Datenschutzbeauftragter – Aufgaben & Pflichten

Datenschutz und das Persönlichkeitsrecht sind Themen, über welche viel seit dem letzten NSA Skandal und der Enthüllung durch Herrn Snowden gesprochen wird, jedoch wissen viele Unternehmen nicht sicher, inwieweit sie einen Betriebsbeauftragten für Datenschutz benötigen oder was sich alles hinter dem Thema Datenschutz verbirgt. Oftmals herrscht der Irrglaube, dass ein Datenschutzbeauftragter für die Sicherung der Daten wie z. B. einer gut funktionierenden Serversicherung zuständig ist und verweisen hier automatisch an die IT-Abteilung. Welche gesetzlich geforderten Pflichten auf ein Unternehmen durch das Bundesdatenschutzgesetz zutreffen, ist in vielen Fällen jedoch nicht klar und eindeutig geregelt. Das Thema Datenschutz wird von vielen Unternehmen unterschätzt, jedoch kann das Nichteinhalten von Datenschutz Gesetzen sehr teuer werden.  Welche Möglichkeit gibt es, sich an die aktuell geltenden Datenschutzgesetze zu halten und dies im eigenen Unternehmen umzusetzen?

VORLAGE: Mit der Vorlage Datenschutzerklärung / Verpflichtungserklärung sind Ihre Betriebsgeheimnisse sicher verwahrt.

Zum Seitenanfang

Der Datenschutzbeauftragter

Datenschutzbeauftragter werden gemäß dem § 4f Bundesdatenschutzgesetz (BDSG) gefordert, wenn bestimmte Kriterien durch die betriebliche Arbeit erfüllt sind. Ein interner oder externer Datenschutzbeauftragter ist zu bestellen, wenn im Unternehmen mehr als 9 Mitarbeiter mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Das gleiche gilt für Unternehmen, welche 20 Personen beschäftigen, die mit der manuellen Verarbeitung, Erhebung und Nutzung von personenbezogenen Daten vertraut sind. Als Grundlage für den Datenschutzbeauftragten gilt zu jederzeit das Bundesdatenschutzgesetz.

Durch die oben genannten Kriterien, wie sie im Bundesdatenschutzgesetz definiert sind, ist für ein Unternehmen schwer zu erkennen, ob ein Datenschutzbeauftragter intern oder extern zu bestellen ist. Die Bestellung des betrieblichen Datenschutzbeauftragten unterliegt bestimmten inhaltlichen Anforderungen. Die Beauftragung muss immer schriftlich erfolgen, ebenso muss in der Beauftragung eine klare Aufgabenbeschreibung enthalten sein. Es ist auch empfehlenswert die Stellung des Datenschutzbeauftragten in der Organisation zu definieren (Weisungsfreiheit sowie die direkte Unterstellung der Geschäftsleitung).

Zu den inhaltlichen Anforderungen gehören auch die persönlichen Anforderungen. Generell muss der betriebliche Datenschutzbeauftragte eine Fachkunde besitzen, indem ihm die Rechtskenntnis zu Datenschutzregelungen, sowie der technische Sachverstand vermittelt wurden. Skills wie organisatorische und betriebswirtschaftliche Kenntnisse sowie soziale Kompetenz sind ebenfalls wichtig. Es ist extrem wichtig, dass ein Datenschutzbeauftragter eine große Zuverlässigkeit aufweist. In vielen Fällen wird der Fehler begangen, dass die Zuverlässigkeit vorhanden ist, jedoch der Beauftragte durch seine anderen Aufgaben, Zuständigkeiten und Verantwortung in der Organisation im Interessenkonflikt steht, wie es z. B. bei der Geschäftsführung, Leitung der EDV, Administration, Vertriebsleitung u. ä. oftmals der Fall ist. Eine Unabhängigkeit ist jedoch zwingende Voraussetzung, um die Tätigkeiten als Datenschutzbeauftragter erfüllen zu können. Aus diesem Grund sollte die Auswahl unter der Mitbestimmung des Betriebsrates durchgeführt werden.

