BDSG - EINFÜHRUNG - TEIL 9-1: Kontrollinstanzen - Der betriebliche / behördliche Datenschutzbeauftragte
VIII. Kontrollinstanzen
Um dem Betroffenen einen effektiven Schutz seiner Rechte zu gewährleisten, sieht das Bundesdatenschutzgesetz die Einrichtung verschiedener Kontrollinstanzen vor. Erst mit Hilfe dieser ist es dem Betroffenen oft erst möglich, seine Rechte wahrzunehmen, sei es weil er diese Rechte nicht kennt oder aus ,,besonderen Gründen`` keine Auskunft von der speichernden Stelle erhält. Zur Sicherstellung der Rechte des Betroffenen und zur Einhaltung des Datenschutzes sieht das BDSG drei Datenschutzinstanzen vor:
- den betrieblichen/behördliche Datenschutzbeauftragten
- die von den Landesregierungen zu bestimmenden Aufsichtsbehörden
- den Bundesbeauftragten für den Datenschutz
1. Beauftragter für den Datenschutz, §§ 4f, 4g BDSG
(1) Öffentliche und nicht öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Die Sätze 1 und 2 gelten nicht für nicht öffentliche Stellen, die höchstens vier Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigen. Soweit aufgrund der Struktur einer öffentlichen Stelle erforderlich, genügt die Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche. Soweit nicht öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung erheben, verarbeiten oder nutzen, haben sie unabhängig von der Anzahl der Arbeitnehmer einen Beauftragten für den Datenschutz zu bestellen.
(2) Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Mit dieser Aufgabe kann auch eine Person außerhalb der verantwortlichen Stelle betraut werden. Öffentliche Stellen können mit Zustimmung ihrer Aufsichtsbehörde einen Bediensteten aus einer anderen öffentlichen Stelle zum Beauftragten für den Datenschutz bestellen.
(3) Der Beauftragte für den Datenschutz ist dem Leiter der öffentlichen oder nicht öffentlichen Stelle unmittelbar zu unterstellen. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Die Bestellung zum Beauftragten für den Datenschutz kann in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuches, bei nicht öffentlichen Stellen auch auf Verlangen der Aufsichtsbehörde, widerrufen werden.
(4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.
(5) Die öffentlichen und nicht öffentlichen Stellen haben den Beauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Betroffene können sich jederzeit an den Beauftragten für den Datenschutz wenden.
§ 4f. BDSG ist die Grundnorm für den internen Datenschutzbeauftragten. Danach sind sowohl öffentliche Stellen als auch nicht-öffentliche Stellen, die personenbezogene Daten automatisierterheben, verarbeiten oder nutzen, verpflichtet einen betrieblichen bzw. einen behördlichen Beauftragten für den Datenschutz zu bestellen. Diese Bestellung erfolgt schriftlich (§ 4f Abs. 1 Satz 1 BDSG).
Im nicht-öffentlichen (privaten) Bereich trifft diese Verpflichtung den Verantwortlichen für die Datenverarbeitung spätestens innerhalb eines Monats nach der Aufnahme der datenverarbeitenden Tätigkeit (§ 4f I S. 2 BDSG). Das Gesetz unterscheidet zwischen privatrechtlichen Unternehme, die personenbezogenen Daten automatisiert verarbeiten und solchen, die personenbezogenen Daten auf andere Weise, also in manuellen Verfahren verarbeiten. Danach ist in einem Unternehmen, das personenbezogen Daten automatisiert verarbeitet nur dann ein Beauftragter für den Datenschutz zu bestellen, wenn mindestens fünf Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung ständig beschäftigt sind (§ 4f I S. 4 BDSG). In nichtautomatisiert datenverarbeitenden Unternehmen trifft diese Verpflichtung das Unternehmen nur dann, wenn mindestens zwanzig Arbeitnehmer mit der Datenverarbeitung ständig beschäftigt sind (§ 4f I S. 3 BDSG).
