Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g Bundesdatenschutzgesetz (BDSG)

Transkript

1 DER HESSISCHE DATENSCHUTZBEAUFTRAGTE Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g Bundesdatenschutzgesetz (BDSG) 1. Wer muss einen Datenschutzbeauftragten bestellen? Das Bundesdatenschutzgesetz gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen Stellen: hierunter fallen sowohl juristische Personen (Aktiengesellschaften, GmbHs, usw.), als auch Personengesellschaften (Gesellschaften bürgerlichen Rechts usw.) als auch nicht rechtsfähige Vereinigungen (Gewerkschaften, politische Parteien, usw.) als auch natürliche Personen (Ärzte, Architekten, Rechtsanwälte, usw.) soweit sie personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen (d. h. automatisiert) oder in oder aus nicht automatisierten Dateien (z. B. Karteien) verarbeiten, nutzen oder dafür erheben es sei denn die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten. Solche Stellen haben nach 4f Abs. 1 BDSG einen Beauftragten für den Datenschutz zu bestellen, wenn sie personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung (Adresshandel, Auskunfteien, etc.), zum Zwecke der anonymisierten Übermittlung oder zum Zweck der Markt- und Meinungsforschung automatisiert verarbeiten. oder automatisierte Verarbeitungen vornehmen, die nach 4d Abs. 5 BDSG einer Vorabkontrolle unterliegen. Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn

2 1. besondere Arten personenbezogener Daten ( 3 Abs. 9) verarbeitet werden oder 2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient. Wenn diese Voraussetzungen nicht erfüllt sind, hängt die Pflicht zur Bestellung eines Datenschutzbeauftragten davon ab, wie viele Personen mit der Datenverarbeitung beschäftigt sind. Ein Datenschutzbeauftragter muss bestellt werden, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten oder in der Regel mindestens zwanzig Personen mit der Verarbeitung, Nutzung oder Erhebung personenbezogener Daten auf andere Weise (manuelle Verfahren) beschäftigt sind. Wird teils mit automatisierter Datenverarbeitung, teils noch in manuellen Verfahren gearbeitet, so reicht es, wenn die Mindestzahl in einem der Bereiche erreicht wird. Eine automatisierte Verarbeitung im Sinne der genannten Bestimmungen liegt vor, wenn personenbezogene Daten unter Einsatz von DV-Anlagen erhoben, verarbeitet oder genutzt werden ( 3 Abs. 2 Satz 1 BDSG). Hierunter fällt bereits die bloße Textverarbeitung mittels PC, soweit personenbezogene Daten betroffen sind. Bei automatisierter Verarbeitung sind daher nicht nur die unmittelbar im Rechenzentrum und im Bereich der Systementwicklung und Programmierung Beschäftigten, sondern auch alle Personen, die zentral oder dezentral (z. B. an einem vernetzten PC-Arbeitsplatz) Aufgaben erfüllen, die mit der Verarbeitung personenbezogener Daten zusammen hängen, mitzurechnen. Zu berücksichtigen sind dabei grundsätzlich sämtliche Personen, die mit der entsprechenden Verarbeitung beschäftigt sind, d. h. unabhängig von ihrem arbeitsrechtlichen Status als Arbeitnehmer, freie Mitarbeiter oder Auszubildende. Auch ehrenamtlich Tätige (z. B. in Vereinen) werden von dieser Regelung erfasst. Allerdings stellt die Neufassung darauf ab, wie viele Personen in der Regel mit der automatisierten Verarbeitung personenbezogener Daten ständig beschäftigt werden. Dadurch wird vermieden, dass Unternehmen nur deshalb einer anderen Kategorie zugeordnet werden, weil sie die maßgebliche Personengrenze für die Verpflichtung zur Bestellung eines Datenschutzbeauftragten nur kurzzeitig überschreiten. Auch sind Personen, die nur gelegentlich, z. B. als Urlaubsvertretung, personenbezogene Daten automatisiert verarbeiten, nicht mitzuzählen. 2