Zum Seitenanfang

Begriffserklärungen

Was bedeutet automatisierte Verarbeitung?

Die Frage stellt sich meist direkt am Anfang, wenn man überlegt, ob mehr als 9 Personen mit dieser automatisierten Verarbeitung beschäftigt sind oder doch eher die Grenze von 20 anzusehen ist, da nur eine manuelle Verarbeitung durchgeführt wird. Im § 3 des BDSG „Weitere Begriffsbestimmungen“ findet man die Antwort auf fast alle Fragen, die mit der Bedeutung von bestimmten Aussagen in Zusammenhang stehen. Laut § 3 (2) des BDSG ist die „automatisierte Verarbeitung“ die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann“. Dies bedeutet, wenn mehr als 9 Personen mit computergestützter Leistung personenbezogene Daten verarbeiten, speichern oder erheben, muss ein Datenschutzbeauftragter bestellt werden, dies kann durch internes oder externes Personal umgesetzt werden.

Der wichtigste Punkt im Bundesdatenschutzgesetz ist der ordnungsgemäße Umgang mit personenbezogenen Daten. Hier herrscht oft ein großes Missverständnis. Ein Gesellschafter sagt meist, dass seine Firmendaten viel wichtiger sind als jegliche personenbezogene Daten. Doch diese Annahme ist unter Datenschutzgesichtspunkten gänzlich falsch. Es muss bewusst werden, was alles zu den personenbezogenen Daten zählt. Hier bietet das Bundesdatenschutzgesetz im § 3 (1) die eindeutige Erklärung: „Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“. Somit sind die Gegebenheiten klar, zu welchem Zeitpunkt ein Datenschutzbeauftragter bestellt werden muss, da eine gesetzliche Forderung besteht. Doch auch hier sollte ergänzt werden, dass nicht nur in der Personalabteilung personenbezogene Daten erhoben, verarbeitet und gespeichert werden, sondern fast in jedem Unternehmensbereich. Der Verkauf, der die E-Mail-Adresse seines speziellen Ansprechpartners speichert, die Buchhaltung, die über die gleichen Ansprechpartner verfügen kann oder auch die EDV-Abteilung, welche sich über Remoteverbindungen Zugriff auf spezielle Computer verschaffen kann. Sie sehen, die 9 Personen, die automatisiert personenbezogene Daten verarbeiten, sind schnell gefunden.

Datenschutz vs. Datensicherheit

Datensicherheit und Datenschutz werden oft in einen Topf geworfen. Während der Datenschutz, wie bereits beschrieben, die persönlichen Daten betrifft, befasst sich die Datensicherheit mit der physischen oder virtuellen Sicherung der Daten, sodass sie für Fremde nicht zugänglich sind und jederzeit lesbar und auffindbar vom Unternehmen genutzt werden können. Eine gute Datensicherung ist heute durch den Einsatz von spezieller Hardware sowie durch gut funktionierende Software recht einfach zu verwirklichen. Jedoch auch hier ist der Einsatz von gut geschultem und vertrauenswürdigem Personal oder Dienstleistern eine zwingende Voraussetzung zur sicheren Datensicherung.

VORLAGE: Nutzen Sie die Checkliste Datenschutzmaßnahmen und halten Sie geltende Datenschutzgesetze sicher ein.

Zum Seitenanfang

Typische Datenschutzbeauftragter Aufgaben

Im Kapitel 4 g des Bundesdatenschutzgesetzes sind die Datenschutzbeauftragter Aufgaben beschrieben und erläutert. Seine Hauptaufgaben belaufen sich auf:

• Einhaltung von Rechtsvorschriften,
• Wahrung der Rechte der Betroffenen,
• Überwachung von DV-Programmen,
• Erarbeitung von Richtlinien,
• Mitarbeiterschulung,
• Berichterstattung an die Leitung,
• Führung eines Verfahrensverzeichnisses.

