Datenschutz für Unternehmen

Zur Seite des Datenschutzbeauftragten
Beratungskonzept für die Datenschutz-Betreuung durch einen externen Beauftragten für den Datenschutz


Die nachstehenden Informationen sollen Geschäftsführern und anderen Führungskräften von Unternehmen und anderen Einrichtungen helfen, ihre gesetzlichen Pflichten zum Datenschutz zu beurteilen und die sachlichen Modalitäten einer Datenschutz-Betreuung durch einen externen Beauftragten für den Datenschutz kennenzulernen, wie sie im Mittelstand und bei anderen Einrichtungen vergleichbare Größe aus wirtschaftlichen Gründen häufig eingesetzt wird. Nähere Einzelheiten zu diesen Fragen müssen natürlich einem direkten Gespräch vorbehalten sein.

Die externe Datenschutz-Betreuung umfasst eine Reihe von Aufgabenbereichen, die teilweise in den geltenden datenschutzrechtlichen Bestimmungen ausdrücklich festgelegt sind (an diesen Stellen wird nachstehend auf die entsprechenden Bestimmungen des Bundesdatenschutzgesetzes verwiesen) oder die sich in Interpretation der datenschutzrechtlichen Bestimmungen in der gesamten Datenschutzbranche als Betreuungsstandard etabliert haben und von den Datenschutz-Aufsichtsbehörden der Länder entsprechend gefordert werden.

Zur Seite des Datenschutzbeauftragten
Beratungskonzept für die Datenschutz-Betreuung durch einen externen Beauftragten für den Datenschutz


Die nachstehenden Informationen sollen Geschäftsführern und anderen Führungskräften von Unternehmen und anderen Einrichtungen helfen, ihre gesetzlichen Pflichten zum Datenschutz zu beurteilen und die sachlichen Modalitäten einer Datenschutz-Betreuung durch einen externen Beauftragten für den Datenschutz kennenzulernen, wie sie im Mittelstand und bei anderen Einrichtungen vergleichbare Größe aus wirtschaftlichen Gründen häufig eingesetzt wird. Nähere Einzelheiten zu diesen Fragen müssen natürlich einem direkten Gespräch vorbehalten sein.

Die externe Datenschutz-Betreuung umfasst eine Reihe von Aufgabenbereichen, die teilweise in den geltenden datenschutzrechtlichen Bestimmungen ausdrücklich festgelegt sind (an diesen Stellen wird nachstehend auf die entsprechenden Bestimmungen des Bundesdatenschutzgesetzes verwiesen) oder die sich in Interpretation der datenschutzrechtlichen Bestimmungen in der gesamten Datenschutzbranche als Betreuungsstandard etabliert haben und von den Datenschutz-Aufsichtsbehörden der Länder entsprechend gefordert werden.

1. Vom Gesetzgeber festgelegte Stellung und Aufgaben des Beauftragten für den Datenschutz

Unternehmen, die personenbezogene Daten unter Einsatz von Computern automatisiert verarbeiten, müssen spätestens einen Monat nach Aufnahme ihrer Tätigkeit einen Beauftragten für den Datenschutz schriftlich bestellen, wenn
  • mehr als neun Arbeitnehmer mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten beschäftigt sind oder
  • wenn sie automatisierte Verarbeitungen vornehmen, die einer datenschutzrechtlichen Vorabkontrolle unterliegen, oder
  • wenn sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung verarbeiten (vgl. § 4f Abs. 1 BDSG).

 Automatisierte Verarbeitungen können dabei immer dann einer datenschutzrechtlichen Vorabkontrolle durch den Beauftragten für den Datenschutz unterliegen, wenn sie besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, insbesondere

  • besondere Arten personenbezogener Daten verarbeitet werden oder wenn
  • die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistungen oder seines Verhaltens (vgl. § 4d Abs. 5 und 6 BDSG).
Besondere Arten personenbezogener Daten sind hierbei Angaben über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben (vgl. § 3 Abs. 9 BDSG).

 

Der Beauftragte für den Datenschutz ist dem Leiter des Unternehmens unmittelbar zu unterstellen. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei (vgl. § 4f Abs. 3 Satz 1 und 2 BDSG).
Die grundsätzliche Aufgabe des Beauftragten für den Datenschutz ist es, auf die Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz hinzuwirken (vgl. § 4g Abs. 1 Satz 1 BDSG). Dieses Hinwirken erfolgt in Form der Beratung der Geschäftsführung oder anderer von der Geschäftsführung benannter Personen des Unternehmens.


Der Beauftragte für den Datenschutz hat dazu insbesondere

  • die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen;
  • die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen (vgl. § 4g Abs. 1 Satz 3 Nr. 1 und 2 BDSG).

 

2. Aktivitäten zu Beginn der Tätigkeit des Beauftragten für den Datenschutz

Zu Beginn seiner Tätigkeit im Unternehmen sollte sich der externe Beauftragte für den Datenschutz einen Überblick über die räumliche, bauliche, organisatorische, technische (insbesondere EDV-technische) und rechtliche (insbesondere vertragsrechtliche) Situation verschaffen, soweit dabei datenschutzrechtliche Fragen betroffen sind.

Es ist in diesem Zusammenhang empfehlenswert, dass der externe Beauftragte für den Datenschutz von der Geschäftsleitung einen festen Ansprechpartner für die Fragen des Tagesgeschäftes zugewiesen bekommt, mit dem er grundsätzliche das Unternehmen betreffende Fragen besprechen und die Koordinierung weiterer Einzelgespräche durchführen kann. Idealerweise gehört der Ansprechpartner zu dem Personenkreis, mit dem der Beauftragte für den Datenschutz auch in Datenschutzfragen eng zusammenarbeitet.

 

  • Besichtigung der für die Betreuung bedeutsamen Bereiche des Unternehmens


Der externe Beauftragte für den Datenschutz sollte zu Beginn seiner Tätigkeit in Begleitung einer von der Geschäftsleitung benannten Person das Unternehmen besichtigen und dabei insbesondere

  • wesentliche Produktions- und Verwaltungsgebäude und -räume,
  • Rechenzentrum, spezielle Rechnerräume (z. B. Serverräume, Datenträgerarchive),
  • andere elektronische Datentechnik (z. B. Telefonanlage),
  • wesentliche Versorgungsgebäude und -räume (Stromversorgung, Wasserversorgung, Heizung),
  • Zugangseinrichtungen (z. B. Chipkarteneinrichtungen) und
  • Außenanlage, Entsorgungsräume, Grundstücksgrenzen (Videoüberwachung)


in Augenschein nehmen, die bei der späteren datenschutzrechtlichen Beurteilung von Bedeutung sein können.

  • Kontakt zu wichtigen Stellen des Unternehmens


Der externe Beauftragte für den Datenschutz sollte engen fachlichen Kontakt zu den im Hinblick auf die Fragen des Datenschutzes wichtigsten Stellen des Unternehmens halten, insbesondere

  • Geschäftsleitung,
  • Bereich Innere Revision,
  • Bereich IT, Bereich Kommunikation (Internet), IT-Sicherheitsbeauftragter,
  • Bereich Personal, -    Bereich Organisation

 

3. Aktivitäten zur Datenschutz-Grundsicherung

Die nachstehenden Maßnahmen dienen der Herstellung einer Datenschutz-Grundsicherung. Sie sind eine wesentliche Voraussetzung für die spätere laufende Gewährleistung des Datenschutzes.

