschutzbestimmungen eingehalten worden sind oder nicht.
Auch die Geschäftsführer kommen als Datenschutzbeauftragte nicht in Betracht, weil dies ebenfalls zu einer Interessenkollision der Tätigkeitsbereiche führen würde.
Zum Datenschutzbeauftragten kann daneben nur derjenige bestellt werden, der die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.
© Verena Rigtering, Stefan Müller-Römer, Mai 2010, Alle Rechte vorbehalten
|