Die Regelung des Absatz 1 Satz 6 betrifft nicht-öffentliche Stellen; unter anderem Auskunfteien und Adresshandelsunternehmen sowie Markt- und Meinungsforschungsinstitute, die gem. § 4d Abs. 4 BDSG verpflichtet sind, die Aufnahme ihrer Tätigkeit der zuständigen Aufsichtbehörde mitzuteilen. Damit sollen die Kontrollstellen in die Lage versetzt werden, frühzeitig den besonderen Risiken begegnen zu könne, die mit der Erhebung, Nutzung und Verarbeitung personenbezogener Daten durch die vorgenannten Stellen verbunden sind. Nach § 4d Abs. 1 Satz 6 BDSG sollen solche Stellen, die regelmäßig eine Vielzahl personenbezogener Daten zum Zwecke der Übermittlung oder der anonymisierten Übermittlung erheben und speichern überdies unabhängig von der Anzahl der Mitarbeiter einen Beauftragten für den Datenschutz bestellen müssen.
Gem. § 4d I S. 5 BDSG genügt die Bestellung eines Datenschutzbeauftragten für mehrere Bereiche, soweit die Struktur der verantwortlichen Stelle dies erforderlich macht. Diese Regelung gilt ausschließlich für den öffentlichen Bereich (z.B. die Behörden des Bundesgrenzschutzes und des Bundesministeriums der Verteidigung). Mit Aufnahme dieser Reglung wird versucht den unvermeidlichen zusätzlichen Personalaufwand in Grenzen zu halten.
Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt (§ 4d Abs. 2 Satz 1 BDSG). Danach muss der Datenschutzbeauftragte über ein Mindestmaß an Rechtskenntnissen über das Bundesdatenschutzgesetz sowie über die bereichsspezifischen Datenschutzvorschriften verfügen, ferner über ein Mindestmaß an technischen Wissen über die eingesetzten Organisationsmittel und die Organisation des Unternehmens oder der Behörde.
Absatz 2 Satz 2 und 3 sieht für den öffentlichen Bereich und für den nicht-öffentlichen Bereich vor, sich anstelle eines internen Datenschutzbeauftragten der Dienste eines externen Beauftragten für den Datenschutz zu bedienen.
Der Beauftragte für den Datenschutz ist dem Leiter des Unternehmens / der Behörde unmittelbar zu unterstellen. Er ist bei der Ausübung seiner Fachkunde weisungsfrei und darf wegen der Erfüllung seines Amtes nicht benachteiligt werden (§ 4d Abs. 3 BDSG).
Absatz 4 enthält die besondere Verschwiegenheitspflicht des Beauftragten für den Datenschutz. Diese erstreckt sich auf die Identität des Betroffenen soweit auf Umstände, die Rückschlüsse auf den Betroffenen zulassen. Von dieser Verschwiegenheitspflicht kann der Datenschutzbeauftragte nur vom Betroffenen selbst befreit werden.
(1) Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin. Zu diesem Zweck kann sich der Beauftragte für den Datenschutz in Zweifelsfällen an die für die Datenschutzkontrolle bei der verantwortlichen Stelle zuständige Behörde wenden. Er hat insbesondere
1. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen; zu diesem Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten,
2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen.
(2) Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. Im Fall des § 4d Abs. 2 macht der Beauftragte für den Datenschutz die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar. Im Fall des § 4d Abs. 3 gilt Satz 2 entsprechend für die verantwortliche Stelle.
(3) Auf die in § 6 Abs. 2 Satz 4 genannten Behörden findet Absatz 2 Satz 2 keine Anwendung. Absatz 1 Satz 2 findet mit der Maßgabe Anwendung, dass der behördliche Beauftragte für den Datenschutz das Benehmen mit dem Behördenleiter herstellt; bei Unstimmigkeiten zwischen dem behördlichen Beauftragten für den Datenschutz und dem Behördenleiter entscheidet die oberste Bundesbehörde.