3 2. Wie muss die Bestellung erfolgen? Die Bestellung muss schriftlich durch die Leitung des Unternehmens erfolgen. Die Bestellung zum betrieblichen Datenschutzbeauftragten sollte allen Mitarbeitern bekannt gemacht werden. Der Aufsichtsbehörde muss die Bestellung nicht mitgeteilt werden. Wenn jedoch die Aufsichtsbehörde konkret um Auskunft bittet (um zu kontrollieren, ob die Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht und ob sie erfüllt wurde), besteht eine Auskunftspflicht. 3. Wann muss die Bestellung erfolgen? Nach 4f Abs. 1 Satz 2 BDSG muss die Bestellung spätestens innerhalb eines Monats nach Aufnahme der entsprechenden Tätigkeit bzw. nach Eintritt des die Bestellpflicht begründenden Sachverhaltes erfolgen. 4. Wer kommt als Datenschutzbeauftragter in Betracht? Welche persönlichen Voraussetzungen müssen erfüllt sein? Inhaber, Vorstände, Geschäftsführer und sonstige gesetzlich oder verfassungsmäßig berufene Vertreter des Unternehmens dürfen nicht zum Beauftragten für den Datenschutz bestellt werden. Diese Inkompatibilität lässt sich bereits aus dem Wortlaut des 4f Abs. 3 Satz 1 BDSG ableiten, wonach der Beauftragte für den Datenschutz dem Leiter unmittelbar zu unterstellen ist. Das entscheidende Argument gegen die Bestellung eines Mitglieds der Unternehmensleitung ist jedoch die Unzulässigkeit der Identität von Kontrollierendem und Kontrolliertem wegen der zwangsläufigen Interessenkonflikte. Der Datenschutzbeauftragte sollte kein eigenes unmittelbares Interesse an der personenbezogenen Datenverarbeitung haben. Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt ( 4f Abs. 2 Satz 1 BDSG). Die erforderliche Fachkunde umfasst die Kenntnis der gesetzlichen Regelungen. Dazu gehören das Bundesdatenschutzgesetz (BDSG) und einschlägige spezielle datenschutzrechtliche Regelungen, soweit vorhanden. Außerdem muss die Fähigkeit bestehen, die Kenntnisse in der Praxis anzuwenden. Ferner müssen Kenntnisse auf dem Gebiet der Datenverarbeitung und Informationstechnik sowie Kenntnisse der betrieblichen Organisation vorhanden sein. Soweit dem Datenschutzbeauftragten die fachliche Qualifikation in Teilbereichen noch fehlt, ist ihm Gelegenheit zu geben, diese zu erwerben. 4f Abs. 2 Satz 2 BDSG enthält hierbei die Klarstellung, dass sich das Maß der erforderlichen Fachkunde insbesondere nach dem Umfang der Datenverarbeitung und dem Schutzbedarf der von der verantwortlichen Stelle erhobenen und verwendeten Daten bestimmt. Der Gesetzgeber wollte mit dieser Regelung vor allem den, vom Betrieb zu tragenden Schulungsaufwand für die, zum Beauftragten für den Datenschutz zu bestellende Person, konkretisieren und begrenzen. Hinweise zu Fachliteratur, Fortbildungseinrichtungen und sonstigen Fortbildungsmöglich- 3

