Neue Anforderungen an betriebliche Datenschutzbeauftragte

Am 24./25. November 2010 hat der Düsseldorfer Kreis hohe Mindestanforderungen zur erforderlichen Fachkunde und den Rahmenbedingungen für betriebliche Datenschutzbeauftragte beschlossen.[1] Die Beschlüsse des Düsseldorfer Kreises haben erhebliche Auswirkungen für die Unternehmen der Privatwirtschaft. Der Düsseldorfer Kreis ist das gemeinsame Abstimmungsgremium der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich. Die einzelnen auf Landesebene zuständigen Aufsichtsbehörden koordinieren ihr Vorgehen im Rahmen des Düsseldorfer Kreises und setzen dessen Beschlüsse in aller Regel konsequent um. Unternehmen sind gut beraten, die Anforderungen der Aufsichtsbehörden genau zu beachten, da der Unternehmensleitung andernfalls Geldbußen nach § 43 Abs. 1 Nr. 2 BDSG von bis zu 50.000 Euro drohen Der Beitrag beschreibt die Vorgaben des Düsseldorfer Kreises und gibt Handlungsempfehlungen zu deren Umsetzung.

I.         Gesetzliche Anforderungen betrieblichen Datenschutz­beauftragte und die Rahmenbedingungen ihrer Arbeit

Unternehmen müssen gemäß § 4f Abs. 1 BDSG unter anderem dann einen betrieblichen Datenschutzbeauftragten schriftlich bestellen, wenn sie zehn oder mehr Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen[2] oder Datenverarbeitungen vornehmen, die einer Vorabkontrolle unterliegen.[3] Der Datenschutzbeauftragte wirkt auf die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz hin.[4] Um diese Aufgaben ordnungsgemäß erfüllen zu können, muss der Datenschutzbeauftragte nach § 4f Abs. 2 BDSG über ein erforderliches Maß an Fachkunde und Zuverlässigkeit verfügen. Die erforderlichen rechtlichen, technischen sowie organisatorischen Mindestkenntnisse müssen bereits zum Zeitpunkt des Bestellung des Datenschutzbeauftragten vorliegen.[5]

II.        Mindestanforderungen und Folgen von Verstößen

Bei Kontrollen haben die obersten Aufsichtsbehörden nun festgestellt, dass Fachkunde und Rahmenbedingungen für die Arbeit der Datenschutzbeauftragten nicht durchgängig den Anforderungen des BDSG genügen.[6] Diese festgestellten Mängel haben die Aufsichtsbehörden nun zum Anlass genommen, um die Mindestanforderungen an die Fachkunde und Unabhängigkeit der betrieblichen Datenschutzbeauftragten näher festzulegen.

Unternehmen sind gut beraten, die Vorgaben der Aufsichtsbehörden zu beachten und umzusetzen. Denn die Bestellung eines Datenschutzbeauftragten, dessen Fachkunde, Zuverlässigkeit oder Stellung im Unternehmen nicht den gesetzlichen Anforderungen entspricht, kann gemäß § 43 Abs. 1 Nr. 2 BDSG mit einem Bußgeld von bis zu 50.000 Euro bestraft werden.[7] Das Bekanntwerden eines solchen Vorgangs würde zudem voraussichtlich zu erheblichen Rufschäden, möglicherweise aber auch zu weiteren Ermittlungen der Aufsichtsbehörden führen.

1.         Erforderliche Fachkunde des Datenschutzbeauftragten

Datenschutzbeauftragte müssen über die für die Erfüllung ihrer Aufgaben notwendige Fachkunde verfügen.[8] Das Gesetz bestimmt nicht näher, was genau unter dieser erforderlichen Fachkunde genau zu verstehen ist. Vor dem Hintergrund gestiegener Anforderungen an die Funktion des Datenschutzbeauftragten fordern die Aufsichtsbehörden als Mindestmaß nun die nachfolgend beschriebenen datenschutzrechtlichen und technisch-organisatorischen Kenntnisse.

a)         Umfassende allgemeine Kenntnisse im Datenschutzrecht

Unabhängig von der Branche und der Größe des Unternehmens muss jeder Datenschutzbeauftragte über nicht erhebliches Wissen im Datenschutzrecht verfügen. Dies umfasst unter anderem Grundkenntnisse zu den verfassungsrechtlich garantierten Persönlichkeitsrechten der von Datenverarbeitungen Betroffenen und der Mitarbeiter des Unternehmens.[9] Zudem erfordert die Bestellung zum Datenschutzbeauftragten umfassende Kenntnisse der für das Unternehmen einschlägigen Regelungen des BDSG.[10] Dies betrifft etwa auch die technischen und organisatorischen Bestimmungen zum Datenschutz, wie etwa § 9 BDSG.