  • Erstellung der Verfahrensübersicht

 

Der externe Beauftragte für den Datenschutz wirkt mit bei der Erstellung der (sogenannten inter-nen) Verfahrensübersicht zur weiteren Auswertung und zur Vorlage bei der Datenschutz-Aufsichtsbehörde im Falle einer Prüfung.
Dem externen Beauftragten für den Datenschutz ist dazu vom Unternehmen eine Übersicht über die in der Verfahrensübersicht enthaltenen Angaben sowie über die zugriffsberechtigten Personen zur Verfügung zu stellen (vgl. § 4g Abs. 2 Satz 1 BDSG).

 

  • Durchsicht des innerbetrieblichen Regelwerkes sowie Beurteilung der ausreichenden Berücksichtigung der datenschutzrechtlichen Bestimmungen

 

Der externe Beauftragte für den Datenschutz sieht im Rahmen seiner allgemeinen Hinwirkungspflicht das innerbetriebliche Regelwerk sowie die Verträge mit anderen Unternehmen durch und prüft die sachgemäße Berücksichtigung der datenschutzrechtlichen Bestimmungen bei

 

  • Arbeitsanweisungen, Betriebsvereinbarungen und
  • Verträge mit anderen Unternehmen (z. B. Service- und Lieferverträge)
  • Bekanntmachung der Person des externen Beauftragten für den Datenschutz im Unternehmen und gegenüber der Kundschaft

 

Der externe Beauftragte für den Datenschutz steht Betroffenen jederzeit als Ansprechpartner zur Verfügung (vgl. § 4f Abs. 5 Satz 2 BDSG). Er vereinbart dazu mit der Geschäftsleitung, auf welchem Wege die Mitarbeiter des Unternehmens oder außenstehende Privatpersonen mit ihm Kontakt aufnehmen können.

 

  • Verpflichtung der Mitarbeiter auf das Datengeheimnis nach § 5 BDSG

 

Der externe Beauftragte für den Datenschutz macht die bei der Verarbeitung personenbezogener Daten tätigen Personen mit den Vorschriften des Bundesdatenschutzgesetzes sowie anderer Gesetze über den Datenschutz vertraut und verpflichtet sie aktenkundig auf das Datengeheimnis (vgl. § 4g Abs. 1 Satz 3 Nr. 2 i. V. m. § 5 BDSG).

Dabei unterschreiben die Mitarbeiter eine Erklärung über die datenschutzrechtliche Belehrung, die in der Personalabteilung abgelegt wird. Diese Unterweisung wird unmittelbar nach der Aufnahme der Tätigkeit des Beauftragten für den Datenschutz durchgeführt. Für neu eingestellte Mitarbeiter sollte sie innerhalb eines halben Jahres nach deren Eintritt in das Unternehmen durchgeführt werden.

 

  • Verfügbarmachen der öffentlichen Verfahrensverzeichnisse an jedermann nach Anfrage

 

Der externe Beauftragte für den Datenschutz pflegt das (öffentliche) Verfahrensverzeichnis, bereitet es zur Vorlage an jedermann einschließlich der Berücksichtigung des Geheimnisschutzes vor und macht es auf Antrag jedermann in geeigneter Weise verfügbar (vgl. § 4g Abs. 2 Satz 2 BDSG). Er schlägt dazu der Geschäftsleitung eine für die Veröffentlichung vorbereitete Version des Verfahrensverzeichnisses vor und macht deren Angaben nach Zustimmung der Geschäftsleitung jedermann auf Antrag verfügbar.

 

  • Einführung technischer und organisatorischer Sicherheitsmaßnahmen in Bezug auf die Verarbeitung personenbezogener Daten


Der externe Beauftragte für den Datenschutz wirkt mit bei der Einführung technischer und organisatorischer Sicherheitsmaßnahmen in Bezug auf die Verarbeitung personenbezogener Daten (vgl. § 9 BDSG und Anlage).

  • Gestaltung von Verfahren zur Sicherstellung der Betroffenenrechte wie Benachrichtigung und Auskunftserteilung

 

Betroffene (private Personen innerhalb oder außerhalb des Unternehmens) können Auskunft ver-langen über die zu ihrer Person gespeicherten Daten und deren Herkunft (vgl. § 34 Abs. 1 Nr. 1 BDSG); sie haben Anspruch auf Berichtigung der Daten, wenn diese unrichtig sind (vgl. § 35 Abs. 1 BDSG) und auf Löschung ihrer Daten im Rahmen des § 35 Abs. 2 BDSG. Der externe Beauftragte für den Datenschutz wirkt mit bei der Gestaltung von Verfahren zur praktischen Sicherstellung dieser Rechte der Betroffenen.

 

4. Laufende Aufgaben

Die nachstehenden Aufgaben werden in Angriff genommen, sobald die Datenschutz-Grundsicherung hergestellt wurde. Sie sind laufende Aufgaben, die das Ziel haben, das Datenschutz-Niveau laufend an die sich ständig ändernden rechtlichen, technischen und organisatorischen Bedingungen anzupassen.

 

  • Bearbeitung von Datenschutz-Beschwerden Betroffener (Mitarbeiter oder unternehmensfremde Privatpersonen)


Der externe Beauftragte für den Datenschutz steht Betroffenen jederzeit als Ansprechpartner zur Verfügung (vgl. § 4f Abs. 5 Satz 2 BDSG).

Er nimmt in diesem Rahmen u. a. Beschwerden Betroffener entgegen und leitet diese, sofern sie nicht den Bereich Datenschutz betreffen, an die zuständigen Stellen des Unternehmens weiter.
Soweit die Beschwerden datenschutzrechtliche Fragen betreffen, leitet der Beauftragte für den Datenschutz die Beschwerden mit einer datenschutzrechtlichen Stellungnahme und einem Entscheidungsvorschlag an die Geschäftsleitung oder eine von der Geschäftsleitung benannte Person des Unternehmens weiter.

  • Mitwirkungsaufgaben

 

Der externe Beauftragte für den Datenschutz wirkt mit bei der Weiterentwicklung aller innerbetrieblichen Richtlinien, Anweisungen und Formulare, soweit dabei datenschutzrechtliche Fragen betroffen sind, und achtet dabei auf die Einhaltung der datenschutzrechtlichen Bestimmungen

Der externe Beauftragte für den Datenschutz wirkt mit bei der laufenden Aktualisierung des Verfahrensverzeichnisses.

Der externe Beauftragte für den Datenschutz wirkt auf Wunsch der Geschäftsleitung mit bei der Auftragsvergabe an Externe zur Verarbeitung personenbezogener Daten (einschließlich Wartungsaufträgen oder Service- und Entsorgungsunternehmen).

Der externe Beauftragte für den Datenschutz wirkt auf Wunsch der Geschäftsleitung mit bei der Auswahl der mit der Verarbeitung personenbezogener Daten beauftragten Mitarbeiter.



