Lade Inhalt...

Der betriebliche Datenschutzbeauftragte

Zweck der Einrichtung, Formen der Institutionalisierung, Aufgaben und Spannungsfelder

von Busch Björn (Autor) Sina Leyendecker (Autor)

Hausarbeit (Hauptseminar) 2006 51 Seiten

BWL - Recht

Leseprobe

Inhaltsverzeichnis

A. Der Datenschutz
I. Wozu Datenschutz?
II. Der Begriff Datenschutz
III. Das Bundesdatenschutzgesetz
1. Historische Entwicklung
2. Die Anwendung
3. Die Kontrollinstanzen
IV. Die Landesdatenschutzgesetze
V. Weitere Schutzgesetze
VI. Gemeinsame Aufgaben der Schutzgesetze

B. Der betriebliche Datenschutzbeauftragte
I. Die Bestellung des Datenschutzbeauftragten
1. Rechtsgrundlage und Anwendungsbereich
2. Wann muss ein Datenschutzbeauftragter bestellt werden?
3. Wer kann Datenschutzbeauftragter werden?
a). Anforderung der Fachkunde
b) Anforderung der Zuverlässigkeit
4. Wie ist der Datenschutzbeauftragte zu bestellen?
a) Schriftliche Bestellung
b) Beteiligung des Betriebsrates
c) Kommissarische Bestellung
II. Stellung und Befugnisse
1. Stellung in der Hierarchie
2. Rechte und Grenzen in der Tätigkeit
3. Verschwiegenheitspflicht
4. Zeugnisverweigerungsrecht
5. Unterstützungspflicht der verantwortlichen Stellen
6. Direktes Vorsprachrecht beim Beauftragten für Datenschutz
7. Benachteiligungsverbot
8. Widerruf der Bestellung

C. Aufgaben des betrieblichen Datenschutzbeauftragten
I. Beratung und Mitwirkung
1. Sicherung der technischen und organisatorischen Maßnahmen
2. Mitwirkung bei der Personalauswahl
a) Mitwirkung des betrieblichen Datenschutzbeauftragten bei der Personalauswahl
b) Die Beteiligung beim Vorstellungsgespräch
c) Die Beteiligung des betrieblichen Datenschutzbeauftragten vor Ablauf der
Probezeit
II. Schulung
1. Allgemeine Schulungsaufgaben
2. Verpflichtung auf das Datengeheimnis
III. Kontrollaufgaben
1. Vorabkontrolle
2. Kontrolle und Überwachung
3. Überwachung im Bereich der Datenverarbeitung
V. Verfahrensverzeichnis
VI. Mitwirkung beim Audit

D. Spannungsfelder und Interessenkonflikte
I. Probleme im Unternehmen und mit dem Personal
II. Probleme mit dem Personal
III. Probleme bei der Informationstechnik (IT)
IV. Probleme mit dem Geheimschutzbeauftragten
V. Spannungsfeld zwischen Betriebsrat
VI. Spannungsfeld zwischen Aufsichtsrat

E. Formen der Institutionalisierung
I. Der interne Datenschutzbeauftragte
II. Der externe Datenschutzbeauftragte
IV. Wirtschaftlichkeit - externer oder interner Datenschutzbeauftragter
IV. Externer, als interner Beauftragter für Datenschutz

F. Fazit

Literatur / Quellenverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

A. Der Datenschutz

I. Wozu Datenschutz?

Die Vernetzung von zentralen Servern, individuell nutzbaren Personal Computern und Datenbanken, durch Inter- oder Intranet bergen in den heutigen Betrieben und Unternehmen stets die Gefahr unkontrollierter Zugriffe auf fast alle in den Systemen befindlichen Daten. So wurde in jüngster Vergangenheit immer wieder festgestellt, dass die Vernetzung von Personal Computern mit Hilfe von Wireless-Lan ein besonderes erhebliches Sicherheitsrisiko darstellt, da sich Hacker in die oftmals unverschlüsselten oder schlecht verschlüsselten Systeme einloggen und Daten ausspionieren. Dem Eindringling steht so die Sicht auf Daten, wie die Auskunft über Zahlungsvorgänge, Produktionsabläufe, Forschungsergebnissen aber auch auf personelle Angelegenheiten zur Verfügung.[1] Durch die machtvolle Datensammlung der Unternehmen steigt nicht nur das Risiko der Manipulierbarkeit der in dem System befindlichen Informationen. Hinzukommen Gefahren, wie Informationsdiebstahl, Datenspionage und Sabotage durch unbefugtes Eindringen in diese Datenbestände.[2] Die Datenbestände in Unternehmen unterliegen also stets der Bedrohung durch Missbrauch, Verfälschungen, Diebstahl oder im schlimmsten Fall, der Zerstörung.