Generelle Datenschutzbeauftragter Aufgaben ist die Einhaltung des Datenschutzes in der Organisation. Regelmäßig muss er sich von der Eignung der einzelnen Maßnahmen und Vorschriften überzeugen und schauen, ob diese weiterhin wirksam und effizient sind. Einem Datenschutzbeauftragten muss auch durch seine Tätigkeit seine Verantwortung als Betriebsbeauftragter bewusst sein, hierzu zählen z. B. die Haftung aus dem Vertrag (vgl. § 280 BGB u. a.) und seine Haftung aus § 823 BGB. Jedoch ist ebenfalls zu erwähnen, dass jeweils die Beweispflicht immer bei dem Geschädigten liegt. Aus seinen durchzuführenden Aufgaben ergeben sich selbstverständlich gewisse Rechte, die der Beauftragte für Datenschutz zugeschrieben bekommt. Seine Unabhängigkeit und seine Weisungsfreiheit sind die beiden wichtigsten Rechte, die ihm zugestanden werden müssen.

Wie vorangehend beschrieben, sind die Datenschutzbeauftragter Aufgaben unter anderem die Sicherheit der personenbezogenen Daten zu gewährleisten. Um die aktuellen Sicherheitsanforderungen zu erfüllen, werden durch den Datenschutzbeauftragten anhand einer Systemanalyse Schwachstellen aufgezeigt, die beseitigt werden müssen. Für die dokumentierte Datensicherheit, werden sogenannte TOMs erstellt und beschrieben. TOMs sind Technisch Organisatorische Maßnahmen, die durch das Bundesdatenschutzgesetz im § 9 gefordert werden.

AUSBILDUNG: Mit der Ausbildung ISMS Beauftragter – ISO/IEC 27001 – Informationssicherheitsmanagement betreuen Sie Ihr ISMS erfolgreich.

Zum Seitenanfang

TOMs Bereiche

In diesen Bereichen sind Technisch Organisatorische Maßnahmen zu erstellen…

…Zutrittskontrolle
• Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren!
• Es muss verhindert werden, dass Datenverarbeitungsanlagen von unbefugten Dritten genutzt werden können!
•Die zur Benutzung eines DV-Systems Berechtigten dürfen nur auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können!

…Weitergabekontrolle
Personenbezogene Daten dürfen bei der elektronischen Übertragung oder während des Transportes oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden!

…Eingabekontrolle
Es muss nachträglich überprüft und festgestellt werden können, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verarbeitet oder entfernt worden sind!

…Auftragskontrolle
Personenbezogene Daten, die im Auftrag verarbeitet werden, dürfen nur entsprechend den Weisungen des Auftraggebers verarbeitet werden!

…Verfügbarkeitskontrolle
Personenbezogene Daten müssen gegen zufällige Zerstörung oder Verlust geschützt sein!

…Trennungskontrolle
Zu unterschiedlichen Zwecken erhobene Daten müssen getrennt verarbeitet werden können!

Typische Schwachstellen in der IT sind den Administratoren oder den IT-Mitarbeitern bekannt, jedoch werden solche Schwachstellen gelegentlich nur selten behoben. Die Verwendung von Passwörtern ist ein wichtiges Element der Datensicherheit, doch wenn Passwörter zentral auf einer Liste liegen, die ggf. nicht geschützt ist, hat das beste Passwort keine Chance. Somit sollte ein wichtiger Grundsatz immer bedacht werden: Passwörter, die in regelmäßigen Abständen durch den User mit entsprechender Länge und Zeichenfolge (mind. 8 Zeichen für alphabetische Kennzeichen plus den Einsatz von Zahlen und Sonderzeichen) geändert werden, sind nachhaltig deutlich sicherer.

Zum Seitenanfang

Der Datenschutzbeauftragt – Unser Fazit

Der Schutz der personenbezogenen Daten steht an erster Stelle. Der Datenschutzbeauftragte muss nach § 4 f BDSG bestellt werden, wenn die Anzahl an Beschäftigen, die in Kontakt mit personenbezogenen Daten kommt, überschritten wird. Seine Aufgaben müssen klar beschrieben sein, seine Ernennung muss schriftlich erfolgen und die technisch organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten enthalten.

HINWEIS: Die Verwendung des Bundesdatenschutzgesetzes als Nachschlagewerk wird empfohlen.