  • Überwachungsaufgaben

 

Der externe Beauftragte für den Datenschutz führt die Vorabkontrolle durch. Er überprüft dabei die automatisierten Verarbeitungen vor Inbetriebnahme, soweit diese besondere Risiken für die Rechte und Freiheiten Betroffener aufweisen (vgl. § 4d Abs. 5 und 6 BDSG).
Der externe Beauftragte für den Datenschutz überwacht die technisch-organisatorischen Datenschutz- und Datensicherungsmaßnahmen sowie die ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme (vgl. § 4g Abs. 1 Satz 3 Nr. 1 i. V. m. § 9 BDSG).
Der externe Beauftragte für den Datenschutz überwacht die Einhaltung der Verpflichtungserklärungen zum Datengeheimnis nach § 5 BDSG.

 

  • Zusammenarbeit mit der Geschäftsleitung

 

Der externe Beauftragte für den Datenschutz informiert die Geschäftsleitung in regelmäßigen (z. B. jährlichen) Tätigkeitsberichten über seine Tätigkeit im Berichtszeitraum sowie über den Stand des Datenschutzes im Unternehmen und macht dabei Vorschläge zur Abstellung eventueller noch bestehender Mängel.
Bei plötzlich auftretenden datenschutzrechtlichen Problemen wendet sich der externe Beauftragte für den Datenschutz auch außerhalb der regelmäßigen Tätigkeitsberichte anlaßbezogen an die Geschäftsleitung und macht Vorschläge zur Abstellung der festgestellten Probleme.

 

  • Zusammenarbeit mit Auftragsdatenverarbeitern

 

Der Auftraggeber einer Auftragsdatenverarbeitung hat sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen (vgl. § 11 Abs. Abs. 2 Satz 3).
Der externe Beauftragte für den Datenschutz hält daher fachlichen Kontakt mit Auftragsdatenverarbeitern und überzeugt sich dort von der Einhaltung der datenschutzrechtlichen Bestimmungen.

Richtlinie zur Organisation des Datenschutzes

1.    Grundsätzliches

Die vorliegende Richtlinie enthält Regelungsvorschläge zu allen Fragen, die bei der Umsetzung der datenschutzrechtlichen Bestimmungen im Unternehmen auftreten.
Sie ist nicht Bestandteil des Beratervertrages. Beide Seiten bemühen sich jedoch, die Richtlinie nach Möglichkeit einzuhalten.

2.    Der Beauftragte für den Datenschutz

Der Beauftragte für den Datenschutz erfüllt seine Aufgabe nach Maßgabe des Bundesdatenschutzgesetzes sowie der weiteren Rechtsvorschriften über den Datenschutz.
Der Beauftragte für den Datenschutz ist der Geschäftsleitung unmittelbar unterstellt.

Der Beauftragte für den Datenschutz wirkt auf die Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz hin. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. In praktischen und organisatorischen Fragen stimmt er sich mit der Geschäftsleitung oder einer von der Geschäftsleitung dazu benannten Person ab.


Der Beauftragte für den Datenschutz arbeitet mit den übrigen Bereichen des Unternehmens kooperativ zusammen.

3.    Ansprechpartner für die Betroffenen

Der Beauftragte für den Datenschutz ist der gesetzlich vorgesehene Ansprechpartner sämtlicher Betroffenen im Unternehmen. Betroffene sind dabei die Eigentümer der personenbezogenen Daten, die das Unternehmen erhebt, verarbeitet oder nutzt, insbesondere

 

  • Mitarbeiter
  • Kunden (soweit sie Privatpersonen sind),
  • private Vertragspartner anderer Art (Lieferanten, Handwerker, Service-Mitarbeiter u. a.),
  • Mitarbeiter externer Firmen, die mit dem Unternehmen in vertraglicher Beziehung stehen.


Betroffene können sich jederzeit an den Beauftragten für den Datenschutz wenden.
Das Unternehmen veranlaßt dazu die Bekanntgabe der Kontaktdaten des Beauftragten für den Datenschutz, damit sich die Betroffenen jederzeit an diesen wenden können.

4.    Ausbildung der Mitarbeiter

Der Beauftragte für den Datenschutz ist gesetzlich verpflichtet, die bei der Datenverarbeitung tätigen Personen durch geeignete Maßnahmen mit den Vorschriften des Bundesdatenschutzgesetzes sowie anderer Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertrautzumachen.

 

Der Bereich Personal teilt dem Datenschutzbeauftragten dazu am Ende eines jeden Jahres die Anzahl der in diesem Jahr eingestellten und noch tätigen Mitarbeiter mit.
Der Beauftragte für den Datenschutz organisiert daraufhin in Absprache mit dem Bereich Personal Schulungsmaßnahmen für diese Mitarbeiter und führt sie durch. Im Rahmen dieser Schulungsmaßnahmen sind die teilnehmenden Mitarbeiter auf das Datengeheimnis nach § 5 BDSG zu verpflichten.
Die schriftliche Verpflichtungserklärung der Schulungsteilnehmer wird vom Bereich Personal zu den Akten genommen.


5.    Verfahrensverzeichnis

Der Beauftragte für den Datenschutz ist gesetzlich verpflichtet, ein Verfahrensverzeichnis zu führen und dieses jedermann in geeigneter Weise verfügbar zu machen.
Der Bereich IT stellt dem Beauftragten für den Datenschutz dazu eine Übersicht über die automatisierten Verarbeitungen mit folgenden Angaben

 

  1. Name oder Firma der verantwortlichen Stelle,
  2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
  3. Anschrift der verantwortlichen Stelle,
  4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
  5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
  6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
  7. Regelfristen für die Löschung der Daten,
  8. eine geplante Datenübermittlung in Drittstaaten,
  9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach    § 9 BDSG zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.


zur Verfügung.

Der Bereich IT trägt Sorge dafür, daß diese Angaben stets aktuell gehalten werden.
Der Beauftragte für den Datenschutz entwickelt aus diesen Angaben das zur Veröffentlichung vorgesehene Verfahrensverzeichnis und schlägt dieses der Geschäftsleitung zur Veröffentlichung vor. Nach Zustimmung der Geschäftsleitung macht der Beauftragte für den Datenschutz das Verfahrensverzeichnis jedermann in geeigneter Weise verfügbar.
Über die Art der Verfügbarmachung trifft der Beauftragte für den Datenschutz mit der Geschäftsleitung ei-ne Übereinkunft.


6.    Vorabkontrolle

Der Beauftragte für den Datenschutz ist gesetzlich zur Vorabkontrolle verpflichtet, soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen.
Der Bereich IT trägt Sorge dafür, daß der Beauftragte für den Datenschutz bereits in der Planungsphase über neue oder sich ändernde automatisierte Verarbeitungen informiert wird und Gelegenheit erhält, die datenschutzrechtliche Beurteilung neuer oder sich ändernder automatisierter Verarbeitungen in das Planungsverfahren eingehen zu lassen.


7.    Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme

Der Beauftragte für den Datenschutz ist gesetzlich verpflichtet, die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden, zu überwachen.
Der Beauftragte für den Datenschutz ist in diesem Rahmen berechtigt, in Begleitung einer von der Geschäftsleitung dafür benannten Person Räume, in denen Datenverarbeitungsanlagen betrieben werden, zu besichtigen und sich von der Art und Wirkungsweise der dort eingerichteten Zutritts-, Zugangs- und Zugriffsschutzverfahren an Ort und Stelle zu überzeugen.
Der Beauftragte für den Datenschutz ist in diesem Rahmen ferner berechtigt, vom Bereich IT Aufschluß über die Art und Wirkungsweise der technischen und organisatorischen Maßnahmen zum Datenschutz gemäß § 9 BDSG zu verlangen. Diese Maßnahmen sind insbesondere

 

  • Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle,
  • Verfügbarkeitskontrolle und
  • Zweckbindung.

