Datenschutz-FAQ

Ab wann braucht ein Unternehmen einen Datenschutzbeauftragten?

Die Verpflichtung, einen Datenschutzbeauftragten einzusetzen, gilt für:

  • alle öffentlichen Stellen (§§ 12 ff. BDSG)
  • alle nicht-öffentliche Stellen – Unternehmen – (§§ 27 ff. BDSG)
  • mit mehr als neun Mitarbeitern,
  • die personenbezogene Daten automatisch verarbeiten (§ 4f Abs. 1 BDSG).

Das Bundesdatenschutzgesetz knüpft eine Bestellpflicht an verschiedene Voraussetzungen und sieht Ausnahmeregelungen für bestimmte Unternehmen vor. Dabei besteht jedoch eine niedrige gesetzliche Schwelle für Unternehmen einen internen oder externen Datenschutzbeauftragten zu bestellen.

Ein relevanter Umgang mit personenbezogenen Daten liegt dabei in der Regel bereits bei einfacher E-Mail-Kommunikation vor. Insbesondere Mitarbeiter der IT-Abteilung sowie Sachbearbeiter und vor allem die Personal- und Finanzabteilungen kommen im Arbeitsalltag häufig mit (sensiblen) personenbezogenen Daten in Kontakt. Dabei ist anzumerken, dass der Begriff der „Person“ nach § 3 Abs. 10 BDSG sehr weit gefasst ist, sodass unabhängig vom arbeitsrechtlichen Status damit alle im Unternehmen eingesetzten Personen – auch freie Mitarbeiter und auszubildende Personen – fallen.

Neben der Verpflichtung, ab einer Anzahl von neun Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten zu bestellen, gibt es auch Regelungen für die nicht-automatisierte Verarbeitung. Liegt diese bei personenbezogenen Daten vor, gilt die Pflicht zur Bestellung eines Datenschutzbeauftragten ab einer Anzahl von zwanzig Mitarbeitern. Zudem besteht unabhängig von der Zahl der Mitarbeiter auch eine Pflicht zur Bestellung, wenn die betreffende Stelle personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung oder zum Zwecke der Markt- und Meinungsforschung erhebt und nutzt. Die Bestellung eines Datenschutzbeauftragten eines Unternehmens muss in Schriftform erfolgen und kann jederzeit unabhängig vom sonstigen Bestand eines Arbeitsvertrages widerrufen werden.

Wie wird ein Datenschutzbeauftragter bestellt?

Grundsätzlich kann ein interner oder ein externer Datenschutzbeauftragter bestellt werden.

In beiden Fällen muss die Bestellung gemäß §§ 4f und 4g BDSG schriftlich also durch Unterschrift des Datenschutzbeauftragten sowie des ihn bestellenden Unternehmens erfolgen.

Ein betrieblicher Datenschutzbeauftragter kann sowohl intern in Person eines bereits angestellten Mitarbeiters als auch extern in Form eines Dienstleisters bestellt werden. Ausschlaggebendes Kriterium sollte dabei an erster Stelle die notwendige Sachkunde und Zuverlässigkeit sein, die ein Datenschutzbeauftragter benötigt, um die notwendigen Aufgaben im Unternehmen ordnungsgemäß erfüllen zu können.

Hinsichtlich der Kompetenz muss sich ein interner Datenschutzbeauftragter zunächst zeitintensiven und aufwendigen Weiterbildungsmaßnahmen zur Erlangung der notwendigen Fachkunde unterziehen, während ein externer Datenschutzbeauftragter bereits von Beginn der vertraglichen Kooperation zertifizierte und sofort bereitstehende Fachkunde vorweisen kann. Im Gegensatz dazu hat jedoch der interne Datenschutzbeauftragte Vorteile bei der Einarbeitung, da ihm die internen Betriebsabläufe bereits bekannt sind, während sich ein externer Datenschutzbeauftragter zunächst in die betrieblichen Prozesse einarbeiten muss.