Auch mit den tragenden Prinzipien des Datenschutzes muss der Datenschutzbeauftragte gut vertraut sein.[11] Diese Forderung der Aufsichtsbehörden bezieht sich vor allem auf die anerkannten Grundsätze zum Datenschutz. Hier sind etwa der datenschutzrechtliche Verhältnismäßigkeitsgrundsatz (etwa in Form der Verpflichtung zur Datenvermeidung und Datensparsamkeit gemäß § 3a BDSG), das Prinzip des Verbots der Datenverarbeitung mit Erlaubnisvorbehalt nach § 4 Abs. 1 BDSG, der Zweckbindungsgrundsatz und das Transparenzgebot zu nennen.

b)         Branchenspezifische Kenntnisse

Abhängig von der Branche, Größe oder IT-Infrastruktur des jeweiligen Unternehmens und der Sensibilität der zu verarbeitenden Daten können nach Auffassung der Aufsichtsbehörden noch die nachstehend beschriebenen weiteren Mindestanforderungen hinzu kommen.

Danach sind auch umfassende Kenntnisse solcher spezialgesetzlicher datenschutzrelevanter Vorschriften erforderlich, die für das jeweilige Unternehmen wichtig sind.[12] So wird etwa der Datenschutzbeauftragte einer Bank über Detailkenntnisse zu § 25c KWG oder der Datenschutzbeauftragte einer Versicherung über nicht unerhebliches Wissen zu § 80d VAG verfügen müssen.

Zudem fordern die Aufsichtsbehörden Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit.[13] Dies soll unter anderem die physische Sicherheit von Datenverarbeitungsanlagen, Kryptographie, Netzwerksicherheit, Schadsoftware und Schutzmaßnahmen betreffen.[14] Auch Kenntnisse im praktischen Datenschutzmanagement des Unternehmens sollen je nach Unternehmen und Branche notwendig sein. Der Beschluss des Düsseldorfer Kreises nennt als Beispiele die zur Durchführung von Kontrollen, die Beratung der Unternehmensführung und der Mitarbeiter, die Strategieentwicklung, die Dokumentation von datenschutzrelevanten Vorgängen, die Erstellung von Verzeichnissen, sowie Kenntnisse zur Logfile-Auswertung, zum Risikomanagement, zur Analyse von Sicherheitskonzepten, über Betriebsvereinbarungen, Videoüberwachungen und die Zusammenarbeit mit dem Betriebsrat.[15]

Gegebenenfalls muss der Datenschutzbeauftragte auch eine betriebswirtschaftliche Grundkompetenz vorweisen. Dies kann nach den Vorgaben des Düsseldorfer Kreises etwa Personalwirtschaft, Controlling, Finanzwesen, Vertrieb, Management oder Marketing umfassen. Ferner fordern die Aufsichtsbehörden Kenntnisse der technischen und organisatorischen Struktur des Unternehmens.[16] Der Datenschutzbeauftragte sollte sich daher mit Aufbau- und Ablaufstrukturen sowie der Organisation des Unternehmens auskennen.

2.         Anforderungen an die Unabhängigkeit des Datenschutzbeauftragten

Der betriebliche Datenschutzbeauftragte nimmt in Unternehmen eine Sonderrolle ein. Um ihm die unabhängige Ausübung seiner Kontroll- und Beratungsfunktionen zu ermöglichen, muss ihn das Unternehmen direkt der Unternehmensleitung unterstellen. Bezüglich Fragen des Datenschutzes ist er weisungsfrei, er genießt zudem einen gesetzlichen Sonderkündigungsschutz.

a)         Regelungen zur Vermeidung von Interessenkonflikten

Datenschutzbeauftragte sind gemäß § 4f Abs. 3 S. 2 BDSG in der Ausübung ihrer Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Zur ordnungsgemäßen Erfüllung ihrer Aufgaben billigen die Aufsichtsbehörden den betrieblichen Datenschutzbeauftragten ein hohes Maß an Unabhängigkeit im Unternehmen zu. Gemäß § 4f Abs. 3 S. 1 BDSG muss der Datenschutzbeauftragte direkt der Unternehmensführung unterstellt sein.