8.    Mitwirkungspflichten

Der Beauftragte für den Datenschutz wirkt auf die Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz hin.
In diesem Rahmen wirkt er mit bei der Gestaltung verschiedener innerbetrieblicher Regelungen.


8.1    Gestaltung von Verfahren zur Sicherstellung der Betroffenenrechte wie Benachrichtigung und Auskunftserteilung

Betroffene (private Personen innerhalb oder außerhalb des Unternehmens) können Auskunft verlangen über die zu ihrer Person gespeicherten Daten und deren Herkunft (§ 34 Abs. 1 Nr. 1 BDSG); sie haben Anspruch auf Berichtigung der Daten, wenn diese unrichtig sind (§ 35 Abs. 1 BDSG) und auf Löschung ihrer Daten im Rahmen des § 35 Abs. 2 BDSG.
Der Beauftragte für den Datenschutz wirkt mit bei der Gestaltung von Verfahren zur praktischen Sicherstellung dieser Rechte der Betroffenen.


8.2    Bearbeitung von Datenschutz-Beschwerden Betroffener (Mitarbeiter oder unternehmensfremde Privatpersonen)

Der Beauftragte für den Datenschutz steht Betroffenen jederzeit als Ansprechpartner zur Verfügung (§ 4f Abs. 5 Satz 2 BDSG).
Er nimmt in diesem Rahmen u. a. Beschwerden Betroffener entgegen und leitet diese, sofern sie nicht den Bereich Datenschutz betreffen, an die zuständigen Stellen des Unternehmens weiter.
Soweit die Beschwerden datenschutzrechtliche Fragen betreffen, leitet der Beauftragte für den Datenschutz die Beschwerden mit einer datenschutzrechtlichen Stellungnahme und einem Entscheidungsvorschlag an die Geschäftsleitung oder eine von der Geschäftsleitung benannte Person des Unternehmens weiter.


8.3    Mitwirkungspflichten im organisatorischen Bereich

Der Beauftragte für den Datenschutz wirkt mit bei

  • der Weiterentwicklung aller innerbetrieblichen Richtlinien und Anweisungen, soweit dabei datenschutzrechtliche Fragen betroffen sind,
  • der innerbetrieblichen Formular- und Vertragsgestaltung und achtet dabei auf die Einhaltung der datenschutzrechtlichen Bestimmungen und
  • der Auftragsvergabe an Externe zur Verarbeitung personenbezogener Daten (einschließlich Wartungs-, Service- und Entsorgungsunternehmen)


und berät die entsprechenden Stellen des Unternehmens in den Fragen des Datenschutzes
Der Bereich Organisation organisiert diese Zusammenarbeit.

8.4    Mitwirkungspflichten im personellen Bereich

Der Beauftragte für den Datenschutz wirkt mit bei der Auswahl der mit der Verarbeitung personenbezogener Daten beauftragten Mitarbeiter.
Der Bereich Personal organisiert diese Zusammenarbeit.

8.5    Zusammenarbeit mit Auftragsdatenverarbeitern

Der Auftraggeber einer Auftragsdatenverarbeitung hat sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.
Der Beauftragte für den Datenschutz hält daher Kontakt zu Auftragsdatenverarbeitern und überzeugt sich dort im Auftrag der Geschäftsleitung von der Einhaltung der datenschutzrechtlichen Bestimmungen.


8.6    Zusammenarbeit mit der Geschäftsleitung

Der Beauftragte für den Datenschutz informiert die Geschäftsleitung in jährlichen Tätigkeitsberichten über seine Tätigkeit im Berichtszeitraum sowie über den Stand des Datenschutzes im Unternehmen und macht dabei Vorschläge zur Abstellung eventueller noch bestehender Mängel.
Bei plötzlich oder unerwartet auftretenden datenschutzrechtlichen Problemen wendet sich der Beauftragte für den Datenschutz auch außerhalb der regelmäßigen Tätigkeitsberichte anlaßbezogen an die Geschäftsleitung und macht Vorschläge zur Abstellung der festgestellten Probleme.

Wer muß einen Beauftragten für den Datenschutz bestellen?

Das Bundesdatenschutzgesetz gilt nach § 1 Abs. 2 BDSG für

  • die Erhebung, Verarbeitung und Nutzung
  • personenbezogener Daten
  • durch alle nicht öffentlichen Stellen
  • soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben,
  • es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten.


Diese Stellen müssen nach § 4f Abs. 1 BDSG einen Beauftragten für den Datenschutz bestellen, wenn

  • sie mehr als 9 Personen mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten beschäftigen

oder

  • wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder benutzt werden und da-mit in der Regel mindestens 20 Personen beschäftigt sind.


Unabhängig von der Zahl der mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten Beschäftigten muss ein Beauftragter für den Datenschutz bestellt werden, wenn die in Punkt 1 genannte Stelle

  • automatisierte Verarbeitungen vornimmt, die einer Vorabkontrolle unterliegen,

oder

  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung erhebt, verarbeitet oder nutzt.
Die Bestellung zum Beauftragten für den Datenschutz muss schriftlich erfolgen (§ 4f Abs. 1 Satz 1 BDSG)
Die Bestellung des Beauftragten für den Datenschutz muss innerhalb eines Monates nach Eintritt des die Bestellpflicht begründenden Sachverhalts erfolgen (§ 4f Abs. 1 Satz 2 BDSG).

 
Bundesdatenschutzgesetz (Auszug)

§ 1 Zweck und Anwendungsbereich des Gesetzes

(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch
1.    öffentliche Stellen des Bundes,
2.    öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie
a)    Bundesrecht ausführen oder
b)    als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt,
3.    nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht-automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten.

§ 2 Öffentliche und nichtöffentliche Stellen

(1) Öffentliche Stellen des Bundes sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie de-ren Vereinigungen ungeachtet ihrer Rechtsform. Als öffentliche Stellen gelten die aus dem Sondervermögen Deutsche Bundespost durch Gesetz hervorgegangenen Unternehmen, solange ihnen ein ausschließliches Recht nach dem Postgesetz zusteht.

(2) Öffentliche Stellen der Länder sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes und sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.

(3) Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder, die Aufgaben der öffentlichen Verwaltung wahrnehmen, gelten ungeachtet der Beteiligung nicht-öffentlicher Stellen als öffentliche Stellen des Bundes, wenn
1.    sie über den Bereich eines Landes hinaus tätig werden oder
2.    dem Bund die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht.
Andernfalls gelten sie als öffentliche Stellen der Länder.

(4) Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nicht-öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.

§ 3 Weitere Begriffsbestimmungen

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

§ 4f Beauftragter für den Datenschutz

(1) Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens zwanzig Personen beschäftigt sind. Die Sätze 1 und 2 gelten nicht für nicht-öffentliche Stellen, die höchstens neun Personen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigen. Soweit aufgrund der Struktur einer öffentlichen Stelle erforderlich, genügt die Bestellung eines Datenschutzbeauftragten für mehrere Bereiche. Soweit nichtöffentliche Stellen eine Vorabkontrolle durchzuführen haben oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung erheben, verarbeiten oder nutzen, haben sie unabhängig von der Anzahl der Arbeitnehmer einen Datenschutzbeauftragten zu bestellen.

