Wie setzt der Datenschutzbeauftragte den Datenschutz im Unternehmen um?

Zusammenfassung

Das Bundesdatenschutzgesetz enthält keinen abschließenden Katalog der Aufgaben des Datenschutzbeauftragten. Typische Tätigkeitsfelder des Datenschutzbeauftragten sind:

  • Durchführung einer Bestandsaufnahme
  • Fachkunde Datenschutzbeauftragter gewährleisten / Fortbildungen
  • Hinwirken auf richtige und vollständige Mitarbeiterverpflichtung
  • Hinwirken auf Wahrung der Betroffenenrechte
  • Prüfen der internen Verarbeitungsübersichten
  • Prüfen des öffentlichen Verfahrenverzeichnisses
  • Datenschutzrechtliche Prüfung Internetauftritt
  • Sensibilisieren und schulen der Beschäftigten
  • Hinwirken auf schriftliche Dienstleisterverträge
  • Hinwirken auf Auftragskontrolle
  • Hinwirken auf sichere Datenträgerentsorgung
  • Hinwirken auf sonstige Datensicherheitsmaßnahmen
  • Vorabkontrolle und Prüfung automatisierter Verarbeitungen
  • Hinwirken auf Datenschutzordnung (Dienstanweisung)
  • Beraten in sonstigen Datenschutzfragen

Je nach Tätigkeitsfeld des Unternehmens können auch regelmäßige interne Datenschutzkontrollen und jährliche Tätigkeitsberichte des Datenschutzbeauftragten zu seinen Aufgaben gehören (insbesondere dann, wenn die verantwortliche Stelle als Dienstleister personenbezogene Daten für verschiedene Auftraggeber verarbeitet.

Beschreibung der Aufgaben des Datenschutzbeauftragten anhand des Gesetzes

Die Aufgaben des externen Datenschutzbeauftragten richten sich grundsätzlich nach § 4g BDSG. Dort ist Folgendes festgehalten:

  • Der Beauftragte für den Datenschutz (Datenschutzbeauftragter) wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin.
  • Er hat insbesondere die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen.
  • Er hat die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Datenschutzvorschriften und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen (d.h. Datenschutzschulungen durchzuführen und Datenschutzinformationen zu erstellen).
  • Der Beauftragte für den Datenschutz macht das öffentliche Verfahrensverzeichnis auf Antrag jedermann in geeigneter Weise verfügbar.

Beschreibung der Aufgaben des Datenschutzbeauftragten nach Ansicht der Aufsichtsbehörden

Mit der gesetzlichen Regelung ist insgesamt nicht viel über die eigentliche Tätigkeit des Datenschutzbeauftragten gesagt.

Anhaltspunkte für die Aufgaben des Datenschutzbeauftragten kann der Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich Düsseldorfer Kreis am 24./25. November 2010 liefern, in welchem die Mindestanforderungen an Fachkunde des Datenschutzbeauftragten definiert sind (hierzu finden Sie Einzelheiten in dem Artikel Welche Voraussetzungen müssen Datenschutzbeauftragte erfüllen?). Dort befinden sich jedoch eher die Anforderungen, die an den Datenschutzbeauftragten zur Erfüllung seiner Aufgaben gestellt werden. Die Aufgaben selbst werden nicht konkretisiert.

Beschreibung der Aufgaben des Datenschutzbeauftragten entsprechend dem beruflichen Leitbild des BvD e.V.

Inhaltlich aussagekräftiger ist hier das „berufliche Leitbild des Datenschutzbeauftragten“ (Stand 2011), welches vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. herausgegeben worden ist. Allerdings wird auch hier sehr allgemein argumentiert. So heißt es z.B. „Der Datenschutzbeauftragte etabliert betriebswirtschaftliche Positiveffekte und minimiert Risiken für das Unternehmen durch Optimierung von Prozessen. Er benennt die kritischen Punkte in der Unternehmens- bzw. Behördenorganisation, zieht bei Bedarf Fachkompetenzen hinzu und generiert Lösungen. Rechtzeitig reagiert er auf Fehlentwicklungen, zeigt Alternativen auf und verhindert damit betriebswirtschaftlich relevante Negativeffekte. Er nimmt alle datenschutzrelevanten Abläufe des Unternehmens bzw. der Behörde wahr.