4 keiten für Datenschutzbeauftragte erteilt der Hessische Datenschutzbeauftragte auf Anfrage. Die erforderliche Zuverlässigkeit setzt eine sorgfältige und gründliche Arbeitsweise, Belastbarkeit, Lernfähigkeit, Loyalität und Gewissenhaftigkeit voraus. Keine zuverlässige Funktionserfüllung kann erwartet werden, wenn der Datenschutzbeauftragte noch mit anderen Aufgaben/Funktionen betraut ist, die mit der Aufgabe als Datenschutzbeauftragter inkompatibel sind. Wenn ein Datenschutzbeauftragter die Aufgabe nicht hauptamtlich wahrnimmt, muss daher bei der Übertragung anderer Aufgaben darauf geachtet werden, dass diese den Datenschutzbeauftragten nicht in einen Interessenkonflikt bringen können und damit seine unabhängige Stellung gefährden. Insbesondere darf er als Datenschutzbeauftragter mit Kontrollfunktionen nicht in die Situation kommen, dass er sich selbst kontrollieren muss. Grundsätzlich nicht vereinbar mit der Funktion des Datenschutzbeauftragten sind z. B. die Aufgaben des IT-Leiters und des Personalleiters sowie Aufgaben in Organisationseinheiten mit besonders umfangreicher oder sensitiver Verarbeitung personenbezogener Daten o. ä. Wird eine der vorgenannten Personen zum Datenschutzbeauftragten bestellt, ist grundsätzlich davon auszugehen, dass die Bestellung unwirksam ist. Aus Gründen möglicher Interessenkollisionen sind auch Bestellungen von engeren Verwandten zu vermeiden. Eine zuverlässige Funktionserfüllung setzt außerdem voraus, dass ausreichende Zeit zur Erfüllung der Aufgabe als Datenschutzbeauftragter zur Verfügung steht. Die Bestellung eines Mitarbeiters zum Datenschutzbeauftragten muss daher stets mit einer zumindest teilweisen Entlastung von seinen bisherigen Aufgaben verbunden sein. Unter Umständen kann die Bestellung eines hauptamtlichen Datenschutzbeauftragten (mit voller Stelle) erforderlich sein (ggf. nebst Zuweisung von Hilfspersonal, 4f Abs. 5 Satz 1 BDSG, s. Nr. 5). Auch Personen außerhalb der verantwortlichen Stelle können grundsätzlich zum Datenschutzbeauftragten bestellt werden, soweit nach den konkreten Umständen eine zuverlässige Funktionserfüllung gewährleistet ist. Die Aufgaben des externen Datenschutzbeauftragten erstrecken sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach 30 der Abgabenordnung, unterliegen ( 4f Abs. 2 Satz 3 BDSG). Mit dem in 4f BDSG neu eingefügten Absatz 4a werden die gesetzlichen Voraussetzungen dafür geschaffen, dass auch Berufsgeheimnisträger (z. B. Rechtsanwälte, Notare, Ärzte, Apotheker) Externe zum betrieblichen Datenschutzbeauftragten bestellen können. Mit dieser Regelung wird dem Datenschutzbeauftragten und seinem Hilfspersonal ein Zeugnisverweigerungsrecht im Hinblick auf die Daten eingeräumt, die der beruflichen Geheimhaltungspflicht unterliegen. In diesem Umfang gilt auch für seine Akten und Schriftstücke ein Beschlagnahmeverbot. 4

5 5. Welche Stellung hat der Datenschutzbeauftragte? Eine unabhängige und organisatorisch herausgehobene Stellung ist für eine wirkungsvolle Tätigkeit des betrieblichen Datenschutzbeauftragten von ausschlaggebender Bedeutung. Der Datenschutzbeauftragte ist daher dem Leiter der nicht öffentlichen Stelle unmittelbar zu unterstellen ( 4f Abs. 3 Satz 1 BDSG). Er nimmt dem Leiter die Verantwortung für die Belange des Datenschutzes nicht ab, sondern soll diese bei der Sicherung dieser Belange unterstützen. Er ist bei der Anwendung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei ( 4f Abs. 3 Satz 2 BDSG) und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden ( 4f Abs. 3 Satz 3 BDSG). Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird ( 4f Abs. 4 BDSG). Soweit der Beauftragte für den Datenschutz bei seiner Tätigkeit Kenntnis von Daten erhält, für die dem Leiter oder den Mitarbeitern der verantwortlichen Stelle aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch dem Datenschutzbeauftragten zu. Insoweit unterliegen seine Akten und andere Schriftstücke dem Beschlagnahmeverbot ( 4f Abs. 4a BDSG). Auch Berufsgeheimnisträger können danach einen externen Datenschutzbeauftragten bestellen. Die Daten verarbeitende Stelle ist verpflichtet, den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen ( 4f Abs. 5 Satz 1 BDSG). Im Rahmen seiner Aufgabenstellung ist er von allen relevanten Vorgängen rechtzeitig zu unterrichten. Zur Erhaltung der erforderlichen Fachkunde hat die verantwortliche Stelle ihm die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen ( 4f Abs.3 Satz 7 BDSG). Der Datenschutzbeauftragte ist unmittelbar Ansprechpartner für Betroffene. (Dies können Kunden, Mitarbeiter und sonstige betroffenen Personen sein.) Diese können sich jederzeit an ihn wenden ( 4f Abs. 5 Satz 2 BDSG). Die Bestellung zum Datenschutzbeauftragten kann in entsprechender Anwendung von 626 des Bürgerlichen Gesetzbuches widerrufen werden. Ein solcher Widerruf aus wichtigem Grund ist gerechtfertigt, wenn Tatsachen vorliegen, auf Grund derer, unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der Interessen bei der Vertragsteile, die Fortsetzung der Tätigkeit nicht zugemutet werden kann, weil z. B. der Beauftragte für den Datenschutz nicht die erforderliche Fachkunde und Zuverlässigkeit besitzt. In einem solchen Fall kann auch die Aufsichtsbehörde den Widerruf verlangen. 5