Wer kommt als Beauftragter für den Datenschutz in Betracht?

Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt (§ 4f Abs. 2 BDSG).

  • Die erforderliche Fachkunde umfaßt die Kenntnis der gesetzlichen Regelungen. Dazu gehören das Bundesdatenschutzgesetz und einschlägige spezielle datenschutzrechtliche Regelungen. Außerdem muss die Fähigkeit bestehen, die fachlichen Kenntnisse in der Praxis anzuwenden.
Ferner müssen Kenntnisse auf dem Gebiet der Datenverarbeitung und Informationstechnik sowie Kenntnisse der betriebliche Organisation vorhanden sein. Soweit dem Beauftragten für den Datenschutz die fachliche Qualifikation in Teilbereichen noch fehlt, ist ihm Gelegenheit zu geben, diese zu erwerben.
  • Die erforderliche Zuverlässigkeit setzt eine sorgfältige und gründliche Arbeitsweise, Belastbarkeit, Lernfähigkeit, Loyalität und Gewissenhaftigkeit voraus.
Eine zuverlässige Funktionserfüllung kann nicht erwartet werden, wenn der Beauftragte für den Datenschutz noch mit anderen Aufgaben betraut ist, die mit der Aufgabe als Beauftragter für den Datenschutz nicht vereinbar sind.

Zum Beauftragten für den Datenschutz dürfen daher nicht bestellt werden:

  • Inhaber, Vorstände, Geschäftsführer und sonstige gesetzliche oder verfassungsmäßig berufene Leiter
  • Personen, die in dieser Funktion in Interessenkonflikte geraten könnten (z. B. Leiter der EDV, Personalleiter, leitende Mitarbeiter mit Funktionen in anderen Organisationseinheiten mit besonders umfangreicher oder sensibler Verarbeitung personenbezogener Daten).
Eine zuverlässige Funktionserfüllung setzt weiterhin voraus, daß ausreichende Zeit zur Erfüllung der Aufgabe als Beauftragter für den Datenschutz zur Verfügung steht. Die Bestellung eines Mitarbeiters zum Beauftragten für den Datenschutz muss daher stets mit einer zumindest teilweisen Entlastung von seinen bisherigen Aufgaben verbunden sein (vgl. § 4f Abs. 5 Satz 1 BDSG).

Auch Externe können zum Beauftragten für den Datenschutz bestellt werden, soweit nach den konkreten Umständen eine zuverlässige Funktionserfüllung gewährleistet ist.
 
Bundesdatenschutzgesetz (Auszug)

§ 4f Beauftragter für den Datenschutz

(1) Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens zwanzig Personen beschäftigt sind. Die Sätze 1 und 2 gelten nicht für nicht-öffentliche Stellen, die höchstens neun Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigen. Soweit aufgrund der Struktur einer öffentlichen Stelle erforderlich, genügt die Bestellung eines Datenschutzbeauftragten für mehrere Bereiche. Soweit nichtöffentliche Stellen eine Vorabkontrolle durchzuführen haben oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung erheben, verarbeiten oder nutzen, haben sie unabhängig von der Anzahl der Arbeitnehmer einen Datenschutzbeauftragten zu bestellen.

(2) Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Mit dieser Aufgabe kann auch eine Person außerhalb der verantwortlichen Stelle betraut werden. Öffentliche Stellen können mit Zustimmung ihrer Aufsichtsbehörde einen Bediensteten aus einer anderen öffentlichen Stelle zum Beauftragten für den Datenschutz bestellen.

(3) Der Beauftragte für den Datenschutz ist dem Leiter der öffentlichen oder nicht öffentlichen Stelle unmittelbar zu unterstellen. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Die Bestellung zum Beauftragten für den Datenschutz kann in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuches, bei nicht öffentlichen Stellen auch auf Verlangen der Aufsichtsbehörde, widerrufen werden.

(4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.

(5) Die öffentlichen und nicht öffentlichen Stellen haben den Beauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Betroffene können sich jederzeit an den Beauftragten für den Daten-schutz wenden.

Welche Stellung hat der Beauftragte für den Datenschutz?

Eine unabhängige und organisatorisch herausgehobene Stellung ist für eine wirkungsvolle Tätigkeit des Beauftragten für den Datenschutz von ausschlaggebender Bedeutung.

  • Der Beauftragte für den Datenschutz ist dem Leiter der nicht öffentlichen Stelle unmittelbar zu unterstellen (§ 4f Abs. 3 Satz 1 BDSG).
  • Der Beauftragte für den Datenschutz ist bei der Anwendung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei (§ 4f Abs. 3 Satz 2 BDSG) und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden (§ 4f Abs. 3 Satz 3 BDSG).
  • Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse über die Identität des Betroffenen zulassen, verpflichtet, soweit er nicht durch den Betroffenen befreit wird (§ 4f Abs. 4 BDSG).
  • Die datenverarbeitende Stelle ist verpflichtet, den Beauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen (§ 4f Abs. 5 Satz 1 BDSG).


Im Rahmen seiner Aufgabenstellung ist er von allen relevanten Vorgängen rechtzeitig zu unterrichten.

  • Der Beauftragte für den Datenschutz ist unmittelbarer Ansprechpartner für Betroffene (Kunden, Mitarbeiter oder sonstige Betroffene). Diese können sich jederzeit an ihn wenden (§ 4f Abs. 5 Satz 2 BDSG)
  • Die Bestellung zum Beauftragten für den Datenschutz kann in entsprechender Anwendung von § 626 BGB widerrufen werden. Ein solcher Widerruf aus wichtigem Grund ist gerechtfertigt, wenn Tatsachen vorliegen, auf Grund derer, unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile, die Fortsetzung der Tätigkeit nicht zugemutet werden kann, weil z. B. der Beauftragte für den Datenschutz nicht die erforderliche Fachkunde oder Zuverlässigkeit besitzt.


In einem solchen Fall kann auch die Aufsichtsbehörde den Widerruf verlangen.
 
Bundesdatenschutzgesetz (Auszug)

§ 4f Beauftragter für den Datenschutz

(3) Der Beauftragte für den Datenschutz ist dem Leiter der öffentlichen oder nicht öffentlichen Stelle unmittelbar zu unterstellen. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Die Bestellung zum Beauftragten für den Datenschutz kann in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuches, bei nicht öffentlichen Stellen auch auf Verlangen der Aufsichtsbehörde, widerrufen werden.

(4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.

(5) Die öffentlichen und nicht öffentlichen Stellen haben den Beauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Betroffene können sich jederzeit an den Beauftragten für den Datenschutz wenden.

Aufgaben des Beauftragten für den Datenschutz

 Der Beauftragte für den Datenschutz wirkt auf die Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz hin. Zu diesem Zweck kann sich der Beauftragte für den Datenschutz in Zweifelsfällen an die zuständige Datenschutzaufsichtsbehörde wenden (§ 4g Abs. 1 Satz 1 und 2 BDSG). Er hat insbesondere

  • die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden, zu überwachen; zu diesem Zweck ist der Beauftragte für den Datenschutz über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten (§ 4g Abs. 1 Satz 3 Nr. 1 BDSG);
  • die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahme mit den Vorschriften des Bundesdatenschutzgesetzes sowie anderer Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen (§ 4g Abs. 1 Satz 3 Nr. 2 BDSG).

