Rechtsanwalt
Marc Quandel
Prinz-Georg-Straße 91
40479 Düsseldorf

FreeCall | Telefon
0800-727 826 335
0800-RA QUANDEL

Telefon
0049-211-44 97 54-0

Fax
0049-211-44 97 54-9

Externer Datenschutzbeauftragter

Ein externer oder interner Datenschutzbeauftragter steht für den Schutz allgemeiner Persönlichkeitsrechte von Mitarbeitern und Kunden.

Der Datenschutzbeauftragte eines Unternehmens ist gesetzlich verpflichtend nach § 4f Bundesdatenschutzgesetz (BDSG) überall dort vorgeschrieben, wo
- öffentliche (= Behörden) oder
- nicht-öffentliche Stellen (insbesondere private Unternehmen)
- personenbezogene Daten erheben, speichern, verarbeiten und nutzen.

Was personenbezogene Daten sind, definiert das Gesetz in § 3 BDSG:

Die privaten Unternehmen, die als sog. nicht-öffentliche Stellen im BDSG definiert sind, müssen zwingend einen Datenschutzbeauftragten bestellen, wenn mit der automatisierten Datenverarbeitung in der Regel mindestens 10 Personen ständig beschäftigt sind. Das bedeutet, dass in Unternehmen, in denen mindestens 10 Personen den Zugriff auf personenbezogene Daten haben, wobei auch Auszubildende und Teilzeitkräfte mitzurechnen sind, ein Datenschutzbeauftragter zu bestellen ist.

Datenschutz ist Mitarbeiter- und Kundenschutz!

Ich bin als externer betrieblicher Datenschutzbeauftragter gem. § 4f Bundesdatenschutzgesetz ausgebildet und stehe Ihnen und Ihrem Unternehmen gerne zur Verfügung. Alternativ biete ich Ihnen an, einen Ihrer Mitarbeiter entsprechend den gesetzlichen Vorschriften zu schulen.

Mindestanforderungen an den Datenschutzbeauftragten

Der Düsseldorfer Kreis, als inoffizieller Zusammenschluss der Aufsichtsbehörden für den Datenschutz im Unternehmensbereich, veröffentlicht regelmäßig Stellungnahmen oder Beschlüsse für behördliche Praxis. Zuletzt wurden am 24./.25.11.2010 per Beschluss die „Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f. Abs. 2 und 3 BDSG“ veröffentlicht.

Zur Notwendigkeit des Beschlusses wird ausgeführt:
„Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich haben bei der Kontrolle verantwortlicher Stellen festgestellt, dass Fachkunde und Rahmenbedingungen für die Arbeit der Beauftragten für den Datenschutz (DSB) in den verantwortlichen Stellen angesichts zunehmender Komplexität automatisierter Verfahren zum Umgang mit personen- bezogenen Daten nicht durchgängig den Anforderungen des BDSG genügen. Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich weisen darauf hin, dass die Aus- und Belastung der DSB maßgeblich beeinflusst wird durch die Größe der verantwortlichen Stelle, die Anzahl der zu betreuenden verantwortlichen Stellen, Besonderheiten branchenspezifischer Datenverarbeitung und den Grad der Schutzbedürftig- keit der zu verarbeitenden personenbezogenen Daten. Veränderungen bei den vorgenannten Faktoren führen regelmäßig zu einer proportionalen Mehrbelastung der DSB.“

Zur erforderlichen Fachkunde im Sinne des § 4f. BDSG

1. Datenschutzrecht allgemein – unabhängig von der Branche und der Größe der verantwortlichen Stelle
• Grundkenntnisse zu verfassungsrechtlich garantierten Persönlichkeitsrechten der Betroffenen und Mitarbeiter der verantwortlichen Stelle und
• umfassende Kenntnisse zum Inhalt und zur rechtlichen Anwendung der für die verantwortlichen Stellen einschlägigen Regelungen des BDSG, auch technischer und organisatorischer Art,
• Kenntnisse des Anwendungsbereiches datenschutzrechtlicher und einschlägiger technischer Vorschriften, der Datenschutzprinzipien und der Datensicherheitsanforderungen insbesondere nach § 9 BDSG.