Bei der Bestellung eines betrieblichen Datenschutzbeauftragten ist auch stets die Haftung bei Datenschutzverstößen zu bedenken. Wenn es zu folgenschweren Fehlern auf Basis der Beratung des betrieblichen Datenschutzbeauftragen kommt, wie beispielsweise Datenmissbrauch von Kundendaten, haftet ein interner Datenschutzbeauftragter mit der beschränkten Arbeitnehmerhaftung, was wiederum eine vollumfängliche Haftung des Geschäftsführers des Betriebs zur Folge hat. Im Gegensatz dazu haftet ein externer Datenschutzbeauftragter für seine Beratung, was eine Risikominimierung für das Unternehmen und den Unternehmer selbst zur Folge hat.

Was ist ein externer Datenschutzbeauftragter in einem Unternehmen?

Ein externer Datenschutzbeauftragter ist ein zertifizierter Datenschutzexperte, der einem Unternehmen als Dienstleister zur Verfügung steht.

Die Grundlage seiner Tätigkeit ist dabei ein kostentransparenter Dienstleistungsvertrag, dessen Laufzeit variabel festgelegt wird und der auch beendet werden kann.

Der externe Datenschutzbeauftragte wird also im Rahmen eines Dienstleistungsverhältnisses für das Unternehmen tätig. Dabei ist der externe Dienstleister ein zertifizierter und hoch qualifizierter Experte im Datenschutz. Sein Wissen im Datenschutzrecht ist zudem immer auf dem neuesten Stand und sichert dadurch eine hohe Beratungskompetenz. Zur Ausübung seiner Tätigkeit muss der externe Datenschutzbeauftragte neben dem Datenschutzrecht auch mit weiteren Gesetzen wie dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) sowie benachbarten Bereichen des IT-Rechts vertraut sein. Ein externer Datenschutzbeauftragter arbeitet praxisorientiert, effizient und ist für das Unternehmen jederzeit verfügbar.

Ein externer Datenschutzbeauftragter lässt sich anhand verschiedener Faktoren von einem internen Datenschutzbeauftragten differenzieren:

  • Anfallende Kosten für das Unternehmen: Während bei einem internen Datenschutzbeauftragten zusätzlich zum regulären Gehalt Kosten für Aus- und Fortbildung sowie Erwerb von Literatur vom Unternehmen zu investieren sind, hat ein Unternehmen bei einem externen Datenschutzbeauftragten den Vorteil der transparenten Kostenstruktur, da vertraglich alle Kosten vorab definiert werden.
  • Kompetenz: Während ein interner Datenschutzbeauftragter zunächst zeitintensive und aufwendige Weiterbildungsmaßnahmen zur Erlangung der Fachkunde vornehmen muss, kann ein  externer Datenschutzbeauftragter bereits von Vertragsstart an zertifizierte und sofort abrufbare Fachkunde nachweisen.
  • Haftung: Ein interner Datenschutzbeauftragter haftet mit der sogenannten beschränkten Arbeitnehmerhaftung, was eine vollumfängliche Haftung des Geschäftsführers zur Folge hat. Im Gegensatz dazu haftet ein externer Datenschutzbeauftragter für seine Beratung, was zu einer Risikominimierung für das Unternehmen führt.
  • Kündigung: Ein interner Datenschutzbeauftragter unterliegt besonderem Kündigungsschutz, der mit der Stellung des Betriebsrats gleichzustellen ist. Die Beauftragung eines externen Datenschutzbeauftragten kann hingegen fristgerecht mit Kündigung des Vertrags beendet werden.

Was ist ein interner Datenschutzbeauftragter im Unternehmen?

Bei einem internen Datenschutzbeauftragten übergibt der Geschäftsführer einem Angestellten des Unternehmens die Aufgabe des Datenschutzbeauftragten.

