Betrieblicher Datenschutz - der Datenschutzbeauftragte, das unbekannte Wesen

Bedarfsermittlung

∅ 4 / 1 Bewertungen

Bedarfsermittlung

Beim Thema Datenschutz sieht es in vielen Kleinbetrieben düster aus. Der Grund: Viele Unternehmer sind unsicher, wann sie verpflichtet sind, einen Datenschutzbeauftragten zu berufen. - Die IT-Recht-Kanzlei klärt auf.

Wenn im eigenen Unternehmen personenbezogene Daten verarbeitet werden, ist die Bestellung eines Datenschutzbeauftragten meist unerlässlich. Aber: Wer braucht ihn wirklich - und wo findet man einen?

Der Datenschutzbeauftragte gehört zu den "Wolpertingern" des deutschen Rechts, entpuppt sich bei näherer Betrachtung aber als ausgesprochen zahm. Der ihm zugrunde liegende Gedanke ist recht simpel: der Gesetzgeber will sicherstellen, dass in jedem Betrieb mit hohem Datenaufkommen mindestens ein Mitarbeiter über fundierte Kenntnisse im Bereich Datenschutz verfügt und dass durch ihn im gesamten Betrieb die Idee des Datenschutzes präsent gehalten wird.

Teil I: Bedarfsermittlung

Zunächst ist zu ermitteln, welche Stellen überhaupt einen Datenschutzbeauftragen benötigen.

Wer?

Gemäß § 4f i.V.m. § 2 Abs. 4 BDSG kommt in der freien Wirtschaft für alle "nicht-öffentlichen Stellen", bei denen mit personenbezogenen Daten hantiert wird, ein Datenschutzbeauftragter in Betracht. Laut Gesetz sind das:

  • natürliche Personen: insbesondere sind hier Angehörige der freien Berufe gemeint, also selbstständige Ärzte, Anwälte, Ingenieure, Architekten etc.

  • juristische Personen, Gesellschaften und andere Personenvereinigungen: also alle Zusammenschlüsse von Einzelpersonen, z.B. Vereine, Gesellschaften, Genossenschaften, Anwaltskanzleien, Praxisgemeinschaften etc.

Der Einfachheit halber werden diese Stellen im Folgenden "Betriebe" genannt.

Wird bei diesen Stellen mit relevanten Daten hantiert?

Der Datenschutzbeauftragte ist nur für den Umgang mit personenbezogenen Daten zuständig. Gemäß § 3 Abs. 1 BDSG sind dies "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten bzw. bestimmbaren natürlichen Person". Mit anderen Worten: Jede Information, die direkt von einer Einzelperson erhoben wurde und die konkret auf diese zutrifft. Neben den üblichen Personalien kommen hier auch E-Mail-Adresse, medizinische Daten, Umfrageergebnisse, Angaben zu den Vermögensverhältnissen, Prüfungsnoten etc. in Betracht.

Es geht hier nicht nur um die Speicherung auf EDV-Datenträgern (wie Festplatte oder CD-ROM), sondern auf allen Arten von Informationsträgern, wie z.B. Patientenakten, Umfragebögen, Adresslisten etc.!

Wie wird mit diesen Daten hantiert?

In § 4f Abs. 1 BDSG wird schließlich konkret geregelt, ob ein Datenschutzbeauftragter zu bestellen ist oder nicht. Dies wird davon abhängig gemacht, wie mit den personenbezogenen Daten gearbeitet wird. Unterschieden werden vier Fälle.

Fall 1 - Betriebe, in denen mit personenbezogenen Daten gearbeitet wird (§ 4f Abs. 1 Satz 3 BDSG):

Hier sind alle Betriebe gemeint, in denen in irgendeiner Form systematisch bestimmte Daten erhoben, gespeichert, eingesehen oder sonst verarbeitet werden. Dies können Personalbögen, Patientenunterlagen, Adresskarteien oder sonstige Sammlungen sein, egal ob digital oder auf Papier. Diese Betriebe müssen immer dann einen Datenschutzbeauftragten bestellen, wenn 20 oder mehr Personen regelmäßig mit diesen Daten arbeiten.

Doch nicht jede bloße Kenntnisnahme solcher Daten führt auch dazu, dass ein Mitarbeiter zu diesen zwanzig Personen gezählt wird. Vielmehr muss hier gezielt mit diesen Daten gearbeitet werden (z. B. Suche, Nutzung, Erhebung, Auswertung etc.).

Eine Sekretärin, die gelegentlich Briefe an Kunden schreibt und dabei Kenntnis von deren Adresse erlangt, zählt nicht zu diesen Personen.
Anders liegt der Fall bei einer Arzthelferin, die regelmäßig und gezielt auf die Patientenkartei zugreift. Dabei ist es übrigens unerheblich, ob die Person in Voll- oder Teilzeit beschäftigt ist; erheblich ist allein der Zugriff.

Fall 2 - Betriebe, in denen personenbezogene Daten automatisiert verarbeitet werden (§ 4f Abs. 1 Satz 4 BDSG):

Wird in den Betrieben aus Fall 1 "automatisiert" - also mit EDV-Unterstützung - gearbeitet, so muss es bereits dann einen Datenschutzbeauftragten geben, wenn zehn oder mehr Personen Zugriff haben.

Es bleibt natürlich fraglich, welche Arbeit am PC das Merkmal "automatisiert" erfüllt. Hier ist ein gewisser Verarbeitungsprozess notwendig; auf eine simple Excel-Tabelle, die anstelle einer Kladde geführt wird, dürfte dies nicht zutreffen. Werden dagegen z. B. Daten über eine Access-Eingabemaske in eine Datenbank eingepflegt, ist bereits ein gewisser Automatisierungsgrad erreicht.

Fall 3 - Betriebe, in denen personenbezogene Daten geschäftsmäßig an Dritte weitergegeben werden (vgl. § 4f Abs. 1 Satz 6 BDSG):

Gemeint sind hier Betriebe, wie z. B. Telefonauskunfteien oder Marktforschungsinstitute, die geschäftsmäßig personenbezogene Daten speichern oder erheben und diese dann an Dritte "verkaufen". Diese Betriebe müssen grundsätzlich einen Datenschutzbeauftragten bestellen - und zwar auch dann, wenn die Daten in anonymisierter Form weitergegeben werden!

Fall 4 - Betriebe, in denen personenbezogene Daten einer Vorabkontrolle unterzogen werden (vgl. ebenfalls § 4f Abs. 1 Satz 6 BDSG):

Gemeint sind hier Betriebe wie z.B. Forschungsstellen, die regelmäßig Personendaten erheben und dabei vor der Speicherung oder Weiterverarbeitung gezielt nach bestimmten Merkmalen (z. B. bestimmten Krankheiten, Kundenkriterien etc.) suchen. Diese Betriebe müssen ebenfalls grundsätzlich einen Datenschutzbeauftragten bestellen.

An dieser Stelle sollte feststehen, ob Sie einen Datenschutzbeauftragten benötigen - oder nicht.