II. Der Begriff Datenschutz

Die Themengruppen Datensicherung und Datenschutz gewannen, mit dem oben genannten Einsatz des Computers in der Praxis und damit in den Fachbeiträgen eine immer größere Bedeutung.[3] In der Literatur hat sich daher als Definition des Terminus Datenschutz folgende Begriffsbestimmung etabliert.

„Datenschutz ist der Schutz aller Daten über schutzbedürftige Tatbestände bei manueller und maschineller Datenverarbeitung.“[4]

Der Datenschutz beschäftigt sich demnach mit der Frage, was geschützt werden soll. Dies darf jedoch nicht verwechselt werden, mit der Datensicherung, die der Frage nachgeht, wie geschützt werden soll. Rechtsdogmatisch betrachtet ist Datenschutz, Schutz des Rechtes einer natürlichen Person auf informationelle Selbstbestimmung, dass sich unter anderem aus dem verfassungsrechtlichen Gebot aus Art. 2 Abs. 1 GG in Verbindung mit Art 1 Abs. 1 GG ergibt. Um das Recht auf Selbstbestimmung bzw. das allgemeine Persönlichkeitsrecht, vom Betroffenen, also von dem Mensch, von dem die Daten handeln, zu gewährleisten, wurde in Deutschland das Bundesdatenschutzgesetz eingeführt.

III. Das Bundesdatenschutzgesetz

1. Historische Entwicklung

Nicht nur mit Ausfertigung des „Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung“ (Bundesdatenschutzgesetz – BDSG)[5] am 27.Januar 1977, wurde die Sicherstellung einer unabhängigen Datenschutzkontrollinstanz für notwendig erachtet.

Der Problemkreis des Datenschutzes wurde bereits 1970 in Hessen erkannt. Dieses Bundesland war das Erste das ein Datenschutzgesetz, wenn auch nur auf Landesebene, erlassen hat. Grund für das Tätigwerden der gesetzgeberischen Gewalt war das Mirkozensus-Urteil. Gemäß diesem Urteil ist es mit der Menschenwürde nicht zu vereinbaren, wenn der Staat das Recht für sich in Anspruch nehmen könnte, den Menschen zwangsweise in seiner ganzen Persönlichkeit zu registrieren und zu katalogisieren, sei es auch in der Anonymität einer statistischen Erhebung.[6] Das BDSG wuchs daher indirekt aus dem hessischen Landesgesetz.

Auch das Bundesverfassungsgericht hat im sog. Volkszählungsurteil am 15. Dezember 1983 hervorgehoben, das gemäß des allgemeinen Persönlichkeitsrechts, grundsätzlich jeder Einzelne über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen kann. Einschränkungen dieses Rechts auf informationelle Selbstbestimmung sind nur im überwiegenden Allgemeininteresse zulässig und bedürfen einer verfassungsgemäßen gesetzlichen Grundlage, die dem rechtsstaatlichen Gebot der Normenklarheit entsprechen muss.[7] Diese Leitsatzentscheidung machte klar das die bisherigen Datenschutzgesetze nicht ausreichen. Es folgten sodann zahlreiche Novellierungen, mit Implementierungen der Richterentscheidungen in der Vergangenheit. Aber auch die Richtlinie 95/46/EG und das „Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“ (Konvention Nr. 108, sog. Datenschutzkonvention des Europarates) wurde in das Bundesdatenschutzgesetz übernommen.

2. Die Anwendung

Das in der aktuellen Fassung geltende BDSG ist eine gesetzliche Pflicht, die alle Unternehmen, gleicher Größenordnung oder Branche trifft. Eine Differenzierung oder Klassifizierung von Unternehmen gibt es nicht. Das Gesetz trifft jeden, „öffentliche Stellen“ und „nicht öffentliche Stellen“. Aber auch im privaten Bereich findet das BDSG seine Anwendung.