Nach der Berufung zum internen Datenschutzbeauftragten

  • steht der Mitarbeiter unter Kündigungsschutz
  • hat er Rechte auf weitere Ansprüche (wie zum Beispiel eine eigene Ausstattung oder Fortbildungen)

Wenn ein interner Mitarbeiter alle notwendigen Anforderungen erfüllt, kann dieser als interner Datenschutzbeauftragter bestellt werden. Nach der Berufung zum internen Datenschutzbeauftragten steht der Mitarbeiter dabei unter Kündigungsschutz und hat Rechte auf weitere Ansprüche, wie zum Beispiel eine eigene Ausstattung oder Fortbildungen. Wird jedoch ein betrieblicher Datenschutzbeauftragter bestellt, der nicht die geforderten Fähigkeiten besitzt, wird dies gesetzlich so behandelt, als ob kein Datenschutzbeauftragter im Unternehmen vorhanden wäre. Neben dem internen Datenschutzbeauftragten gibt es auch die Möglichkeit, einen externen Dienstleister als Datenschutzbeauftragten des Unternehmens zu bestellen. Im Gegensatz zum internen Datenschutzbeauftragen ist der externe DSB ein zertifizierter Experte, der Ihrem Unternehmen als Dienstleister zur Verfügung steht. Die weitreichende Kompetenz eines externen und erfahrenen betrieblichen Datenschutzbeauftragten garantiert dabei den besten Schutz für Ihr Unternehmen. Bei transparenter Kostenstruktur, vertraglich festgelegten Preisen sowie einer variablen Vertragslaufzeit kümmert sich der externe Datenschutzbeauftragte effizient um die Belange Ihres Unternehmens und schützt Sie somit vor hohen Bußgeldern und Sanktionen.

Ein interner Datenschutzbeauftragter ist häufig die konstenintensivere Variante, da anfallende Weiterbildungs- und Lohnnebenkosten für den Mitarbeiter anfallen. Hinzu kommt, dass er sich nicht zu hundert Prozent um den Datenschutz des Unternehmens kümmert, da sich ein interner Beauftragter auch noch mit den ihm eigentlich zugedachten Aufgaben im Betrieb beschäftigen muss, sodass er durchschnittlich nur fünfundzwanzig Prozent seiner Arbeitszeit für den Datenschutz aufwenden kann.

Was sind die Aufgaben eines Datenschutzbeauftragten?

Zu den Aufgaben eines Datenschutzbeauftragten zählen:

  • Gewährleistung des Datenschutzes im Unternehmen
  • Aufbau und Kontrolle der Datensicherheit im Unternehmen
  • Management von Reputation und Auftreten des Unternehmens im Bereich Datenschutz
  • Gewährleistung der Unternehmenssicherheit
  • Aufbau und Organisation von datenschutzkonformen IT-Strukturen
  • Schulung und Unterweisung der Unternehmensmitarbeiter im Datenschutz
  • Beratung der Geschäftsführung in datenschutzrechtlichen Angelegenheiten
  • Zusammenarbeit mit datenschutzrechtlichen Kontrollbehörden im Auftrag des Unternehmens

Um die Aufgaben eines Datenschutzbeauftragten zu erfassen, ist ein Blick in das Bundesdatenschutzgesetz (BDSG) nützlich. Daraus ist zu entnehmen, dass der Datenschutzbeauftragte eines Unternehmens auf die Einhaltung des BDSG und anderer Vorschriften zum Datenschutz hinwirkt (§ 4g I 1 BDSG). „Hinwirken“ bedeutet in diesem Kontext, dass der Datenschutzbeauftragte für die Umsetzung der Vorschriften nicht selbst verantwortlich ist. Vielmehr hat der Datenschutzbeauftragte die Aufgabe, geeignete Maßnahmen zu ergreifen, um sicherzustellen, dass die geltenden Datenschutzgesetze im Unternehmen jederzeit umgesetzt und befolgt werden. Insbesondere hat der Datenschutzbeaufragte die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu überwachen und die im Unternehmen mit der Erhebung personenbezogener Daten beschäftigten Personen mit den gesetzlichen Anforderungen vertraut zu machen.