Darüber hinaus benennt das Bundesdatenschutzgesetz ausdrücklich folgende Aufgaben:

  • Soweit Verfahren automatisierter Verarbeitungen nicht der zuständigen Aufsichtsbehörde nach § 4d Abs. 1 BDSG gemeldet werden müssen, hat der Beauftragte für den Datenschutz die nach § 4e Satz 1 Nr. 1 bis 8 BDSG erforderlichen Angaben über die automatisierten Verfahren auf Antrag jedermann in geeigneter Weise verfügbar zu machen (§ 4g Abs. 2 Satz 1 BDSG).

Damit der Beauftragte für den Datenschutz seine Aufgabe erfüllen kann, hat ihm die verantwortliche Stelle eine Übersicht über die nach § 4e Satz 1 BDSG genannten Angaben sowie über zugriffsberechtigte Personen verfügbar zu machen (§ 4g Abs. 2 Satz 1 BDSG).

  • Der Beauftragte für den Datenschutz ist außerdem zuständig für die Vorabkontrolle, d. h., soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, sind diese vor Beginn der Verarbeitung einer Prüfung zu unterziehen. Die Vorabkontrolle hat der Beauftragte für den Datenschutz nach Empfang der Übersicht über die meldepflichtigen Angaben so-wie über zugriffsberechtigte Personen vorzunehmen. In Zweifelsfällen hat er sich an die zuständige Aufsichtsbehörde zu wenden (§ 4d Abs. 6 BDSG).


Auf der Grundlage dieser gesetzlichen Aufgabenzuweisung bestehen im Rahmen einer Aufgabenbeschreibung folgende Aufgaben:
Ausbildungsmaßnahmen

  • Ausbildung der Mitarbeiter des Unternehmens zu Fragen des Datenschutzes (§ 4g Abs. 1 Satz 3 Nr. 2 BDSG)

Bearbeitung von Beschwerden

  • Bearbeitung von Beschwerden, die in Beziehung zu Datenschutzvorschriften stehen, sowie Teilnahme an der Prüfung von Datenschutzverletzungen

Fachkunde

  • Regelmäßige Weiterbildung auf dem Gebiet des Datenschutzes und der Datensicherheit

 Mitwirkungsaufgaben

  • Mitwirkung bei der Erstellung der Verfahrensverzeichnisse (Übersicht über Verfahren zur automatisierten Verarbeitung personenbezogener Daten)
  • Mitwirkung bei der Entwicklung und Weiterentwicklung des Datenschutz- und Datensicherungskonzepts
  • Mitwirkung bei der Weiterentwicklung aller datenschutzrelevanten Richtlinien und Anweisungen
  • Mitwirkung bei der Einführung technischer und organisatorischer Sicherheitsmaßnahmen in Bezug auf die Verarbeitung personenbezogener Daten (§ 9 BDSG und Anlage)
  • Mitwirkung bei der datenschutzgerechten Formular- und Vertragsgestaltung
  • Mitwirkung bei der Gestaltung von Verfahren zur Sicherstellung der Betroffenenrechte wie Benachrichtigung und Auskunftserteilung (§§ 33 ff. BDSG)
  • Mitwirkung bei der Auftragsvergabe zur Verarbeitung personenbezogener Daten durch Externe (ein-schließlich Wartungs- und Serviceverträge)
  • Mitwirkung bei der Auswahl der mit der Verarbeitung personenbezogener Daten beauftragten Mitarbeiter

Überwachungsaufgaben

  • Überprüfung von automatisierten Verarbeitungen vor Inbetriebnahme, soweit diese besondere Risiken für die Rechte und Freiheiten Betroffener aufweisen (§ 4d Abs. 5 und 6 BDSG), d. h. Durchführung von Vorabkontrolle mit schriftlicher Dokumentation des Ergebnisses (aus Beweisgründen erforderlich)
  • Regelmäßige (z. B. jährliche) Überwachung der Datenschutz- und Datensicherungsmaßnahmen sowie der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen
  • Überwachung der Einhaltung der Verpflichtungserklärungen nach § 5 BDSG (Datengeheimnis)
  • Überwachung der Abrufe bei automatischen Abrufverfahren nach § 10 BDSG
  • Überwachung von Meldepflichten an die jeweils zuständige Aufsichtsbehörde für den Datenschutz (§ 4d Abs. 1 BDSG)

Zusammenarbeit

  • Regelmäßige (z. B. jährliche) Tätigkeitsberichte an die Geschäftsleitung über den Stand des Datenschutzes im Unternehmen
  • Anlaßbezogene Berichte an die Geschäftsleitung über die Entwicklung des Datenschutzes im Unternehmen bei konkreten Anlässen
  • Zusammenarbeit bzw. Kontaktpflege in Bezug auf Datenschutz und Datensicherheit mit unternehmensinternen und evtl. externen Stellen
  • Bereich IT und IT-Sicherheitsbeauftragter
  • Bereich Organisation
  • Bereich Personal
  • Betriebsrat
  • Interne Revision
  • evtl. externe Auftragnehmern (Outsourcing)
  • Kontaktpflege zur zuständigen Datenschutzaufsichtsbehörde und mitwirkende oder eigenverantwortliche Vertretung des Unternehmens in Datenschutzangelegenheiten gegenüber der zuständigen Aufsichtsbehörde

Ordnungswidrigkeiten (Bußgelder) und Strafen im Datenschutz

Die Ordnungswidrigkeiten- und Straftatbestände zum Datenschutz sind im Bundesdatenschutzgesetz in den §§ 43 und 44 geregelt.

§ 43 BDSG lautet

(1)    Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

1.    entgegen § 4d Abs. 1, auch in Verbindung mit § 4e Satz 2, eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht,

Bezug: Meldung automatisierter Verarbeitungen vor ihrer Inbetriebnahme

2.    entgegen § 4f Abs. 1 Satz 1 oder 2, jeweils auch in Verbindung mit Satz 3 und 6, einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt,

Bezug: Bestellung eines Beauftragten für den Datenschutz

3.    entgegen § 28 Abs. 4 Satz 2 den Betroffenen nicht, nicht richtig oder nicht rechtzeitig unterrichtet oder nicht sicherstellt, dass der Betroffene Kenntnis erhalten kann,


Bezug: Unterrichtung von Betroffenen

4.    entgegen § 28 Abs. 5 Satz 2 personenbezogene Daten übermittelt oder nutzt,

Bezug: Übermittlung personenbezogener Daten

5.    entgegen § 29 Abs. 2 Satz 3 oder 4 die dort bezeichneten Gründe oder die Art und Weise ihrer glaubhaften Darlegung nicht aufzeichnet,

Bezug: Übermittlung von Daten

6.    entgegen § 29 Abs. 3 Satz 1 personenbezogene Daten in elektronische oder gedruckte Adress-, Rufnummern-, Branchen- oder vergleichbare Verzeichnisse aufnimmt,

Bezug: Unerlaubte Aufnahme personenbezogener Daten in Verzeichnisse

7.    entgegen § 29 Abs. 3 Satz 2 die Übernahme von Kennzeichnungen nicht sicherstellt,

Bezug: Kennzeichnungen aus elektronischen oder gedruckten Verzeichnissen

8.    entgegen § 33 Abs. 1 den Betroffenen nicht, nicht richtig oder nicht vollständig benachrichtigt,

Bezug: Benachrichtigung von Betroffenen

9.    entgegen § 35 Abs. 6 Satz 3 Daten ohne Gegendarstellung übermittelt,

Bezug: Übermittlung falscher personenbezogener Daten ohne Gegendarstellung

10.    entgegen § 38 Abs. 3 Satz 1 oder Abs. 4 Satz 1 eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder eine Maßnahme nicht duldet oder

Bezug: Auskunftserteilung an die Aufsichtsbehörde

11.    einer vollziehbaren Anordnung nach § 38 Abs. 5 Satz 1 zuwiderhandelt.