Alle Bundesbehörden und solche Stellen, die dem Bund unterstehen aber keine bundeseigene Verwaltung sind, wie z. B. die Berufsgenossenschaften, Bundesagenturen für Arbeit zählen gemäß des BDSG zu den öffentlichen Stellen. Natürliche Personen, soweit sie sich wirtschaftlich betätigen (Einzelkaufleute, Handelsvertreter, u.a.), juristische Personen des Privatrechts (GmbH, AG, OHG, KG), öffentlich-rechtliche Wettbewerbsunternehmen (Bausparkassen) und öffentlich-rechtlich organisierte Kreditinstitute, Versicherungsunternehmen und Krankenhäuser fallen unter den Oberbegriff „nicht öffentliche Stellen“ und gelten so zum privaten Bereich.[8]

Obwohl die Bestellung eines internen Datenschutzbeauftragten durch die EU-Datenschutzrichtlinie (EU-DSRL) nicht zwingend vorgegeben ist, wurde dieses unumgängliche Kontrollorgan in das BDSG aufgenommen.

3. Die Kontrollinstanzen

Die EU-DSRL sieht, im Gegensatz zum BDSG, wie bereits erwähnt, den internen Datenschutzbeauftragten nicht als direkt nötiges Kontrollorgan vor. Diese Personalstelle wurde vielmehr auf deutschen Wunsch als eine von verschiedenen Kontrollalternativen etabliert. Das BDSG verfolgt mit der Einrichtung eines internen Datenschutzbeauftragten das primäre Ziel der Entlastung des Staates. Würde Datenschutz rein auf staatlicher Organisation beruhen, würde neben den kostenträchtigen Verwaltungsinstanzen auch jede Menge Bürokratie entstehen.[9]

Um jedoch die hoheitliche Überwachungsaufgabe über den Datenschutz nicht gänzlich aus den staatlichen Händen zugeben, regeln §§ 22 ff. BDSG die Ernennung des Bundesbeauftragten für Datenschutz als oberste Aufsichtsbehörde.

IV. Die Landesdatenschutzgesetze

Neben dem bundesweit geltenden BDSG bestehen auch länderspezifische Gesetze zu diesem Thema. Die sog. Landesdatenschutzgesetze weisen eine starke Analogie zum BDSG auf. Ersichtlich wird dies, wenn man jeweils die §§ 1 und 2 des BDSG und LDSG vergleicht. Beide Paragrafen beinhalten die Themen Zweck, Geltungs- und Anwendungsbereich. Auch die in den §§ 3 genannten Definitionen der Begriffsbestimmungen sind gleich.

Jedoch findet gemäß § 2 Absatz 1 LDSG eine Anwendung nur auf öffentliche Stellen statt. Eine Einbeziehung der nicht-öffentlichen Stellen wie der § 1 Absatz 2 Nr. 3 BDSG gibt es nicht.[10] Der direkte Schutz von Betroffenen ergibt sich daher, soweit es sich um nicht öffentliche Stellen handelt, in der Regel immer aus den Bundesdatenschutzgesetzen.

V. Weitere Schutzgesetze

Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten kann sich jedoch nicht nur aus dem BDSG für private und öffentliche Stellen, sondern auch aus „bereichsspezifischen Datenschutzvorschriften“ ergeben. So ist z. B. der Sozialleistungsträger zur Bestellung eines Datenschutzbeauftragten gemäß §§ 81 Abs. 4 SGB X und 35 SGB I verpflichtet.

Weitere Sondervorschriften ergeben sich unter anderem aus § 13 Abs. 1 i. V. m. Abs. 9 SKHG, welches den Patientendatenschutz im Saarland regelt oder für kirchliche Einrichtungen z. B. aus §§ 19 - 21 DSG-EKD.[11].

VI. Gemeinsame Aufgaben der Schutzgesetze

Obwohl es eine Vielzahl unterschiedlicher Gesetze gibt, die eine Bestellung des Datenschutzbeauftragten vorschreiben, verweisen diese jedoch im Detail immer auf das BDSG oder auf die Datenschutzgesetze der Länder, welche starke Parallelen zum BSDG aufweisen. Gerade im Bereich der Rechtsstellung und Modalitäten der Aufgabenwahrnehmung des Datenschutzbeauftragten gibt es oftmals keine Unterschiede.

Die Hauptaufgabe des BDSG oder der Sondervorschriften in anderen Spezialgesetzen ist die Schaffung eines unabhängigen Kontrollorgans innerhalb einer behördlichen Einrichtung oder eines Unternehmens, mit dem Ziel des Schutzes des allgemeinen Persönlichkeitsrechts und dem hiermit verbundenen Recht auf informationelle Selbstbestimmung.

B. Der betriebliche Datenschutzbeauftragte

I. Die Bestellung des Datenschutzbeauftragten

Eine immer wichtiger werdende Kontrollinstanz ist der Datenschutzbeauftragte, diese vom BDSG erschaffene Rechtsfigur, verkörpert das Prinzip der innerbetrieblichen bzw. innerbehördlichen Selbst- bzw. Eigenkontrolle, welches zur Fremdkontrolle in Form von Aufsichtsbehörde, Bundes- und Landesdatenschutzbeauftragten komplementär ist.

