BL0G

Home / Blog

Saarländische Aufsichtsbehörde zwingt Unternehmen zur Bestellung eines betrieblichen Datenschutzbeauftragten

von Stephan Gärtner

Datenschutzpflichten werden durchgesetzt

 

Berlin, 21. Januar 2015. Das saarländische Datenschutzaufsichtsbehörde, das Unabhängiges Datenschutzzentrum Saarland, hat - laut einer Mitteilung aus dem August - ein Unternehmen gewzungen, einen betrieblichen Datenschutzbeauftragten zu bestellen. Das Unternehmen war seiner Pflicht bis dahin nicht nachgekommen.  Die Bestellung eines betrieblichen Datenschutzbeauftragten ist - gerade für mittelständische Unternehmen - ein heikler Vorgang, weil der oder die bestellte i.d.R. einen besonderen Kündigungsschutz genießt. Die Rechtsanwaltskanzlei Dr. Gärtner berichtet über den Fall und Lösungsmöglichkeiten.

Gliederung
1. Der Fall
2. Die Rechtslage
a) Wesentliche Fakten zur Rechtslage in der Übersicht
b) Wann muss ein betrieblicher Datenschutzbeauftragter bestellt werden?
c) Was ist bei der Bestellung eines betrieblichen Datenschutzbeauftragten zu beachten?
3. Glossar
4. Fazit

1. Der Fall

Das Geschäftsmodell des betroffenen Unternehmens sah vor, dass es Informationen mit dem Ziel sammelte und speicherte, diese Daten gewinnbringend an Dritte zu übermitteln. Der Geschäftsführer des Unternehmens kam laut Pressemitteilung der Aufforderung der Aufsichtsbehörde, einen Datenschutzbeauftragten zu bestellen nicht nach. Daraufhin erließ die Aufsichtsbehörde einen Bescheid, wonach die Bestellung eines Beauftragten für den Datenschutz angeordnet wurde. Für den Fall der Nichterfüllung dieser Vorgaben wurde u.a. ein Zwangsgeld angedroht. Doch offenbar musste die Aufsichtsbehörde das Zwangsgeld sogar eintreiben, bis der betriebliche Datenschutzbeauftragte bestellt war.

2. Die Rechtslage

a) Wesentliche Fakten zur Rechtslage in der Übersicht

 

(1) Unternehmen, die personenbezogene Daten automatisiert verarbeiten, sind verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen, wenn ihre Datenverarbeitungsvorgänge besonders risikovoll sind. Das ist stets der Fall, wenn sie entweder mehr als neun Personen mit der automatisierten Verarbeitung beschäftigen oder einer Vorabkontrolle unterliegen oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten.

(2) Unternehmen, die personenbezogene Daten nicht automatisiert verarbeiten, sind verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen, wenn sie i.d.R. mehr als 20 Personen damit beschäftigen.

(3) Zum betrieblichen Datenschutzbeauftragten kann sowohl ein Mitarbeiter des Unternehmens (interne Lösung) als auch ein außenstehender Dienstleister bestellt werden (externe Lösung), wobei bei der internen Lösung zugunsten des bestellten Mitarbeiters ein unabhängigkeitsförderndes Benachteiligungsverbot
entsteht, das etwa in einem erheblichen aufgewerteten Kündigungsschutz besteht.

(4) Unternehmen, die pflichtwidrig keinen betrieblichen Datenschutzbeauftragten bestellen, können mit Zwangsgeldern belegt werden.
 

b) Wann muss ein betrieblicher Datenschutzbeauftragter bestellt werden?

Es stellt sich also die Frage, wann ein Unternehmen verpflichtet ist, einen betrieblichen Datenschutzbeauftragten zu bestellen.

Hierfür müssen zwei Arten von Unternehmen unterschieden werden: Unternehmen, die Daten automatisiert verarbeiten und solche, die Daten ausschließlich auf andere Weise verarbeiten. Automatisiert ist eine Datenverarbeitung, wenn sie unter Einsatz von Datenverarbeitungsanlagen (z.B. ein Computer) erfolgt, vgl. § 3 Absatz 2 des Bundesdatenschutzgesetzes (kurz BDSG).