Der Datenschutzbeauftragte muss seine Aufgaben und Verpflichtungen ohne Interessenkonflikte erfüllen können. Das müssen Unternehmen nach den Forderungen der Aufsichtsbehörden auch durch entsprechende organisatorische und vertragliche Regelungen innerhalb der verantwortlichen Stelle sicherstellen und dies sowohl innerhalb des Unternehmens als auch nach außen hin publik zu machen.[17] Dies dürfte in der Praxis zu einer Verpflichtung von Unternehmen führen, die Öffentlichkeit nicht nur von den Kontaktdaten des Datenschutzbeauftragten zu informieren, sondern darüber hinaus auch bekannt zu geben, mit welchen Mitteln das Unternehmen die Unabhängigkeit des Datenschutzbeauftragten sicherstellt.

b)         Bestellung externer Datenschutzbeauftragter

Ein Unternehmen darf einen angestellten (internen) Datenschutzbeauftragten wegen der Erfüllung seiner Aufgaben in Hinblick auf sein Beschäftigungsverhältnis gemäß § 4f Abs. 3 S. 3 ff. BDSG nicht benachteiligen. Hieraus folgern die Aufsichtsbehörden, dass auch bei der Bestellung eines externen (also unternehmensfremden) Datenschutzbeauftragten der Dienstvertrag so ausgestaltet sein muss, dass grundsätzlich eine unabhängige Erfüllung der gesetzlichen Aufgaben gewährleistet wird. Dies soll durch entsprechende Kündigungsfristen, Zahlungsmodalitäten, Haftungsfreistellungen und Dokumentationspflichten gewährleistet werden.[18] § 4f Abs. 3 BDSG schränke insoweit die grundsätzliche Vertragsfreiheit ein. Der Düsseldorfer Kreis empfiehlt grundsätzlich eine Vertragslaufzeit von mindestens vier Jahren, bei Erstverträgen wird wegen der Notwendigkeit der Überprüfung der Eignung grundsätzlich eine Vertragslaufzeit von ein bis zwei Jahren empfohlen.[19] Bei Bestellung eines externen Datenschutzbeauftragten müssen Unternehmen eine bedarfsgerechte Leistungserbringung sicherstellen. Auch externe Datenschutzbeauftragten müssen ihre Leistungen in angemessenem Umfang in der beauftragenden verantwortlichen Stelle selbst erbringen.[20] Hierfür sollen Unternehmen und externer Datenschutzbeauftragter ein angemessenes Zeitbudget konkret vereinbaren und vertraglich festgelegen.[21]

Bei der Bestellung von externen Datenschutzbeauftragten kann die gesetzlich vorgeschriebene Fortbildung nach Auffassung des Düsseldorfer Kreises Bestandteil der vereinbarten Vergütung sein und muss nicht zusätzlich erbracht werden.[22]

In der Praxis dürften die hohen Anforderungen der Aufsichtsbehörden wahrscheinlich zu einer nicht unerheblichen Zunahme der Bestellung externer Datenschutzbeauftragter führen.

3.         Rahmenbedingungen innerhalb des Unternehmens

Die Aufsichtsbehörden machen zudem eine Reihe von Vorgaben, welche internen Strukturen zur Sicherstellung der gesetzlichen Anforderungen notwendig sind.

Das Unternehmen muss sicherstellen, dass es dem Datenschutzbeauftragten zur Erfüllung seiner Pflichten gemäß § 4g BDSG die erforderlichen Zutritts- und Einsichtsrechte in alle betrieblichen Bereiche einräumt.[23] Die Aufsichtsbehörden fordern zudem, dass das Unternehmen den Datenschutzbeauftragten in alle relevanten betrieblichen Planungs- und Entscheidungsabläufe einbindet.[24] In der Praxis kann dies in vielen Unternehmen zu einer deutlichen Aufwertung der Bedeutung und der Beteiligung des Datenschutzbeauftragten bei wesentlichen Entscheidungsprozessen führen.