In der Privatwirtschaft wird der Datenschutzbeauftragte der verantwortlichen Stelle oftmals betrieblicher Datenschutzbeauftragter genannt; genauer wäre jedoch die Bezeichnung „Datenschutzbeauftragter des Unternehmens“.[12] Die Bestellung eines solchen Datenschutzbeauftragten trifft grundsätzlich den Unternehmensinhaber bzw. die Leitung der juristischen Person, der das Unternehmen gehört. Auf einen sog. Konzernbeauftragten, der „uno actu“[13] durch die Konzernleitung für alle konzernangehörige Firmen bestellt wird, hat der Gesetzgeber bewusst abgesehen.

1. Rechtsgrundlage und Anwendungsbereich

Bei Unternehmen, als nicht öffentliche Stellen, ist die Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten weiterhin an einen Mindestumfang der Datenverarbeitung und damit an ein bestimmtes Gefährdungspotenzial geknüpft. Die Voraussetzungen werden durch die §§ 4 f BDSG ff. festgelegt.

2. Wann muss ein Datenschutzbeauftragter bestellt werden?

Wie bereits ausgeführt, müssen die Behörden und sonstige öffentliche Stellen im Anwendungsbereich des BDSG einen Beauftragten für den Datenschutz bestellen. Nicht öffentliche Stellen wie juristische Personen, Personengesellschaften auch nicht rechtsfähige Vereine ebenso wie natürliche Personen können nach dem BDSG grundsätzlich verpflichtet sein, Datenschutzbeauftragte zu bestellen.

Um jedoch Kleingewerbetreibende vor der teilweise kostenintensiven Stelle eines Datenschutzbeauftragten zu bewahren, regelt § 4f BDSG die Voraussetzungen, wann ein betrieblicher Datenschutzbeauftragter eingestellt werden muss.

Der Unternehmensinhaber bzw. die Leitung einer juristischen Person ist zur Bestellung eines betrieblichen Datenschutzbeauftragten gem. § 4f Absatz 1 Satz 1 nur gezwungen, wenn sie personenbezogene Daten automatisiert oder in anderer Weise verarbeiten. Zu einer automatisierten Datenverarbeitung zählen alle programmgesteuerten EDV-Anlagen. Unbeachtet ist dabei ob es sich um einen stand-alone oder vernetzten Computer handelt.[14]

Folgende Arbeitsplätze oder Arbeitstätigkeiten zählen zur automatisierten Datenverarbeitung:

- Operator(in) von EDV-Anlagen und Terminals
- Programmierung
- EDV-Organisation
- EDV-Arbeitsvorbereitung u. -nachbereitung
- Sachbearbeitung mithilfe eines PCs
- Bedienung von automatisierten Kassensystemen
- etc.[15]

Nicht zu einer automatisierten Datenverarbeitung gehören jedoch herkömmliche Tischrechner und Buchungsautomaten.[16]

Das Datenschutzgesetz knüpft die Erfordernis einen Datenschutzbeauftragten zu benennen daran an, dass 9 Arbeitnehmer beim automatisierten Umgang mit personenbezogenen Daten beschäftigt sind (§ 4f Absatz 1 Satz 2 u. 3 BDSG), oder 20 Personen in nicht automatisierter Weise mit personenbezogenen Daten umgehen. Erst wenn diese Vorgaben erreicht werden, muss ein betrieblicher Datenschutzbeauftragter bestellt werden. Unter dem Begriff beschäftigt, versteht der Gesetzgeber alle Personen, die regelmäßig und üblicherweise in der Datenverarbeitung arbeiten bzw. mit der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten umgehen. So genügt es z. B., wenn ein Arbeitnehmer wiederkehrende Listenausdrucke mit personenbezogenen Daten erhält, ohne im Übrigen mit der Erhebung oder Verarbeitung der ausgedruckten Daten zu tun zu haben. Dazu zählen auch temporär befristete Beschäftigungsverhältnisse aufgrund außergewöhnlichen Arbeitsanfalls wie Weihnachtsgeschäft oder Terminprojekte.[17]

