Datenschutzbeauftragte

Ein Datenschutzbeauftragter (DSB) wirkt in einer Behörde oder nicht-behördlichen Organisation auf die Einhaltung des Datenschutzes hin. Die Person kann Mitarbeiter der Organisation sein oder als externer Datenschutzbeauftragter bestellt werden.

Aufgaben und Tätigkeit

Die Aufgabe und Tätigkeit eines Datenschutzbeauftragten wird in Deutschland in § 4f und § 4g des Bundesdatenschutzgesetzes (BDSG) sowie den entsprechenden landesrechtlichen Vorschriften geregelt. Der Beauftragte für Datenschutz wirkt auf die Einhaltung des BDSG und anderer Gesetze hin (TMG, TKG, etc.). Eine wesentliche Aufgabe ist die Kontrolle und Überwachung der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen. Das Personal, welches mit dem Umgang von personenbezogenen Daten beschäftigt ist, wird in geeigneter Form mit dem Gesetz und seiner praktischen Umsetzung (Schulung) vertraut gemacht.

Bestellung

Ein Datenschutzbeauftragter muss bestellt werden, wenn personenbezogene Daten (z. B. Arbeitnehmerdaten in der Personalabteilung, Kunden- und Interessentendaten) automatisiert verarbeitet werden:

  • in allen öffentlichen Stellen (beispielsweise Behörden) und
  • in nicht-öffentlichen Stellen (beispielsweise Unternehmen, Vereine), wenn mindestens 10 Personen (§ 4 f Abs. 1 S. 1 u. 4 BDSG) mit der Verarbeitung dieser Daten beschäftigt sind oder Zugriff auf diese Daten haben. Diese Grenze entfällt, wenn ein bestimmtes Risiko vermutet wird, welches eine sofortige Bestellung erforderlich macht oder Verfahren eingesetzt werden, die der Vorabkontrolle unterliegen (§ 4 d Abs. 5 BDSG, § 3 Abs. 9 BDSG, § 4 e BDSG, § 4 f Abs. 1 Satz 6 BDSG), oder wenn sie personenbezogene Daten geschäftsmäßig verarbeitet, um diese an dritte Personen weiterzugeben (z. B. Adressdatenhandel). Weiter entfällt diese Grenze auch wenn eine volle Automatisierung der Erfassung beispielsweise für Statistik (z. B. Markt- und Meinungsforschung) oder Forschungszwecke eingesetzt wird.

Bei einer nicht automatisierten Datenverarbeitung greift die Vorschrift erst ab 20 Personen (§ 4 f Abs. 1 S. 1 u. 3 BDSG). Hierbei werden Teilzeitkräfte voll berücksichtigt, der Gesetzgeber spricht auch bewusst nicht von Beschäftigten, sondern von Personen, insbesondere um die Gefahr zu vermeiden, dass Betriebe nur noch mit Selbständigen und freiberuflichen Mitarbeitern arbeiten, um so die Bestellungspflicht zu vermeiden.

Automatisiert ist eine Verarbeitung, wenn hierzu Datenverarbeitungsgeräte (PCs) verwendet werden. Erfolgt die Datenverarbeitung z.B. mittels Karteikarten, so ist sie nichtautomatisiert, sofern diese nicht zur späteren Verarbeitung in der EDV bestimmt sind und dahingehend geführt werden, dies wäre sonst eine Vorbereitung zur Datenverarbeitung.

Der Betrieb muss spätestens einen Monat nach Aufnahme seiner Tätigkeit einen Datenschutzbeauftragten bestellen (§ 4 Abs. 1 S. 2 BDSG). Bei Nichtbestellung oder verspäteter Bestellung kann ein Bußgeld bis 50.000 EURO für diesen Tatbestand erhoben werden § 43 Abs. 1 Nr. 2 BDSG.

Zurück zur Übersicht