Bezug: Maßnahmen zur Beseitigung festgestellter oder organisatorischer Mängel

(2)    Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

1.    unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet,

2.    unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, zum Abruf mittels automatisierten Verfahrens bereithält,

3.    unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, abruft oder sich oder einem anderen aus automatisierten Verarbeitungen oder nicht automatisierten Dateien verschafft,

4.    die Übermittlung von personenbezogenen Daten, die nicht allgemein zugänglich sind, durch un-richtige Angaben erschleicht,

5.    entgegen § 16 Abs. 4 Satz 1, § 28 Abs. 5 Satz 1, auch in Verbindung mit § 29 Abs. 4, § 39 Abs. 1 Satz 1 oder § 40 Abs. 1, die übermittelten Daten für andere Zwecke nutzt, indem er sie an Dritte weitergibt, oder

Bezug: Nutzung übermittelter Daten für unerlaubte Zwecke

6.    entgegen § 30 Abs. 1 Satz 2 die in § 30 Abs. 1 Satz 1 bezeichneten Merkmale oder entgegen § 40 Abs. 2 Satz 3 die in § 40 Abs. 2 Satz 2 bezeichneten Merkmale mit den Einzelangaben zusammenführt.

Bezug: Unerlaubte Zusammenführung der Pseudonymisierungsmerkmale

(3)    Die Ordnungswidrigkeit kann im Falle des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Deutsche Mark, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu fünfhunderttausend Deutsche Mark geahndet werden.


§ 44 BDSG lautet:

(1)    Wer eine in § 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

(2)    Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene, die verantwortliche Stelle, der Bundesbeauftragte für den Datenschutz und die Aufsichtsbehörde.

Aufgaben des externen Beauftragten für den Datenschutz

Bestellungsschreiben

Das Bestellungsschreiben durch die Geschäftsleitung ist der Beginn der Zusammenarbeit.

Unternehmensinterne Veröffentlichung der Bestellung

Die Bestellung des externen Beauftragten für den Datenschutz sollte unternehmensintern veröffentlicht werden, damit jeder Mitarbeiter des Unternehmens Gelegenheit hat, sich bei Bedarf an den Beauftragten für den Datenschutz zu wenden. Die Veröffentlichung sollte daher die für eine telefonische oder elektronische Kontaktaufnahme erforderlichen Angaben enthalten (Telefon- und Telefaxnummer sowie E-Mail-Adresse des externen Beauftragten für den Datenschutz).

Veröffentlichung der Bestellung im Internet oder Weiterleiten von Anrufen bzw. Anfragen

Damit sich jedermann an den externen Beauftragten für den Datenschutz wenden kann, ist entweder

  • die Bestellung des externen Beauftragten für den Datenschutz im Internet-Auftritt des Unternehmens zu veröffentlichen

oder

  • es ist zu organisieren, daß öffentliche Anrufer oder Absender elektronischer Nachrichten an den externen Beauftragten für den Datenschutz weitergeleitet oder ihnen die notwendigen Verbindungsdaten mitgeteilt werden.


Zusammenarbeit des externen Beauftragten für den Datenschutz mit verschiedenen Stellen des Unternehmens:

Geschäftsleitung

  • Mitwirkung bei der Gestaltung von Verfahren zur Sicherstellung der Betroffenenrechte wie Benachrichtigung und Auskunftserteilung (§§ 33 ff. BDSG)
  • Mitwirkung bei der Auftragsvergabe zur Verarbeitung personenbezogener Daten durch externe Stellen (einschließlich Wartungs- und Serviceverträge)
  • Bearbeitung von Beschwerden, die in Beziehung zu Datenschutzvorschriften stehen, sowie Teilnahme an der Prüfung von Datenschutzverletzungen
  • Regelmäßige Tätigkeitsberichte an die Geschäftsleitung über den Stand des Datenschutzes im Unternehmen
  • Anlaßbezogene Berichte an die Geschäftsleitung über die Entwicklung des Datenschutzes im Unternehmen in speziellen Fällen

Bereich Personal

  • Ausbildung der bei der Verarbeitung personenbezogener Daten tätigen Personen zu den Vorschriften des Bundesdatenschutzgesetzes sowie anderer Vorschriften über den Datenschutz
  • Überwachung der Einhaltung von Verpflichtungserklärungen nach § 5 BDSG (Datengeheimnis)
  • Mitwirkung bei der Auswahl der mit der Verarbeitung personenbezogener Daten beauftragten Mitarbeiter

Bereich IT

  • Führen des Verfahrensverzeichnisses
  • Durchführung der Vorabkontrollen
  • Mitwirkung bei der Einführung technischer und organisatorischer Sicherheitsmaßnahmen in Bezug auf die Verarbeitung personenbezogener Daten (§ 9 BDSG und Anlage)
  • Überwachung der Datenschutz- und Datensicherungsmaßnahmen sowie der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen

Bereich Organisation

  • Mitwirkung bei der Entwicklung und Weiterentwicklung des Datenschutz- und Datensicherungskonzepts im Regelwerk der Arbeitsanweisungen des Unternehmens
  • Mitwirkung bei der datenschutzgerechten Formular- und Vertragsgestaltung

Die Arbeit des externen Beauftragten für den Datenschutz

1.    Einführung

  • Besichtigung der für die Betreuung bedeutsamen Bereiche des Unternehmens
  • Unternehmen, allgemein, wesentliche Produktions- und Verwaltungsräume
  • Rechenzentrum
  • Außenanlage, Grundstücksgrenzen (Videoüberwachung)
  • Kontakt zu wichtigen Stellen des Unternehmens
  • Geschäftsleitung
  • Bereich Innere Revision
  • Bereich IT, Bereich Kommunikation (Internet), IT-Sicherheitsbeauftragter
  • Bereich Personal
  • Bereich Organisation
  • Betriebsrat


2.    Schwachstellenanalyse

  • Erstellung des Verfahrensverzeichnisses
  • Mitwirkung bei der Erstellung des (sogenannten internen) Verfahrensverzeichnisses zur weiteren Auswertung und zur Vorlage an die Datenschutz-Aufsichtsbehörde
  • Auswerten des Verfahrensverzeichnisses und Durchforsten des innerbetrieblichen Regelwerkes sowie Feststellung der ausreichenden Berücksichtigung datenschutzrechtlicher Bestimmungen
  • Arbeitsanweisungen
  • Betriebsvereinbarungen
  • Verträge mit anderen Unternehmen (Service- und Lieferverträge)