Ein Schwellenwert muss jedoch nicht erfüllt werden, wenn eine automatisierte Verarbeitung vorliegt, die eine Vorabkontrolle nach § 4d Absatz 5 BDSG erfordert oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung (§§ 29 u. 30 BDSG) verwendet werden. Unter einer Vorabkontrolle fallen auch die immer mehr an Bedeutung gewinnenden Scoring-Verfahren. Immer mehr Firmen erstellen Konsumentenprofile, wonach Kunden nach ihrer wirtschaftlichen Leistungsfähigkeit benotet werden. Da die Unternehmer i.d.R. keinen Einblick auf den Herstellungsprozess solcher Konsumentenprofile erteilen und keine Begründung geben, warum ein Score gut oder schlecht ausfällt, ist die Vereinbarkeit zum BDSG fraglich, aber dennoch zulässig, wenn sie den anerkannten fachwissenschaftlichen Standards entsprechen.[18]

Neben dem Begriff Beschäftigt spielt auch die Definition des Wortes „ständig“ eine wichtige Rolle bei der Auslegung des § 4f Absatz 1 Satz 2 u. 3 BDSG. Erst wenn ständig Personen mit der Erhebung, Verarbeitung oder Nutzung beschäftigt sind, ist der betriebliche Datenschutzbeauftragte zu bestellen. Die Literatur und Rechtsprechung sieht das Merkmal einer ständigen Beschäftigung als erfüllt, wenn ein Arbeitnehmer für eine Aufgabe, die nicht seine Hauptaufgabe ist, auf unbestimmte oder zumindest aber längere Zeit vorgesehen ist und sie entsprechend wahrnimmt. Das Tatbestandsmerkmal „ständig“ ist auch dann erfüllt, wenn die Aufgabe selbst nur gelegentlich (einmal im Monat) anfällt, der Arbeitnehmer sie aber stets wahrzunehmen hat. Werden Aufgaben durch Dritte gelegentlich nur mit übernommen, so z. B. durch Auszubildende, gilt dies nicht als ständig beschäftigt. Ständig bedeutet daher, dass der Arbeitnehmer immer dann mit der Verarbeitung personenbezogener Daten beschäftigt ist, wenn diese Tätigkeit anfällt.[19]

Der betriebliche Datenschutzbeauftragte muss von der Unternehmensleitung gem. § 4f Absatz 1 Satz 2 BDSG innerhalb einer Frist von einem Monat nach Aufnahme der Tätigkeit bestellt werden. Erfolgt keine oder eine zu späte Bestellung, liegt ein Ordnungswidrigkeitstatbestand vor, so das die Aufsichtsbehörde gem.

§§ 43 Absatz 1 Nr. 2 i. V. m. 43 Absatz 3 BDSG eine Geldbuße bis zu 25.000 EUR verhängen darf. Eine Unterlassung der Bestellung oder eine zu späte Anzeige bei der Aufsichtsbehörde kann also für einen mittelständischen oder kleinen Betrieb einen großen finanziellen Nachteil hervorrufen.

3. Wer kann Datenschutzbeauftragter werden?

Zum internen Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt (§ 4f Absatz 2 BDSG).

a). Anforderung der Fachkunde

Fachkunde bedeutet zunächst, dass der Datenschutzbeauftragte die gesetzlichen Regelungen kennt und sicher anwenden kann. Die vom Gesetzgeber geforderte Fachkunde setzt sich aus rechtlichen, organisatorischen und technischen Kenntnissen zusammen.[20] Ein einheitlich festgelegtes Anforderungsprofil gibt es nicht. Der ausgewogene Mix von Kenntnissen und Fähigkeiten muss den Datenschutzbeauftragten in die Lage versetzen, seine gesetzlichen Aufgaben gem. § 4g BDSG zu genügen. Auch wenn die Tätigkeit als Datenschutzbeauftragter nicht von einem bestimmten Ausbildungsberuf abhängig gemacht wird, ist die Ausübung aus verfassungsrechtlicher Sicht als Beruf anzusehen. Dies ergibt sich unter anderem aus der Begründung, dass sich, gleichgültig ob betriebliche oder behördliche, Datenschutzbeauftragte stets einer Weiterbildung unterwerfen müssen.[21] Der Datenschutzbeauftragte muss Schritt halten mit der gesellschaftlichen informationstechnischen Entwicklung, die gewissermaßen morgen im Unternehmen Einzughalten kann. Rechtsprechungsgrundsätze sowie Gesetzgebung zum Thema Datenschutz muss permanent verfolgt sowie beides auf Konsequenz für die jeweilige verantwortliche Stelle geprüft werden. Gute organisatorische und vertiefte Kenntnisse der Informationstechnik und ein ausgeprägtes Verständnis zu betriebs- und personalwirtschaftlichen Fragestellungen sowie der Kontext dieser, ermöglichen dem Datenschutzbeauftragten eine effiziente Umsetzung der Gesetze. Aber auch der Besitz von methodisch abstraktem Denken und Handeln wird von einem guten Datenschutzbeauftragten verlangt, um traditionelle aufbau- und ablauforganisatorische Schemata und Prozesse des Unternehmens schneller erkunden und auswerten zu können.[22] Trotz dieser Anforderungen kann ein Beauftragter gerade in großen Unternehmen nicht alle Fachbereiche beherrschen. In solchen Fällen muss dem Datenschutzbeauftragten ein Stab von Fachleuten aus den verschiedenen Abteilungen des Unternehmens zugeteilt werden, der ihm bei der Erfüllung seiner Aufgaben gemäß der Verpflichtung nach § 4f Absatz 5 BDSG unterstützt.[23]