6 Besteht nach 4f Abs. 1 BDSG die Pflicht zur Bestellung eines Datenschutzbeauftragten, unterliegt der Datenschutzbeauftragte einem besonderen Kündigungsschutz. Die Kündigung seines Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Dies gilt auch innerhalb eines Jahres nach der Abberufung als Beauftragter für den Datenschutz. 6. Welche Aufgaben hat der Datenschutzbeauftragte? Der Datenschutzbeauftragte wirkt auf die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz hin. Zu diesem Zweck kann sich der Beauftragte für den Datenschutz in Zweifelsfällen an den Hessischen Datenschutzbeauftragten wenden ( 4g Abs. 1 Satz 1 und 2 BDSG). Der neue 4g Abs. 1 Satz 3 BDSG vollzieht die Änderung des 38 Abs. 1 BDSG nach und stellt nochmals klar, dass der Datenschutzbeauftragte die Beratung der Aufsichtsbehörde in Anspruch nehmen kann. Der Datenschutzbeauftragte hat nach dem BDSG insbesondere die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden, zu überwachen; zu diesem Zweck ist der Datenschutzbeauftragte über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten ( 4g Abs. 1 Satz 3 Nr. 1 BDSG), die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen ( 4g Abs. 1 Satz 3 Nr. 2 BDSG). Darüber hinaus benennt das Bundesdatenschutzgesetz ausdrücklich folgende Aufgaben: Soweit Verfahren automatisierter Verarbeitungen nicht der zuständigen Aufsichtsbehörde nach 4d Abs. 1 BDSG gemeldet werden müssen (bei Bestellung eines Datenschutzbeauftragten besteht eine solche Meldepflicht nur für Verarbeitungen, die verantwortliche Stellen zum Zwecke der Übermittlung (Adresshandel, Auskunfteien), der anonymisierten Übermittlung und zum Zweck der Markt- und Meinungsforschung durchführen), hat der Datenschutzbeauftragte die nach 4e Satz 1 Nr. 1 bis 8 BDSG erforderlichen Angaben über die automatisierten Verfahren auf Antrag jedermann in geeigneter Weise verfügbar zu machen ( 4g Abs. 2 Satz 2 BDSG). Damit der Datenschutzbeauftragte seine Aufgabe erfüllen kann, hat die verantwortliche Stelle ihm eine Übersicht über die in 4e Satz 1 BDSG genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen ( 4g Abs. 2 Satz 1 BDSG). Der Beauftragte für den Datenschutz ist außerdem zuständig für die Vorabkontrolle, d. h. soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, sind diese vor Beginn der Verarbeitung einer Prüfung zu unterziehen ( 4d Abs. 5 und 6 BDSG). Im Rahmen der Vorabkontrolle wird neben der Zulässigkeit des Verfahrens auch regelmäßig zu prüfen sein, ob die getroffenen technischen 6