Zumindest der letzte Satz wiederspricht meines Erachtens der Aufgabenzuweisung des BDSG, welche einen Teil der Aufgaben des Datenschutzes bewusst bei der verantwortlichen Stelle belässt.

Das Leitbild definiert im Übrigen folgende Aufgaben des Datenschutzbeauftragten:

- Prüfungsaufgaben

  • Prüfung von IT-Systemen
  • Prüfung von Verträgen
  • Prüfung technischer und organisatorischer Maßnahmen
  • Prüfung vor Einführung („Vorabkontrolle“)
  • Überprüfung von Beschwerden und Vorfällen

- Gestaltungsaufgaben

  • Erstellung datenschutzrelevanter Unterlagen: Richtlinien und Dienstanweisungen bzw.  Arbeitsanweisungen; Betriebsvereinbarungen, Öffentliches Verfahrensverzeichnis und interne Verarbeitungsübersicht; Maßnahmenvorschläge
  • Erstellung und Weiterentwicklung eines Datenschutzkonzeptes
  • Sicherung der Betroffenenrechte
  • Hinwirken auf Transparenz der Verarbeitung

- Mitwirkung in Prozessen und Projekten der verantwortlichen Stelle

  • Erarbeitung von Stellungnahmen
  • Mitwirkung bei datenschutzrelevanten Entscheidungen

- Berichten und Informieren

  • Regelmäßige Unterrichtung der Unternehmens- bzw. Behördenleitung
  • Regelmäßige Berichte an Bereiche der verantwortlichen Stelle
  • Kommunikation mit der Datenschutzaufsichtsbehörde
  • Regelmäßige Tätigkeitsberichte

- Schulungs- und Sensibilisierungsaufgaben

Soweit die Aufgaben des Datenschutzbeauftragten nach dem „beruflichen Leitbild“ des BvD e.V., bei dem ich mich aus Platzgründen auf die Nennung der Überschriften beschränkt habe.

Das Problem bei der Aufzählung liegt freilich dann immer im Detail. Denn hier entscheidet sich, inwieweit der Datenschutzbeauftragte berät, unterstützt oder tatsächlich eigenverantwortlich etwas erstellt. Dies kann man dann auch an den jeweiligen Erläuterungen zu den Überschriften im „beruflichen Leitbild“ erkennen. Manchmal wird der Rahmen allerdings etwas überspitzt. Insbesondere kann es nicht primäre Aufgabe des Datenschutzbeauftragten sein, Rechtsberatung zu betreiben, ganz unabhängig von der Frage, ob es dies im Zusammenhang mit seiner Aufgabe als Datenschutzbeauftragter nach dem Rechtsdienstleistungsgesetz in gewissen Grenzen darf.

Auch stellt sich natürlich immer die Frage, inwieweit auf Seiten des Unternehmens jemand die vom Datenschutzbeauftragten verlangten Informationen in dieser Vollständigkeit auch entgegennehmen kann oder überhaupt möchte. Häufig, gerade im Zusammenhang mit der Tätigkeit als externer Datenschutzbeauftragter, besteht eher der Anspruch nur über wirklich wichtige Dinge informiert zu werden. Dies korreliert ein wenig auch mit dem Preisen für die auch die seriösen Anbieter aktuell diese Dienstleitung am Markt anbietet. Bei typischen mittelständischen Unternehmen kleinerer Größe ist selten mehr als halber Tagessatz im Monat üblich. Interne Datenschutzbeauftragte machen diesen „Job“ regelmäßig neben anderen Tätigkeiten mit.

Nach meiner Einschätzung nimmt das „berufliche Leitbild“ den Datenschutzbeauftragten tendenziell überproportional in die Verantwortung, wenn man die tatsächliche Haftungsverteilung anhand des Bundesdatenschutzgesetzes gegenüberstellt. Trotzdem ist der Ansatz ein solches „beruflichen Leitbild“ zu definieren lobenswert und liefert für die Praxis hilfreiche Informationen.