b) Anforderung der Zuverlässigkeit

Eine weitere fundamentale Voraussetzung für die Ernennung zum Datenschutzbeauftragten ist die Zuverlässigkeit.[24] Als Unterpunkte können hier Kriterien wie die des überdurchschnittlichen Charakters, der Loyalität und Gewissenhaftigkeit und des Durchsetzungsvermögens aufgezählt werden. Es kann niemand zum Datenschutzbeauftragten bestellt werden, der diese Anforderungen nicht erfüllt, oder durch persönliche Unzuverlässigkeit aufgefallen ist. Genauso wenig darf ein Datenschutzbeauftragter durch Korrumpierung auffallen.

Im Gegenteil das Erfordernis der persönlichen Integrität soll verhindern, dass ein für andere Arbeiten nicht qualifizierter Arbeitnehmer auf die Position des Datenschutzbeauftragten abgeschoben wird. Mit dem Begriff ist jedoch nicht nur die grundsätzliche charakterliche Zuverlässigkeit gemeint, sondern sie ist bezogen auf die besonderen Anforderungen, die diese Aufgabe an ihren Inhaber stellt.[25]

Wurde eine Person zum Datenschutzbeauftragten bestellt, dem ersichtlich Fachkunde und Zuverlässigkeit fehlen, hat rechtlich keine Bestellung getätigt, sondern eine Ordnungswidrigkeit nach § 43 Absatz 1 Nr. 2 begangen. Auch eine nicht richtige Benennung kann ebenso wie die zu späte Bestellung mit einem Bußgeld von 25.000 EUR geahndet werden. Da der Gesetzgeber aber keinerlei Kriterien festgelegt hat wann Fachkunde oder Zuverlässigkeit in ausreichendem Maß vorliegen, wird es nur in Extremfällen zu Sanktionen kommen.

Besonderer Prüfung der Zuverlässigkeit des Datenschutzbeauftragten bedarf es, wenn dieser für mehrere Daten verarbeitenden Stellen gleichzeitig tätig wird und hierdurch möglicherweise Interessenskollisionen auftreten.

4. Wie ist der Datenschutzbeauftragte zu bestellen?

a) Schriftliche Bestellung

Der betriebliche Datenschutzbeauftragte muss durch die Unternehmensleitung schriftlich, wie in Abbildung 1 (Seite 12), bestellt werden, wobei auch Aufgaben und organisatorische Stellung zu konkretisieren sind. Die Wahrung der Schriftform ist konstitutiv.[26] Zu beachten ist, dass das schriftlich zu übertragene Amt des betrieblichen Datenschutzbeauftragten und das zugrunde liegende Beschäftigungsverhältnis voneinander getrennt werden müssen. Die Rechtsprechung und Literatur spricht hier vom sog. Trennungsprinzip.[27]

Eine Bestellung zum betrieblichen Datenschutzbeauftragten durch den Arbeitgeber kann nur erfolgen, wenn dies arbeitsrechtlich zulässig ist.

Ein leitender Angestellter gemäß § 5 Absatz 3 BetrVG, kann gleichzeitig kein Datenschutzbeauftragter sein, da er weisungsfrei in seinen gesetzlichen Aufgaben handelt und sich gegebenenfalls über den Kopf der Geschäftsleitung hinweg, in Zweifelsfällen, an die Aufsichtsbehörde wenden darf. Zu dem Personenkreis von leitenden Angestellten gehören diejenigen, welche spezifische unternehmerische Teilaufgaben wahrnehmen, die im Hinblick auf seine Gesamttätigkeit und die Gesamtheit der Unternehmensaufgabe erheblich sind und bei deren Erfüllung sie einen erheblichen Entscheidungsspielraum haben. Ferner sind leitende Angestellte, deren Aufgabe so in der Nähe der Unternehmensleitung liegt, dass sie bei der allgemeinen Interessenspolarität der Unternehmensleitung gegenüber der Belegschaft aufgrund ihrer Funktion auf der Seite des Unternehmens stehen.[28]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Bestellung Datenschutzbeauftragter