Der Verantwortliche für den Datenschutz hat die Pflicht, die innerbetriebliche/behördliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Insbesondere gehören zu seinen Aufgaben:
- die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu überwachen, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen,
- die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften über den Datenschutz vertraut zu machen.
Der Datenschutzbeauftragte kann ohne die Unterstützung des Verantwortlichen seine Aufgaben nicht optimal wahrnehmen. Daher sind ist die verantwortliche Stelle verpflichtet, den Beauftragten für den Datenschutz zu unterstützen und ihm insbesondere Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen (§ 4f V BDSG).
Des weiteren ist dem Datenschutzbeauftragten zur Erfüllung dieser Aufgaben eine Übersicht zur Verfügung zu stellen, welche folgende Angaben enthalten muss:
- Namen und Firma der verantwortlichen Stelle,
- Inhaber, Vorstände, Geschäftsführer und Personen, die mit der Datenverarbeitung beauftrag sind,
- Anschrift der verantwortlichen Stelle,
- Zweckbestimmung der Datenverarbeitung,
- zugriffsberechtigte Personen,
- eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten und Datenkategorien,
- Empfänger denen die Daten mitgeteilt werden können,
- Regelfristen für die Löschung der Daten,
- eine geplante Datenübermittlung an Drittstaaten,
- eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.
§ 4f Abs. 5 Satz 2 BDSG beinhaltet ein Anrufungsrecht des Betroffenen gegenüber dem Beauftragte für den Datenschutz. Danach kann sich ein Betroffener jederzeit an den Datenschutzbeauftragten wenden.
Weiterlesen:
zum vorhergehenden Teil des Buches
zum folgenden Teil des Buches
Links zu allen Beiträgen der Serie Datenschutzrecht Einführung
Kontakt: brennecke@brennecke-rechtsanwaelte.deStand: Juli 2001
Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.
Über die Autoren:
Harald Brennecke, Rechtsanwalt, Fachanwalt für Gewerblichen Rechtsschutz
Rechtsanwalt Harald Brennecke ist im Datenschutzstrafrecht als Strafverteidiger tätig.
Rechtsanwalt Brennecke hat zum Datenschutzrecht veröffentlicht:
- „17 UWG – Betriebsgeheimnisse und Verrat durch (ehemalige) Mitarbeiter“, 2015, Verlag Mittelstand und Recht, ISBN 978-3-939384-38-0
- "Einführung in das Datenschutzrecht", Kapitel im E-Business Handbuch für Entscheider, 2. Aufl., ISBN 3.540-43263-9, 2002, Springer-Verlag
Folgende Veröffentlichung von Rechtsanwalt Brennecke ist in Vorbereitung:
- Einführung in das Datenschutzstrafrecht
Rechtsanwalt Brennecke war an der IHK Karlsruhe als Dozent für Datenschutzrecht tätig. Er ist Dozent für Datenschutzrecht an der DMA Deutsche Mittelstandsakademie.
Er bietet Schulungen, Vorträge und Seminare zu den Themen:
- Schutz von Kundenadressen und Geschäftsgeheimnissen – 17 UWG in Theorie und Praxis
- Datenschutzstrafrecht
- Datenschutz in Franchisesystemen – Die unterschätzte Gefahr für Franchisesysteme
Kontaktieren Sie Rechtsanwalt Harald Brennecke unter:
Mail: brennecke@brennecke-rechtsanwaelte.de
Telefon: 0721-20396-28
Mehr Beiträge zum Thema finden Sie unter:
Rechtsinfos/ IT-Recht/ IT-Security/ Datenschutzrecht/ DatenschutzbeauftragterRechtsinfos/ IT-Recht/ IT-Security/ Datenschutzrecht/ Bundesdatenschutzgesetz