Ein Datenschutzbeauftragter hat also die Aufgabe, zunächst den Ist-Stand des Datenschutzniveaus in einem Unternehmen zu analysieren und infolge dessen der Geschäftsführung konkrete Vorschläge zur Verbesserung zu unterbreiten.

Wenn die Aufgaben des Datenschutzbeauftragten nicht gesetzeskonform erfüllt werden, ist bei einer internen Bestellung des Datenschutzbeauftragten das Unternehmen für Verstöße gegen datenschutzrechtliche Bestimmungen nach § 43 BDSG selbst verantwortlich. Das bedeutet, dass bei Verstößen eines internen Datenschutzbeauftragten die sogenannte Haftung im Rahmen der beschränkten Arbeitnehmerhaftung greift, was eine vollumfängliche Haftung des Geschäftsführers zur Folge hat. Im Gegensatz dazu mindert die Bestellung eines externen Datenschutzbeauftragen das Risiko für das Unternehmen , da dieser die volle Haftung für die von ihm erbrachte Datenschutzberatung übernimmt.

Was sind die wichtigsten Fähigkeiten eines Datenschutzbeauftragten?

  • Nachweisbare Fachkunde
  • Juristische Kenntnisse
  • IT-Kenntnisse
  • Betriebswirtschaftliche Kenntnisse
  • Zuverlässigkeit
  • Neutralität

Zum Datenschutzbeauftragten eines Unternehmens darf also nur bestellt werden, wer die erforderliche Sachkunde und Zuverlässigkeit besitzt (§ 4f BDSG). Ob ein Arbeitnehmer des Unternehmens diese Voraussetzungen erfüllt, bestimmt sich nach dem individuellen Einzelfall und hängt davon ab, um welche Daten es sich im bestimmten Fall handelt. Je größer der Kreis der von den Daten betroffenen Personen ist und je sensibler die Daten, desto höhere Anforderungen sind an die Fähigkeiten des internen Arbeitnehmers zu stellen. Merkmale für die Beurteilung der Zuverlässigkeit können beispielsweise persönliche Eigenschaften wie Verschwiegenheit, Verantwortungsbewusstsein und Integrität sein.

Die Zuverlässigkeit und Integrität eines Mitarbeiters sollte vor allem dann in Frage gestellt werden, wenn dem Datenschutzbeauftragten auch andere Tätigkeiten anvertraut sind und es dadurch zu Interessenkonflikten kommt. Sobald also ein Arbeitnehmer in seiner Tätigkeit als Datenschutzbeauftragter regelmäßig auch sich selbst kontrollieren müsste, scheidet dieser als adäquater Datenschutzbeauftragter aus. In diesem Fall muss ein externer Datenschutzbeauftragter bestellt werden. Es muss zusammenfassend gewährleistet sein, dass der Arbeitnehmer in der Funktion als Datenschutzbeauftragter jederzeit unabhängig agieren und eventuelle Verstöße des Unternehmens gegen gesetzliche Datenschutzbestimmungen beanstanden kann.

