Betrieblicher Datenschutzbeauftragter in kommunalen Eigen- und Beteiligungsgesellschaften

veröffentlicht am 9. April 2015

Das Bundesdatenschutzgesetz verlangt die Bestellung eines betrieblichen Datenschutzbeauftragten (bDSB), wenn gewisse Merkmale im Unternehmen gegeben sind. Aber auch, wenn kein bDSB bestellt werden muss, muss das Unternehmen das Gesetz einhalten. Was also zu tun ist und welchen Nutzen dies auch für das Unternehmen darstellen kann, zeigt dieser Beitrag.

Lange galt und gilt vermutlich auch in Teilen heute noch: Das Bundesdatenschutzgesetz wird eher als Behinderung der betrieblichen Praxis und Hürde zur Wettbewerbsfähigkeit angesehen – sperrig, antiquiert, losgelöst vom Zeitgeist, etc.

Unsere eigene Wahrnehmung in den letzten zwei Jahren ist eher eine andere. In Zeiten von Big Data, Open Data, Geo-Data, Social Media, beruflichen Netzwerken, verschiedenen Schnittstellen hier, eGovernment, Cloud, Userdaten als Gold des digitalen Zeitalters etc. regt sich bei vielen eine gewisse Grundbefürchtung, ob denn die Unternehmen noch alles im Griff haben.

Datensicherheit und Datenschutz werden zunehmend als notwendiges Werteversprechen eines Unternehmens wahrgenommen und es wird erwartet, dass dieses Versprechen eingehalten wird. Aus dieser Sicht wirkt die Rolle eines betrieblichen Datenschutzbeauftragten (bDSB) ganz anders. Aber zunächst zum rechtlichen Rahmen für nicht-öffentliche Stellen (sprich Unternehmen).

Nach § 4f Abs. 1 BDSG haben nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, einen bDSB schriftlich zu bestellen, sofern mindestens zehn Personen ständig in der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Ferner gilt das Gleiche, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Unabhängig von der Anzahl der Beschäftigten ist in jedem Fall ein bDSB zu bestellen, wenn automatisierte Verarbeitungen unternommen werden, die der Vorabkontrolle nach § 4d Abs. 5 BDSG unterliegen. Das sind nach § 3 Abs. 9 Verfahren, die Angaben zur rassischen und ethnischen Herkunft, politischen Meinung, religiösen oder philosophischen Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben geben.

Aber auch wenn kein bDSB bestellt werden muss, muss das Unternehmen das BDSG einhalten.

Zu den wesentlichen Aufgaben des bDSB gehören (nicht abschließend):

Regelmässiges Schulen der Mitarbeiter

Der Ausübung der Schulungsfunktion kommt eine große Bedeutung zu. Alle MitarbeiterInnen sind in die Erfordernisse des Datenschutzes und der Datensicherheit einzuweisen und aktuell zu halten. Mit unternehmensspezifischen Beispielen, angereichert durch generelle Fallbeispiele, sind MitarbeiterInnen zu sensibilisieren. Der weiterführende Nutzen für das Unternehmen ist, dass jede/r MitarbeiterIn auch DatenschutzbotschafterIn des Unternehmens ist und sich im eigenen Aufgabengebiet korrekt verhält sowie bei konkreten Anfragen auch konkrete Antworten geben kann.

Ansprechpartner für Betroffene

Betroffene sind natürliche Personen, bei denen der Grund gegeben sein kann, dass das Unternehmen personenbezogene Daten erhebt, verarbeitet oder nutzt. Das können Kunden, eigene MitarbeiterInnen, MitarbeiterInnen der Geschäftspartner und viele mehr sein. Jeder hat das Recht, Auskunft bei einem Unternehmen zu verlangen. Und hier bestätigt es sich, ob das gegebene Werteversprechen „Datenschutz und Datensicherheit” greift. Wenn jemand Auskunft verlangt, soll er diese auch prompt und zuverlässig erhalten.

Führen des Verfahrensverzeichnisses und des Jedermannverzeichnisses

Der bDSB führt das seitens der verantwortlichen Stelle (das Unternehmen) zu erstellende Verfahrensverzeichnis und macht dies in Form eines Jedermannverzeichnisses für alle zugänglich. Hierüber kann sich ein Dritter einen Eindruck verschaffen, wie das Unternehmen mit automatisierten Verfahren und der Datenverarbeitung insgesamt umgeht. Aus Sicht der Unternehmensführung hat dieses Verzeichnis ebenso eine wichtige Bedeutung. Kann sie doch mit dem Erstellen und Pflegen eines solchen Verzeichnisses einen rechtskonformen Umgang bei neuen IT-Projekten sicherstellen.

Regelmässige Kontrollen der technisch-organisatorischen Massnahmen (TOM)

Zur wirksamen Umsetzung von Datenschutz und Datensicherheit muss das Unternehmen angemessene technische und organisatorische Maßnahmen (Funktionstrennung, Rechtekonzept, Umgang mit Datenträgern u. v. m.) ergreifen. Der bDSB muss diese TOMs regelmäßig kontrollieren. Gerade im kommunalen Umfeld, bei dem ein Unternehmen über verschiedene Ebenen IT-Services bezieht (eigene IT, IT der Stadt, IT des kommunalen Rechenzentrums, Dritte), können solche TOMs sehr unübersichtlich werden. Aus Sicht der Unternehmensleitung sind die Ergebnisse solcher Kontrollen steuerungsrelevant und somit mehr als nützlich.

Durchführen von Vorabkontrollen

Bei bestimmten risikoreichen Datenverarbeitungen ist eine besondere interne Kontrolle vorzunehmen. Die Vorabkontrolle soll zeitlich vor der Inbetriebnahme stattfinden und beinhaltet eine Prüfung durch den bDSB, ob besondere Risiken für die Rechte und Freiheiten der Betroffenen gegeben sind. Riskante Verfahren sind z. B. umfassende Personalinformationssysteme, Videoüberwachungen, GPS-Ortungen, etc. Gerade in kommunalen Unternehmen fallen im Bereich der Ver- und Entsorgung sowie im Bereich von Gesundheit und Sozialem ständig solche Daten und Informationen an. Aus Sicht der Unternehmensleitung sind dies wertvolle Hinweise für die Steuerung entsprechender IT-Projekte.

Hinwirken auf eine datenschutzkonforme Aufbau- und Ablauforganisation des Unternehmens

Ein bDSB ist nicht für eine rechtskonforme Aufbau- und Ablauforganisation verantwortlich, er soll auf diese in verschiedenster Weise (siehe u. a. oben) hinwirken. Das erfolgt u. a. durch Mitwirken bei der Entwicklung von Richtlinien und Vereinbarungen, bei der Umsetzung von Auftragsdatenverarbeitungen u. v. m. In der Regel erlangt der bDSB über die Zeit eine wertvolle Methodenkompetenz (konzeptionelles Arbeiten, Instrumenten-Know-how für Projektsteuerung, etc.), die in vielerlei Hinsicht nützlich für das Unternehmen sein kann.

Wie Sie sehen, unterliegt auch der betriebliche Datenschutzbeauftragte in seiner Rolle und Funktion vor dem Hintergrund der stetig steigenden Digitalisierung einer Veränderung der Wahrnehmung. Wie wir meinen, zu Recht.

Wenn Sie weiteren Informationsbedarf hierüber haben, wenden Sie sich an uns. Auch vor dem Hintergrund, dass der betriebliche Datenschutzbeauftragte ein externer Dritter sein kann.