|
Zur Einhaltung der
Datenschutzbestimmungen ist jeder verpflichtet.
1. Wer muss einen
Datenschutzbeauftragten bestellen?
2. Persönliche Voraussetzungen
3. Aufgaben des
Beauftragen für den Datenschutz
4. Stellung, Rechte und Pflichten des Beauftragten für den Datenschutz
Hier haben wir Ihnen einige wesentliche
Informationen zum Thema Datenschutz zusammengestellt. Gerne informieren wie Sie
in einem Gespräch (Dauer ca. 2 - 3 Stunden) persönlich über Ihre Pflichten.
1. Wer muss einen
Datenschutzbeauftragten bestellen?
Nichtöffentliche Stellen,
die personenbezogene Daten für andere als persönliche oder familiäre Tätigkeiten
automatisiert erheben, verarbeiten oder nutzen, haben einen "betrieblichen"
Beauftragten für den Datenschutz (bDSB) schriftlich zu bestellen, wenn sie bei
der automatisierten Datenverarbeitung mindestens 10 Personen oder bei
Verarbeitung auf andere Weise mindestens 20 Personen beschäftigen. Zu den
Verpflichteten zählen insbesondere
-
natürliche Personen
(z. B. Ärzte, Apotheker, Rechtsanwälte, Steuerberater, Handels-, Handwerks-
und Industriebetriebe usw.)
-
juristische Personen
(z. B. als GmbH organisierte Auskunfteien, Markt- und
Meinungsforschungsinstitute, Telefondienst, Adressverlage, Detekteien,
Handels-, Handwerks- und Industriebetriebe, als Kommanditgesellschaft auf
Aktien konstituierte Banken, als Aktiengesellschaften tätige Kliniken,
eingetragene Vereine, rechtsfähige Stiftungen des bürgerlichen Rechts)
-
Personengesellschaften
(z. B. ein als Gesellschaft des bürgerlichen Rechts organisiertes
Baukonsortium, ein als GmbH und Co. KG agierendes Versandunternehmen oder
Servicerechenzentrum, eine Anwaltssozietät oder ein als OHG auftretender
Filmverleih)
-
Nicht rechtsfähige
Vereine
(z. B. Parteien, Gewerkschaften und Berufsverbände)
Unabhängig von der Anzahl
der mit der Datenverarbeitung beschäftigten Personen haben nichtöffentliche
Stellen einen Beauftragten für den Datenschutz zu bestellen, soweit sie
automatisierte Verarbeitungen vornehmen, die besondere Risiken für die Rechte
und die Freiheiten der Betroffenen aufweisen und daher vom Beauftragten für den
Datenschutz im Wege der Vorabkontrolle vor Beginn der Verarbeitung zu überprüfen
sind (§ 4d Abs. 5 BDSG) oder die personenbezogene Daten geschäftsmäßig zum
Zwecke der Übermittlung oder der anonymisierten Übermittlung erheben,
verarbeiten oder nutzen (§ 4d Abs. 4 BDSG). Mit der Aufgabe des Beauftragten für
den Datenschutz kann auch eine (natürliche) Person außerhalb der
verantwortlichen Stelle betraut werden (externer
Datenschutzbeauftragter).
Der Beauftragte für den
Datenschutz ist innerhalb einer Frist von einem Monat nach Aufnahme der
Tätigkeit der nichtöffentlichen Stelle schriftlich zu bestellen (Musterformulare
erhalten Sie bei uns). Wird der Beauftragte für den Datenschutz vorsätzlich oder
fahrlässig nicht oder nicht rechtzeitig bestellt, kann dies mit einer Geldbuße
von bis zu 25.000 € geahndet werden (§ 43 Abs. 1 Nr. 2 BDSG).
2. Persönliche Voraussetzungen
Zum Beauftragten für den
Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben
erforderliche Fachkunde und Zuverlässigkeit besitzt.
-
Die erforderliche
Fachkunde
umfasst sowohl das allgemeine Grundwissen hinsichtlich des Datenschutzrechts
sowie über Verfahren und Techniken der automatisierten Datenverarbeitung, als
auch die Kenntnis über betriebswirtschaftliche Zusammenhänge. Darüber hinaus
muss der Beauftragte für den Datenschutz mit der Organisation und den
Funktionen seines Betriebes vertraut sein, einen guten Überblick über alle
Fachaufgaben haben, zu deren Erfüllung personenbezogen
-
Der Begriff der
Zuverlässigkeit
umfasst sowohl sorgfältige und gründliche Arbeitsweise, Belastbarkeit,
Lernfähigkeit, Loyalität und Gewissenhaftigkeit als auch Inkompatibilität der
Aufgabe des Datenschutzbeauftragten mit anderen hauptamtlichen Aufgaben des
Datenschutzbeauftragten. Eine Interessenkollision kann bei nebenamtlich mit
der Aufgabe des Beauftragten für den Datenschutz betrauten Personen entstehen.