III.      Ergebnis und Handlungsempfehlungen

Die Forderungen der Aufsichtsbehörden gehen sehr weit. Vor allem die von den Aufsichtsbehörden verlangten Fachkenntnisse erfordern ausgesprochen umfangreiche Vorkenntnisse und ein hohes Maß an Spezialisierung. Da der Unternehmensführung bei der Bestellung eines nicht hinreichend fachkundigen Datenschutzbeauftragten hohe Bußgelder drohen, ist Vorsicht geboten. Andererseits stellen die Aufsichtsbehörden auch klar, dass die Belastung des Datenschutzbeauftragten durch die Größe des Unternehmens, die Anzahl der vom einzelnen Datenschutzbeauftragten betreuten Unternehmen, die Besonderheiten branchenspezifischer Datenverarbeitungen und dem Grad der Schutzwürdigkeit der verarbeiteten personenbezogenen Daten beeinflusst wird. Richtigerweise sind an große Unternehmen oder solche Unternehmen, die besonders viele oder sensible Datenverarbeitungen vornehmen, höhere Anforderungen zu richten.

Die Aufsichtsbehörden empfehlen den Besuch von Fortbildungsveranstaltungen, um eventuell bestehende Informationsdefizite auszugleichen.[25] Ob dies in der Praxis ausreichen wird, um den umfassenden Forderungskatalog des Düsseldorfer Kreises zu erfüllen, bleibt abzuwarten. Unternehmen sollten jedenfalls möglichst zeitnah sicherstellen, dass ihr Datenschutzbeauftragter die beschriebenen hohen Anforderungen an Fachkunde und Stellung im Unternehmen erfüllt. Soweit erforderlich lässt sich die erforderliche Fachkunde auch durch die vertraglich dokumentierte Zusammenarbeit mit externen Datenschutzexperten sicherstellen.

* * *


[1] Der Beschluss des Düsseldorfer Kreises vom 24./25. November 2010 (nachstehend zitiert als „Beschluss des Düsseldorfer Kreises“) ist unter anderem auf der Homepage des Landesdatenschutzbeauftragten von Nordrhein-Westfalen abrufbar (abgerufen am 6. Januar 2011): https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Beschluesse_Duesseldorfer_Kreis/Inhalt/2010/Mindestanforderungen_an_Datenschutzbeauftragte/Mindestanforderungen_an_DSB_nach_4f_II_und_III_BDSG.pdf.

[2] § 4f Abs. 1 S. 1 und S. 4 BDSG.

[3] § 4f Abs. 1 S. 6 BDSG.

[4] § 4g Abs. 1 S. 1 BDSG.

[5] Beschluss des Düsseldorfer Kreises, S. 2.

[6] Beschluss des Düsseldorfer Kreises, S. 1.

[7] Vgl. Scheja, in Taeger/Gabel (Hrsg.), BDSG, 1. Aufl. 2010, § 4f, Rn. 72; Gola/Schomerus, BDSG, 10. Auflage 2010, § 4f, Rn. 23.

[8] § 4f Abs. 2 S. 2 BDSG.

[9] Beschluss des Düsseldorfer Kreises, S. 1.

[10] Beschluss des Düsseldorfer Kreises, S. 1.

[11] Beschluss des Düsseldorfer Kreises, S. 1.

[12] Beschluss des Düsseldorfer Kreises, S. 1.

[13] Beschluss des Düsseldorfer Kreises, S. 1.

[14] Beschluss des Düsseldorfer Kreises, S. 1.

[15] Beschluss des Düsseldorfer Kreises, S. 2.

[16] Beschluss des Düsseldorfer Kreises, S. 2.

[17] Beschluss des Düsseldorfer Kreises, S. 2.

[18] Beschluss des Düsseldorfer Kreises, S. 2.

[19] Beschluss des Düsseldorfer Kreises, S. 2.

[20] Beschluss des Düsseldorfer Kreises, S. 3.

[21] Beschluss des Düsseldorfer Kreises, S. 3.

[22] Beschluss des Düsseldorfer Kreises, S. 3.

[23] Beschluss des Düsseldorfer Kreises, S. 3.

[24] Beschluss des Düsseldorfer Kreises, S. 3.

[25] Beschluss des Düsseldorfer Kreises, S. 2.

Keine Kommentare

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird niemals weitergegeben.Erforderliche Felder sind mit einem * markiert.