Quelle: Eigene Grafik

Solange nur ein weisungsabhängiges Beschäftigungsverhältnis vorliegt, also der Arbeitnehmer nicht in einer leitenden Funktion des Unternehmens tätig ist, kann der bestellte Datenschutzbeauftragte auch andere Aufgaben, je nach seinem Arbeitsumfang wahrnehmen. Ein gesetzliches Aufnahmeverbot von andren Tätigkeiten neben dem der datenschutzrechtlichen Arbeit besteht nicht. Es ist nur wichtig, dass die datenschutzrechtlichen Aufgaben nicht vernachlässigt werden und immer einer höhere Priorität, als die anderen Tätigkeiten haben. Als typische Nebentätigkeit kommen z. B. die Aufgaben eines Datensicherungs- oder IT- Sicherungsbeauftragten in Betracht.

b) Beteiligung des Betriebsrates

Obwohl die Bestellung des betrieblichen Datenschutzbeauftragten keinen speziellen Beteiligungsrechten des Betriebs unterliegt, können dennoch Mitbestimmungsrechte entstehen. Ein solches Recht auf Mitbestimmung entsteht im Fall der Bestellung oder der Versetzung eines nicht leitenden Angestellten vor dem Hintergrund des § 99 BetrVG.[29] Eine Mitbestimmung besteht ferner, wegen der unter Umständen engen Eingliederung in die betriebliche Organisation auch für die Bestellung eines externen Datenschutzbeauftragten.[30] Wird die Funktion des betrieblichen Datenschutzbeauftragten einem leitenden Angestellten übertragen, so muss der Betriebsrat gemäß §§ 105, 80, Absatz 1 Nr. 1 BetrVG informiert werden. Das BDSG ist als eine zugunsten des Arbeitnehmers geltende Verordnung einzustufen, da sie nicht nur die Daten von Kunden oder Lieferanten sondern auch die Arbeitnehmerdaten schützen soll. Das BAG hat klargestellt, das die Mitarbeitervertretung zwar ein Beteiligungs- und Kontrollrecht hat, dieses jedoch nicht die Frage und Beurteilung der erforderlichen Fachkunde und Zuverlässigkeit beinhaltet. Der Betriebsrat kann also nicht Argumentieren, dem zu Benennenden fehlen diese zwei wichtigen Merkmale und seine Zustimmung verweigern.[31]

c) Kommissarische Bestellung

Ob die Bestellung eines betrieblichen Datenschutzbeauftragten auch befristet oder kommissarisch erfolgen kann, muss im Hinblick auf den Widerruf fraglich erscheinen. Unzulässig ist es, durch die Befristung den Widerrufsschutz des Datenschutzbeauftragten zu unterlaufen. Eine solche Befristung kann nur erfolgen, wenn bereits bei Ernennung zum betrieblichen Datenschutzbeauftragten ein wichtiger Grund vorliegt. Eine kommissarische oder befristete Bestellung, darf den Datenschutzbeauftragten nicht daran hindern seine Überwachungs- und Kontrollmöglichkeiten voll auszuschöpfen. Eine Befristung sollte einen Zeitraum von 5 Jahren nicht unterschreiten.[32]

II. Stellung und Befugnisse

Es ist für eine wirkungsvolle Tätigkeit des betrieblichen Datenschutzbeauftragten unerlässlich, ihn in eine unabhängige und organisatorisch herausgehobene Stellung in Höhe der Unternehmensleitung zu bringen.

1. Stellung in der Hierarchie

Der Gesetzgeber hat die Unabhängigkeit bewusst in § 4f Absatz 3 BDSG aufgenommen, in dem er ausdrücklich eine unmittelbare Unterstellung gegenüber dem Leiter der nicht-öffentlichen Stelle, dem Geschäftsführer, Vorstand etc., verlangt. Eine solche Unterstellung kann, wie in Abbildung 2, z. B. durch eine Stabfunktion, oder durch eine Klarstellung der Stellung in der Unternehmenshierarchie, die für alle Mitarbeiter erkennbar sein muss, erfolgen.[33]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Organigramm / Unternehmenshierarchie

Quelle: eigene Grafik

Der Gesetzgeber will somit sicherstellen, dass ein direkter Kontakt zwischen dem betrieblichen Datenschutzbeauftragten und der Entscheidungsspitze des Unternehmens unter allen Umständen gewährleistet ist.[34] Die Autonomie des betrieblichen Datenschutzbeauftragten wird auch durch den besonderen Abberufungsschutz aus § 4f Absatz 3 Satz 4 BDSG abgesichert. Danach kann die Bestellung zum Beauftragten nur unter entsprechender Anwendung von § 626 BGB erfolgen.