Darüber hinaus sollen auch Personen nicht zu Beauftragten für den Datenschutz
berufen werden, die in dieser Funktion in Interessenkonflikte geraten würden,
die über das unvermeidbare Maß hinausgehen. Unvereinbar wäre es z.B., den
Inhaber, den Vorstand, den Geschäftsführer oder den sonstigen gesetzlichen
oder verfassungsmäßig berufenen Leiter zu bestellen, da sie sich nicht wirksam
selbst kontrollieren können. Weiter ist zu vermeiden, Personen zu
Datenschutzbeauftragten zu bestellen, die von ihrer Stellung im Betrieb für
die Datenverarbeitung verantwortlich sind (Betriebsleiter, Leiter der EDV).
Dagegen können als Datenschutzbeauftragte beispielsweise Mitarbeiter der
Revision, der Rechtsabteilung und Organisation bestellt werden. e Daten
verarbeitet werden.
-
Die Bestellung zum
Beauftragten für den Datenschutz kann auch auf Verlangen der zuständigen
Aufsichtsbehörde widerrufen werden (§ 38 Abs. 5 Satz 3 BDSG), wenn er die zur
Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht
(mehr) besitzt.
3. Aufgaben des
Beauftragen für den Datenschutz
Der Beauftragte für den
Datenschutz hat nach § 4g BDSG
-
auf die
Einhaltung
des
Bundesdatenschutzgesetzes und anderer Vorschriften
über den Datenschutz hinzuwirken;
-
die ordnungsgemäße
Anwendung der DV- Programme,
mit deren Hilfe personenbezogene Daten
verarbeitet werden, zu überwach
-
die bei der
Verarbeitung personenbezogener Daten tätigen Personen zu
schulen.
Dies
kann z.B. in schriftlicher Form, durch Schulungsveranstaltungen oder auch
durch Anregungen und Informationen im Rahmen von Dienstbesprechungen erfolgen;
-
automatisierte
Verarbeitungen, die besondere Risiken
für die Rechte und Freiheiten der
Betroffenen aufweisen, vorab zu kontrollieren
(Vorabkontrolle);
-
jedermann auf Antrag
die Angaben über Verfahren automatisierter
Verarbeitungen in geeigneter Weise zur Verfügung zu
stellen;
-
Beschwerden nachzugehen,
wenn Betroffene (z. B. Beschäftigte der nichtöffentlichen Stelle, Kunden,
Lieferanten, Kreditnehmer) ihn mit der Behauptung anrufen, die Verarbeitung
ihrer personenbezogenen Daten durch die nichtöffentliche Stelle verletze sie
in ihren Rechten.
4. Stellung, Rechte und Pflichten des Beauftragten für den Datenschutz
-
Der Beauftragte für den
Datenschutz ist dem Leiter der nicht öffentlichen Stelle unmittelbar zu
unterstellen. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des
Datenschutzes weisungsfrei
und darf wegen der Erfüllung seiner Aufgaben
nicht benachteiligt
werden.
-
Der Beauftragte für den
Datenschutz darf zur Erfüllung seiner oben genannten Aufgaben auch auf
personenbezogene Daten zugreifen
und zwar auch dann, wenn diese einer
besonderen Geheimhaltungspflicht, z. B. der ärztlicher Schweigepflicht,
unterliegen. Dies gilt auch für einen externen Beauftragten für den
Datenschutz.
-
Der Beauftragte für den
Datenschutz ist zur Verschwiegenheit
über die Identität des Betroffenen, der ihn
angerufen hat, sowie über Umstände, die Rückschlüsse auf den Betroffenen
zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit
wird.
-
Der Beauftragte für den
Datenschutz macht sich nach § 203 des Strafgesetzbuchs (StGB) strafbar, wenn
er unbefugt ein fremdes Geheimnis offenbart, das einem in § 203 Abs. 1 und 2
StGB Genannten (z.B. einem Arzt) in dessen beruflicher Eigenschaft anvertraut
wurde oder sonst bekannt geworden ist und von dem er bei der Erfüllung seiner
Aufgaben als Beauftragter für den Datenschutz Kenntnis erlangt hat.
-
Dem Beauftragten für
den Datenschutz steht ein Zeugnisverweigerungsrecht zu, wenn er bei seiner
Tätigkeit Kenntnis von Daten erhält, für die dem Leiter der nichtöffentlichen
Stelle oder einer bei der nichtöffentlichen Stelle beschäftigten Person aus
beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht. Soweit das
Zeugnisverweigerungsrecht des Beauftragten für den Datenschutz reicht,
unterliegen seine Akten und andere Schriftstücke einem Beschlagnahmeverbot.
-
Die datenverarbeitende
Stelle ist verpflichtet, den Beauftragten für den Datenschutz bei der
Erfüllung der Aufgaben zu unterstützen
und ihm insbesondere, soweit dies zur
Erfüllung der Aufgaben erforderlich ist, Hilfspersonal sowie Räume,
Einrichtungen, Geräte und Mittel zur Verfügung zu stellen.
-
Der Beauftragte für den
Datenschutz ist über Vorhaben der automatisierten Verarbeitung
personenbezogener Daten rechtzeitig zu unterrichten.
-
Dem Beauftragten für
den Datenschutz sind von der verantwortlichen Stelle bestimmte Angaben zu den
der Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich zu
melden automatisierten Verfahren sowie über zugriffsberechtigte Personen zur
Verfügung zu steIlen.
-
Der Beauftragte für den
Datenschutz kann sich in Zweifelsfällen an die zuständige
Aufsichtsbehörde für den Datenschutz im nichtöffentlichen
Bereich wenden.
|