Unternehmen, die Daten automatisiert verarbeiten sind schon grds. verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen. Dies folgt aus § 4f Absatz 1 Satz 1 BDSG. Hiervon sind nur solche Unternehmen ausgenommen, die gleichzeitig zwei Voraussetzungen erfüllen. Erstens ist erforderlich, dass sie in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen (etwa an den Computer setzen). Zweitens müssen sich die Datenverarbeitungsvorgänge auf vorabkontrollefreie (mit anderen Worten: risikofreie) und auch solche Vorgänge beschränken, die nicht zum (Geschäfts-)zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung erfolgen.

Unternehmen, die Daten nicht automatisiert verarbeiten, sind zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet, wenn damit in der Regel mindestens 20 Personen beschäftigt sind.

c) Was ist bei der Bestellung eines betrieblichen Datenschutzbeauftragten zu beachten?

Für die Position des betrieblichen Datenschutzbeauftragten kommen sowohl Mitarbeiter des Unternehmens (interne Lösung) als auch außenstehende Dienstleister (externe Lösung) in Betracht. Verfolgt ein Unternehmen eine interne Lösung, muss es beachten, dass zugunsten des Mitarbeiters, der zum betrieblichen Datenschutzbeauftragten bestellt wird, ein besonderer Benachteiligungsschutz besteht, vgl. § 4f Absatz 3 Satz 3 BDSG. Damit geht einher, dass seine Kündigung wesentlich erschwert wird. Der berechtigte Hintergrund ist, dass die "In-House-Aufsichtsbehörde" bei unliebsamen  Handlungen (etwa als Ansprechpartner der Belegschaft) nicht um seine Arbeitsstelle fürchten soll. Verfolgt der Unternehmer eine externe Lösung, kann er sich leichter von dem Dienstleister lösen.

In beiden Fällen muss der Datenschutzbeauftragte über die notwendige Fachkunde verfügen und hinreichend zuverlässig sein, § 4f Absatz 2 Satz 1 BDSG. Im Falle einer internen Lösung bedeutet dies i.d.R., dass der Datenschutzbeauftragte für Schulungs- und Weiterbildungsmaßnahmen sowie für seine Tätigkeit als solche  freigestellt werden muss. Bei externen Lösung darf dürfte dies im Dienstleistungsangebot i.d.R. enthalten sein.

Ob eine interne oder eine externe Lösung vorzugswürdig ist, kann nur im Einzelfall entschieden werden. V.a. für mittelständische Unternehmen kann eine externe Lösung von Vorteil sein, wie die vorgenannten Beispiele zeigen. Bei größeren Unternehmen, bei denen etwa eine Compliance oder zumindest eine Rechtsabteilung vorhanden ist, kann auch eine interne Lösung seine Vorzüge haben.

3. Glossar

personenbezogene Daten

Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (vgl. § 3 Absatz 1 BDSG). 

automatisierte Verarbeitung

die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen (vgl. § 3 Absatz 1 BDSG).

 Vorabkontrolle

Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn
der Verarbeitung (vgl. 4d Absatz 5 Satz 1 BDSG).

4. Fazit

Der Fall, über den die saarländische Aufsichtsbehörde berichtet hat, verdeutlicht, dass Unternehmen die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten nicht ignorieren können. Ein unternehmerisches Erschwernis ist damit nicht zwangsläufig verbunden, denn der Gesetzgeber gibt den Unternehmen smarte Gestaltungsmöglichkeiten mit auf den Weg. So kann beispielsweise die Wahl einer externen Lösung mittelständische Unternehmen in puncto Kündigungsschutz entlasten. Wichtig ist jedoch, dass eine Entscheidung im Einzelfall getroffen wird.

Rechtsanwaltskanzlei Dr. Stephan Gärtner
Bessemerstraße 82,
10. OG, Ostturm,
12103 Berlin,
Tel. +49 30 89614237
E-Mail: gaertner@gaertner-stephan.de
Zugelassen bei der RAK Berlin (www.rak-berlin.de), die insoweit als Aufsichtsbehörde agiert.
USt-IdNr. DE295953283
Der Titel Rechtsanwalt wurde in der Bundesrepublik Deutschland verliehen.
Die maßgeblichen berufsrechtlichen Regeln entnehmen Sie der BRAO, der FAO und dem RVG, die sämtlich unter www.gesetze-im-internet.de nachzulesen sind.
Die Berufshaftpflichtversicherung besteht bei der ERGO Versicherung AG, 40198 Düsseldorf und gilt deutschlandweit.

 

 

Zurück