7 und organisatorischen Maßnahmen den besonderen Risiken gerecht werden. In Zweifelsfällen hat sich der Datenschutzbeauftragte an die zuständige Aufsichtsbehörde zu wenden. Auf der Grundlage dieser gesetzlichen Aufgabenzuweisung können im Rahmen einer Aufgabenbeschreibung folgende Aufgaben konkret festgelegt werden: Beratung und Mitwirkung Mitwirkung bei der Erstellung der Verfahrensverzeichnisse (Übersicht über Verfahren zur automatisierten Verarbeitung personenbezogener Daten) Mitwirkung bei der Entwicklung bzw. Weiterentwicklung des Datenschutz- und Datensicherungskonzepts Mitwirkung bei der Weiterentwicklung aller datenschutzrelevanten Richtlinien und Anweisungen Mitwirkung bei der Einführung technischer Sicherheitsmaßnahmen, in Bezug auf die Verarbeitung personenbezogener Daten Mitwirkung bei der datenschutzgerechten Formular- und Vertragsgestaltung Mitwirkung bei der Gestaltung von Verfahren zur Sicherstellung der Betroffenenrechte wie Benachrichtigung und Auskunftserteilung ( 33 ff BDSG). Mitwirkung bei der Auftragsvergabe zur Verarbeitung personenbezogener Daten durch Externe (incl. Wartungs- und Serviceverträge) Mitwirkung bei der Auswahl der mit der Verarbeitung personenbezogener Daten tätigen Mitarbeiter Überwachungsaufgaben Überprüfung von automatisierten Verarbeitungen vor Inbetriebnahme, soweit diese besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen ( 4d Abs. 5 und 6 BDSG), d. h. Durchführung der Vorabkontrolle mit schriftlicher Dokumentation des Ergebnisses (aus Beweisgründen erforderlich) Überwachung der Datenschutz- und Datensicherungsmaßnahmen sowie der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen Bearbeitung von Beschwerden, die in Beziehung zu Datenschutzvorschriften stehen, sowie Teilnahme an der Überprüfung von Datenschutzverletzungen 7

8 Überwachung der Einhaltung von Verpflichtungserklärungen nach 5 BDSG (Datengeheimnis) Überwachung von Meldepflichten an die jeweils zuständige Aufsichtsbehörden für den Datenschutz ( 4d Abs. 1 BDSG) Kontrolle der Auftragnehmer im Rahmen der Auftragsdatenverarbeitung nach 11 BDSG Schulung und Zusammenarbeit Schulung der Mitarbeiter in datenschutzrechtlichen und praktischen Fragen Regelmäßige oder gelegentliche Berichte an die Geschäftsleitung über den Stand des Datenschutzes im Unternehmen Zusammenarbeit bzw. Kontaktpflege in Bezug auf Datenschutz und Datensicherheit mit unternehmensinternen und externen Stellen Zusammenarbeit und Kontaktpflege mit dem Betriebsrat in Personalangelegenheiten Kontaktpflege zur zuständigen Datenschutzaufsichtsbehörde und mitwirkende oder eigenverantwortliche Vertretung des Unternehmens in Datenschutzangelegenheiten gegenüber der zuständigen Aufsichtsbehörde Erstellung eines Tätigkeitsberichtes Bei dieser Aufzählung von Einzelaufgaben handelt es sich um Vorschläge für eine mögliche Aufgabenbeschreibung. Es wird nochmals darauf hingewiesen, dass nicht alle Einzelpunkte obligatorisch als Pflichtaufgabe des Datenschutzbeauftragten durch das Bundesdatenschutzgesetz vorgesehen sind und, abgestimmt auf die spezifischen Voraussetzungen des Unternehmens, gegebenenfalls die Wahl zwischen aufgezeigten Alternativen zu treffen ist. 7. Ordnungswidrigkeitsverfahren Bestellt eine nicht öffentliche Stelle entgegen ihrer Verpflichtung nach 4f Abs. 1 BDSG einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig, so kann dies durch die Aufsichtsbehörde mit einem Bußgeld bis zu geahndet werden ( 43 Abs. 1 Nr. 2, Abs. 2 BDSG). 8

9 Entscheidungsbaum Pflicht zur Bestellung eines DSB - 4f Abs. 1 BDSG DV zum Zwecke der Übermittlung ( 29) DV zum Zwecke der anonymisierten Übermittlung ( 30) oder zum Zweck der Markt- oder Meinungsforschung ( 30 a) DV zu sonstigen Zwecken nicht-automat. DV in der Regel mind. 10 Personen ständig mit automat. DV beschäftigt automat. DV in der Regel höchstens 9 Personen ständig mit automat. DV beschäftigt in derregel höchstens 19 Personen mit nichtautomat. DV beschäftigt in der Regel mind. 20 Personen mit nicht-automat. DV beschäftigt Vorabkontrolle erforderlich 4d Abs. 5: sensible Daten oder Persönlichkeitsprofile o.ä. und weder Einwilligung noch 28 Abs. 1 Nr. 1 Vorabkontrolle nicht erforderlich keine keine 9