2. Rechte und Grenzen in der Tätigkeit

Durch die unmittelbare Unterstellung des betrieblichen Datenschutzbeauftragten ergibt sich ein jederzeitiges Vorsprachrecht bei der Leitung. Die Unternehmensleitung ist verpflichtet den Datenschutzbeauftragten über alle seine Tätigkeiten und relevanten Geschehnisse in seiner Organisation umfassend und frühzeitig, zu unterrichten. Eine Unterweisung kann durch:

[...]


[1] Poppe Karl, S. 1.

[2] siehe Fn. 1.

[3] Peez Leonhard, S. 11.

[4] Hermann, Günther, Lindemann, Peter, Nagel, Kurt, S. 760.

[5] BDSG, BGBI I 1990, 2954, 2955, zuletzt geändert durch Art. 1 G vom 22.August 2006, BGBI I 2006, 1970.

[6] BverfGE 27, 1.

[7] BVerfG 65, 1.

[8] Poppe Karl, S. 24; Duhr, Naujok, ,Danker, Seiffert, DuD 2003, 5, 8.

[9] Gola, Schomerus, S. 216; Weber, S. 698.

[10] LDSG Rheinland-Pfalz, GVBI 1994, S. 293, vom 5. Juli 1994, zuletzt geändert durch Gesetz vom 8. Mai 2002, GVBI
2002, S. 177.

[11] Claessen, S. 122 ff.

[12] Wohlgemuth, Gerloff, S. 145.

[13] „ein Tätiger“; Gola, Schomerus, S. 218.

[14] Schaffland, Wiltfang, § 36, Rn. 7.

[15] vgl. dies., §36 Rn. 10.

[16] Schaffland, Wiltfang, § 36, Rn. 6.

[17] Wohlgemuth, Gerloff, S. 146; Poppe Karl, S. 109.

[18] Abel, Ralf, RDV 2006, 108, 115.

[19] Gola, Schomerus, S. 220.; Linnenkohl, NJW 1979, 1191.

[20] Simitis, § 4 f Rn. 84 ff .; Bergmann, Möhrle, Herb, § 4 f .Rn. 90 ff.

[21] LG Ulm, RDV 1991, 40.

[22] Simitis, § 4 f Rn. 84 ff .; Bergmann, Möhrle, Herb, § 4 f. Rn.. 90ff.

[23] Gola, Schomerus, S. 224.

[24] Ehmann, S. 95 ff.

[25] Gola, Schomerus, S. 224 f; Wohlgemuth/ Gerloff, S. 147 f.; Poppe Karl, S. 111.

[26] Gola, Schomerus, S. 228.

[27] Ehrich, DB 1991, 1981; ders., NZA 1993, 248; BAG, DB 1994, 1678.

[28] Fitting, Auffarth, Kaiser, u.a., S. 193, Rn. 125; Poppe Karl, S. 113.

[29] Fitting, Auffarth, Kaiser, u.a., § 99 Rn. 166; BAG, RDV, 1994, 182; ArbG Offenbach, RDV 1993, 83; ArbG Dortmund,
RDV 1998, 77.

[30] LAG Frankfurt, RDV, 1990, 150; Fitting, Auffarth, Kaiser, u.a., §99 Rn. 69.

[31] BAG, DB, 1994, 1678.

[32] Gola, Schomerus, S. 230; Herb, Anm. zu ArbG Sigmaringen, RDV 1998, 75, Däubler, Rn. 615.

[33] Wohlgemuth, Gerloff, S. 148.

[34] Poppe Karl, S. 113.

Details

Seiten
51
Jahr
2006
ISBN (eBook)
9783640157761
ISBN (Buch)
9783640157839
Dateigröße
635 KB
Sprache
Deutsch
Katalognummer
v111705
Institution / Hochschule
Fachhochschule Trier - Hochschule für Wirtschaft, Technik und Gestaltung
Note
2
Schlagworte
Datenschutzbeauftragte Interne Revision

Autoren

Teilen

Zurück

Titel: Der betriebliche Datenschutzbeauftragte