Neben den bereits erläuterten persönlichen Anforderungen sollte der Beauftragte auch fachliche Kenntnisse vorweisen können. Diese sind bei einem externen Datenschutzbeauftragten meist umfassender und tiefgehender vorhanden als bei einem innerbetrieblichen. Was unter der gesetzlich vorgeschriebenen „Sachkunde“ im Einzelnen gemeint ist, ergibt sich aber mit Blick auf die zu erfüllenden Aufgaben. Der Beauftragte muss zunächst umfassende IT-Kenntnisse vorweisen, um die fachgerechte Verwendung der Datenverarbeitungsprogramme sicherzustellen. Nur wenn er über den nötigen Sachverstand verfügt, um die technischen Vorgänge der Datenverarbeitung zu verstehen, kann er beurteilen, ob diese den datenschutzrechtlichen Vorgaben genügen. Darüber hinaus sind tiefergehende juristische und betrieblichswirtschaftliche Kenntnisse erforderlich. Insbesondere muss der Datenschutzbeauftragte fortlaufend über die gesetzlichen Bestimmungen und etwaige Änderungen im Bereich des Datenschutzrechts informiert sein. Vor allem zertifizierte externe Datenschutzbeauftragte können diese Fachkenntnisse vorweisen. Überdies verfügen sie aufgrund ihrer Tätigkeit Erfahrungswerte, aus denen sie schöpfen können.

Was sind personenbezogene Daten?

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 BDSG). Die Informationen müssen sich also nicht unmittelbar auf eine Person beziehen. Es reicht aus, wenn sie einer Person auf irgendeine Art und Weise zugeordnet werden können.

In der EU-DSGVO werden personenbezogene Daten weiter gefasst als bisher.

Sie umfassen nach Art. 4 Nr. 1 EU-DSGVO alle Informationen zur:

  • genetischen
  • geistigen
  • wirtschaftlichen
  • kulturellen und
  • sozialen Identität

einer identifizierten oder identifizierbaren Person.

Unternehmen sollten hinsichtlich der Verarbeitung von personenbezogenen Daten auch die Entwicklung des Datenschutzes weiter beobachten, da die Bundesregierung am 01.02.2017 einen Gesetzesentwurf zur Änderung des BDSG veröffentlicht hat, mit dem die verschärfte europäische Datenschutzgrundverordnung 2016/679 (die ab Mai 2018 in Kraft tritt) in nationale Gesetzgebung umgesetzt werden soll. Der genaue Gesetzestext und die daraus resultierenden Änderungen werden sich dabei erst im Laufe der Zeit ergeben, was eine besondere Aufmerksamkeit der Unternehmen voraussetzt.

Was versteht man unter einer „automatisierten Verarbeitung“?

Eine Definition für die „automatisierte Verarbeitung“ von Daten findet sich in § 3 Abs. 2 BDSG: Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen.

Mit Datenverarbeitungsanlagen sind Anlagen zum automatisierten Handhaben von Daten gemeint. Darunter fallen beispielsweise Computer.

Unternehmen, die sich also unmittelbar oder mittelbar mit der Verarbeitung von Daten befassen, fallen unter die allgemeinen Grundsätze des Datenschutzes wie auch unter die spezifischen Regelungen:

  • Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ist verboten und nur gestattet, soweit es das Gesetz vorsieht oder der Betroffene einwilligt (§ 4 Abs. 1 BDSG).
  • Größtmögliche Transparenz bei der Erhebung der Daten für den Betroffenen (§ 4 Abs. 3 BDSG)
  • Es sind nur die Daten zu erheben und zu verarbeiten, die für den Vorgang der Verarbeitung erforderlich und für den Zweck notwendig sind (§ 35 Abs. 2 Nr. 3 BDSG).
  • Der Unternehmer hat für den größtmöglichen Schutz der Daten besonders im Hinblick auf Zugriff von Dritten zu sorgen (§ 13 Abs. 4 Nr. 3 TMG).
  • Der Betroffene hat gegen den Unternehmer Anspruch auf Auskunft über die gespeicherten Daten (§ 13 Abs.7 TMG).

Wer kontrolliert Unternehmen bei der Einhaltung des BDSG?

Unternehmen werden bei der Einhaltung der Datenschutzgesetze von Datenschutz-Aufsichtsbehörden kontrolliert (§ 38 Abs 1 BDSG).

Diese übernehmen die Kontrollrechte gegenüber den Unternehmen und haben auch das Recht Bußgelder zu verhängen.

Die Aufsichtsbehörden für die Privatwirtschaft sind dabei je nach Bundesland unterschiedlichen Behörden zugeordnet.