Eigene Darstellung der Aufgabe des Datenschutzbeauftragten

Zuletzt möchte ich eine eigene Darstellung der Aufgaben des Datenschutzbeauftragten geben. Diese Darstellung erhebt zu diesem Zeitpunkt keinen Anspruch auf Vollständigkeit.

Mit Beginn der Tätigkeit hat der Datenschutzbeauftragte eine Bestandsaufnahme durchzuführen. Im Rahmen der Bestandsaufnahme schaut sich der Datenschutzbeauftragte die verantwortliche Stelle (das Unternehmen) an und beurteilt, welche der erforderlichen Datenschutzmaßnahmen in welchen Umfang durch die verantwortliche Stelle erfüllt bzw. nicht erfüllt werden. Für die Bestandsaufnahme kommt es darauf an, dass man anhand der eigenen, vorhandenen, Erfahrungswerte eine realistische Einschätzung der erforderlichen Datenschutzmaßnahmen treffen kann, um anhand dessen, die zukünftigen Aktivitäten zu bestimmen. Grundsätzlich soll nur das verlangt werden, was gesetzliche vorgeschrieben ist oder den gesetzlichen Regelungen entspricht.

Die dann im Folgenden zu planenden Aktivitäten sollten in einer Aktionspunkteliste festgehalten und in Abstimmung mit der Geschäftsleitung entsprechend der Dringlichkeit und dem Aufwand der Maßnahme priorisiert werden.

Vom Datenschutzbeauftragten wird häufig verlangt, dass er seine Aktivitäten im einem Datenschutzhandbuch oder Datenschutzkonzept dokumentiert bzw. anders ausgedrückt, dass er ein Datenschutzmanagement betreibt. Häufig sind ähnliche Dinge gemeint. Grundsätzlich kann der Datenschutzbeauftragte seine Maßnahmen aber so dokumentieren, wie er es für sinnvoll hält.

Ich empfehle regelmäßig eine Rahmenrichtlinie zu erstellen, in der die Maßnahmen des Unternehmens und des Datenschutzbeauftragten zur Verwirklichung des Datenschutzes gemeinsam beschrieben sind. Diese sollte von der Geschäftsführung autorisiert werden, damit dann über diese Punkte (z.B. Betroffenenrechte, Schulungsintervalle, Auftragskontrolle etc.) keine Unklarheiten über deren Verbindlichkeit mehr aufkommen kann.

Typische Tätigkeitsfelder des Datenschutzbeauftragten, die dann auch Gegenstand einer Rahmenrichtlinie sein sollten, sind:

  • Fachkunde Datenschutzbeauftragter gewährleisten / Fortbildungen
  • Hinwirken auf richtige und vollständige Mitarbeiterverpflichtung
  • Hinwirken auf Wahrung der Betroffenenrechte
  • Prüfen der internen Verarbeitungsübersichten
  • Prüfen des öffentlichen Verfahrenverzeichnisses
  • Datenschutzrechtliche Prüfung Internetauftritt
  • Sensibilisieren und schulen der Beschäftigten
  • Hinwirken auf schriftliche Dienstleisterverträge
  • Hinwirken auf Auftragskontrolle
  • Hinwirken auf sichere Datenträgerentsorgung
  • Hinwirken auf sonstige Datensicherheitsmaßnahmen
  • Vorabkontrolle und Prüfung automatisierter Verarbeitungen
  • Hinwirken auf Datenschutzordnung (Dienstanweisung)
  • Beraten in sonstigen Datenschutzfragen

Je nach Tätigkeitsfeld des Unternehmens können auch regelmäßige interne Datenschutzkontrollen und jährliche Tätigkeitsberichte des Datenschutzbeauftragten zu seinen Aufgaben gehören (insbesondere dann, wenn die verantwortliche Stelle als Dienstleister personenbezogene Daten für verschiedene Auftraggeber verarbeitet.

nach oben