3.    Weitere Schritte

  • Bekanntmachung der Person des externen Beauftragten für den Datenschutz im Unternehmen und gegenüber der Kundschaft
  • Schaffung der Möglichkeit, sich in Fragen des Datenschutzes an den Beauftragten für den Datenschutz zu wenden
  • Verpflichtung der Mitarbeiter auf das Datengeheimnis nach § 5 BDSG
  • Ausbildung der Mitarbeiter zu Fragen des Datenschutzes nach den Bundesdatenschutzgesetz und aktenkundige Verpflichtung auf das Datengeheimnis
  • Verfügbarmachen der öffentlichen Verfahrensverzeichnisse an jedermann nach Anfrage
  • Aufbereitung des Verfahrensverzeichnisses zur Vorlage an jedermann einschließlich der Berücksichtigung des Geheimnisschutzes
  • Einführung technischer und organisatorischer Sicherheitsmaßnahmen in Bezug auf die Verarbeitung personenbezogener Daten (§ 9 BDSG und Anlage)
  • Gestaltung von Verfahren zur Sicherstellung der Betroffenenrechte wie Benachrichtigung und Auskunftserteilung (§§ 33 ff. BDSG)


4.    Laufende Aufgaben

  • Hinwirken auf die ausreichende Berücksichtigung der gesetzlichen datenschutzrechtlichen Erfordernisse
  • Bearbeitung von Datenschutz-Beschwerden Betroffener (von Kunden oder Mitarbeitern)
  • Mitwirkungsaufgaben
  • Mitwirkung bei der Entwicklung und Weiterentwicklung des innerbetrieblichen Datenschutz- und Datensicherheitskonzepts
  • Mitwirkung bei der Weiterentwicklung aller datenschutzrelevanten Richtlinien und Anweisungen
  • Mitwirkung bei der datenschutzgerechten Formular- und Vertragsgestaltung
  • Mitwirkung bei der laufenden Aktualisierung des Verfahrensverzeichnisses
  • Mitwirkung bei der Auftragsvergabe an Externe zur Verarbeitung personenbezogener Daten (einschließlich Wartungs- und Serviceverträge)
  • Mitwirkung bei der Auswahl der mit der Verarbeitung personenbezogener Daten beauftragten Mitarbeiter
  • Überwachungsaufgaben
  • Überprüfung von automatisierten Verarbeitungen vor Inbetriebnahme, soweit diese besondere Risiken für die Rechte und Freiheiten Betroffener aufweisen (§ 4d Abs. 5 und 6 BDSG), d. h. Durchführung von Vorabkontrolle mit schriftlicher Dokumentation des Ergebnisses
  • Regelmäßige (z. B. jährliche) Überwachung der Datenschutz- und Datensicherungsmaßnah-men sowie der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen
  • Überwachung der Einhaltung von Verpflichtungserklärungen nach § 5 BDSG (Datengeheimnis)
  • Überwachung der Abrufe bei automatischen Abrufverfahren nach § 10 BDSG
  • Zusammenarbeit mit der Geschäftsleitung
  • Regelmäßige (z. B. jährliche) Tätigkeitsberichte an die Geschäftsleitung über den Stand des Datenschutzes im Unternehmen
  • Anlaßbezogene Berichte an die Geschäftsleitung über die Entwicklung des Datenschutzes im Unternehmen bei konkreten Anlässen
  • Zusammenarbeit mit außerbetrieblichen Stellen
  • Zusammenarbeit bzw. Kontaktpflege in Bezug auf Datenschutz und Datensicherheit mit externen Stellen, z. B. bei Outsourcing (Auftragsdatenverarbeitung)

 

Technisch-organisatorische Maßnahmen zur Datensicherheit

Der Gesetzgeber hat den Unternehmen im Bundesdatenschutz die Verpflichtung auferlegt, gewisse grundsätzliche technische und organisatorische Maßnahmen zur Datensicherheit zu ergreifen. Dabei wird davon ausgegangen, daß ein wirksamer Datenschutz nur dann gewährleistet werden kann, wenn auch die Datensicherheit ausreichend sichergestellt ist.

Dabei betreffen diese „acht Gebote der Datensicherheit“ folgende Gebiete:

1.    Zutrittskontrolle

Der Zutritt zu Datenverarbeitungsanlagen (dazu gehören auch die „normalen“ Arbeitsplatz-Computer), insbesondere zu speziellen EDV-Räumen (z. B. Serverräumen) ist organisatorisch und technisch so abzusichern, daß der nur den Personen möglich ist, die zur jeweiligen Zeit dort Arbeiten zu verrichten haben.

2.    Zugangskontrolle

Der Zugang zu Datenverarbeitungssystemen ist organisatorisch und technisch so abzusichern, daß er nur den Personen möglich ist, die zur jeweiligen Zeit mit diesen Systemen arbeiten müssen.
Wenn die Zugangskontrollsysteme auf Kennwörtern beruhen, sind die üblichen Regeln zur Arbeit mit Kennwörtern aufzustellen und von den Benutzern einzuhalten; nach Möglichkeit ist die Einhaltung im angemessenen Rahmen technisch zu erzwingen. Speziell ist organisatorisch sicherzustellen, daß eine unerlaubte Kennwortweitergabe aus Berechtigungsgründen nicht erforderlich wird.

3.    Zugriffskontrolle

Der Zugriff auf Daten ist organisatorisch und technisch so abzusichern, daß er nur Personen möglich ist, die zur jeweiligen Zeit mir diesen Daten arbeiten müssen.

4.    Weitergabekontrolle

Es ist organisatorisch und technisch sicherzustellen, daß Daten

  • während der elektronischen Übertragung (z. B. per E-Mail) oder
  • während ihres (körperlichen) Transports auf Datenträgern oder
  • während ihrer Speicherung auf Datenträgern
nicht unbefugt gelesen, kopiert, verändert und entfernt werden können. Dazu sind geeignete Verfahren der Verschlüsselung und der digitalen Signatur oder andere geeignet erscheinende Verfahren einzusetzen einzusetzen.

5.    Eingabekontrollekontrolle

Es ist organisatorisch und technisch sicherzustellen, daß nachträglich überprüft und festgestellt werden kann, ob und von wem Daten eingegeben, verändert oder gelöscht worden sind.
Dieser Sachverhalt betrifft im wesentlichen die zur Verarbeitung der Daten eingesetzte Software.

6.    Auftragskontrolle

Es ist organisatorisch und - soweit möglich - technisch sicherzustellen, daß Daten, die im Auftrag verarbeitet werden nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

7.    Verfügbarkeitskontrolle

Es ist zu gewährleisten, daß Daten gegen zufällige Zerstörung oder Verlust geschützt sind.Dies schließt ein, daß Daten, die auf Grund technischer Defekte in einer Datenverarbeitungsanlage, durch Fehlbedienung, Irrtümer oder gezielte Fehlhandlungen der Benutzer zerstört, verfälscht oder gelöscht werden, sicher, vollständig und in angemessener Zeit wiederhergestellt werden können.
Dabei ist zu berücksichtigen, daß der Verlust, die Zerstörung oder die Verfälschung einer Daten möglicherweise erst nach längerer Zeit bemerkt wird.

8.    Trennungsgebot

Es ist organisatorisch und technisch sicherzustellen, zu unterschiedlichen Verarbeitungszwecken erhobene Daten getrennt verarbeitet werden können.

Bundesdatenschutzgesetz (Auszug)

§ 9 Technische und organisatorische Maßnahmen

Öffentliche und nicht öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Anlage zu § 9

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

1.    Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
2.    zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
3.    zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
4.    zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass über-prüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
5.    zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
6.    zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
7.    zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
8.    zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.