Das BDSG ist der zentrale und zugleich wichtigste Normenkatalog im deutschen Datenschutzrecht. Nachdem seine ursprüngliche Fassung zum 1. Januar 1978 in Kraft getreten ist, ist es seitdem schon häufiger modifiziert und neugefasst worden. Der Hauptzweck des Bundesdatenschutzgesetzes ist nach § 1 Abs. 1 BDSG der Schutz des Persönlichkeitsrechts des Einzelnen im Umgang mit seinen personenbezogenen Daten. Daraus folgt auch die Regelung einer Vielzahl gesetzlicher Unternehmenspflichten und die Sanktionierung bei deren Nichtbeachtung. Gerade vor dem Hintergrund stetig wachsender digitaler Vernetzung steigt die Relevanz des Bundesdatenschutzgesetzes und die Einhaltung seiner Bestimmungen.

Durch die europäische Datenschutzgrundverordnung (EU-DSGVO) haben Unternehmen nicht nur mit einer Vielzahl neuer Regelungen und neuer Verpflichtungen, sondern bei Verstoß auch mit hohen Geldbußen zu rechnen. Die europäische Datenschutzgrundverordnung ersetzt die Richtlinie 95/46/EG, auf der das Bundesdatenschutzgesetz (BDSG) basiert, und ist ab 28. Mai 2018 unmittelbar anzuwenden. Somit muss das BDSG an die künftig geltende Rechtslage angepasst werden. Dies wurde auch von der Bundesregierung gewürdigt, die am 01.02.2017 einen Gesetzesentwurf zur Änderung des BDSG veröffentlicht hat.

Wie hoch sind die Bußgelder?

Bußgeldverfahren werden von den Aufsichtsbehörden nach Ermessen durchgeführt (§ 43 BDSG).

Die Höhe der Bußgelder richtet sich dabei nach der Schwere des Verstoßes.

Es wird zwischen

    • formalen Verstößen (bis 50.000 €) und
    • materiellen Verstößen (bis 300.000 €)

differenziert.

Seit 25. Mai 2018 sind auf Basis der EU-DSGVO Bußgelder bis zu 20.000.000 € möglich.

Das BDSG sieht bei Datenschutzverstößen finanzielle Sanktionen vor. So kann bei schweren Verstößen gemäß § 43 Abs. 3 BDSG ein Bußgeld bis zu einer Höhe von 300.000 € erhoben werden – vorausgesetzt, dass das Unternehmen aus der Missachtung der Datenschutzbestimmungen einen ökonomischen Vorteil gezogen hat. Ein Bußgeld folgt vor allem bei leichtfertiger Missachtung der Vorschriften im Rahmen der Erhebung, Verarbeitung und Nutzung personenbezogener (Kunden-)Daten. Aber auch Pflichtverletzungen infolge der gesetzlichen Auskunftspflichten können finanziell sanktioniert werden. Geschieht ein solcher Verstoß absichtlich oder gegen Entgelt, kann eine Freiheitsstrafe von bis zu zwei Jahren auf den verantwortlichen Unternehmer zukommen (§ 44 BDSG). Sofern kein betrieblicher Datenschutzbeauftragter bestellt ist, ist dabei immer der Unternehmer beziehungsweise der Geschäftsführer selbst für die Prozesse in seinem Unternehmen verantwortlich.

Abgesehen von diesen gesetzlichen Sanktionsvorschriften können den Unternehmer bei Datenverlust selbstverständlich auch Schadensersatzansprüche von geschädigten Personen treffen. Ein Datenschutzverstoß kann dabei schnell zur Zahlungspflicht erheblicher Summen führen. Unter Umständen kann eine Durchgriffshaftung eine Vollstreckung in das Privatvermögen des Geschäftsführers zur Folge haben. Eine möglicherweise bestehende Versicherung greift dabei bei Gesetzesverstößen nicht.