2. Branchenspezifisch – abhängig von der Branche, Größe oder IT-Infrastruktur der verantwortlichen Stelle und der Sensibilität der zu verarbeitenden Daten
• Umfassende Kenntnisse der spezialgesetzlichen datenschutzrelevanten Vorschriften, die für das eigene Unternehmen relevant sind,
• Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit (physische Sicherheit, Kryptographie, Netzwerksicherheit, Schadsoftware und Schutzmaßnahmen, etc.), Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 24./25. November 2010)
• betriebswirtschaftliche Grundkompetenz (Personalwirtschaft, Controlling, Finanzwesen, Vertrieb, Management, Marketing etc.),
• Kenntnisse der technischen und organisatorischen Struktur sowie deren Wechselwirkung in der zu betreuenden verantwortlichen Stelle (Aufbau- und Ablaufstruktur bzw. Organisation der verantwortlichen Stelle) und
• Kenntnisse im praktischen Datenschutzmanagement einer verantwortlichen Stelle (z. B. Durchführung von Kontrollen, Beratung, Strategieentwicklung, Dokumentation, Verzeichnisse, Logfile-Auswertung, Risikomanagement, Analyse von Sicherheitskonzepten, Betriebsvereinbarungen, Videoüberwachungen, Zusammenarbeit mit dem Betriebsrat etc.).

Im Wesentlichen entsprechen diese Grundvoraussetzungen den in meiner Kanzlei im Medien- und IT-Recht gelegenen Rechtsgebieten. In den rein technischen Bereichen arbeite ich seit langem mit spezialisierten IT-Dienstleistern zusammen, um auf diese Art alle Kompetenzen für Ihr Unternehmen zusammen zu bringen.

Zur gesetzlich vorgeschriebenen Unabhängigkeit des Datenschutzbeauftragten nach § 4f. Abs. 3 BDSG

Gemäß § 4f Abs. 3 Satz 2 BDSG sind DSB in Ausübung ihrer Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Um die Unabhängigkeit der DSB zu gewährleisten, sind eine Reihe betriebsinterner organisatorischer Maßnahmen erforderlich:

1. DSB sind dem Leiter/der Leiterin der verantwortlichen Stelle organisatorisch unmittelbar zu unterstellen (§ 4f Abs. 3 Satz 1 BDSG). Sie müssen in der Lage sein, ihre Verpflichtungen ohne lnteressenkonflikte erfüllen zu können. Dieses ist durch entsprechende Regelungen innerhalb der verantwortlichen Stelle bzw. vertragliche Regelungen sicher zu stellen und sowohl innerhalb der verantwortlichen Stelle als auch nach außen hin publik zu machen. Den DSB ist ein unmittelbares Vortragsrecht beim Leiter der Stelle einzuräumen.

2. DSB dürfen wegen der Erfüllung ihrer Aufgaben in Hinblick auf ihr sonstiges Beschäftigungsverhältnis, auch für den Fall, dass die Bestellung zum DSB widerrufen wird, nicht benachteiligt werden (vgl. § 4f Abs. 3 Satz 3 ff BDSG).Analog muss bei der Bestellung von externen DSB der Dienstvertrag so ausgestaltet sein, dass eine unabhängige Erfüllung der gesetzlichen Aufgaben durch entsprechende Kündigungsfristen, Zahlungsmodalitäten, Haftungsfreistellungen und Dokumentationspflichten gewährleistet wird. § 4f Abs. 3 BDSG schränkt insoweit die grundsätzliche Vertragsfreiheit ein. Empfohlen wird grundsätzlich eine Mindestvertragslaufzeit von 4 Jahren, bei Erstverträgen wird wegen der Notwendigkeit der Überprüfung der Eignung grundsätzlich eine Vertragslaufzeit von 1 – 2 Jahren empfohlen.

3. Datenschutzbeauftragte sind zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit sie nicht davon durch die Betroffenen befreit wurden. Dies gilt auch gegenüber der verantwortlichen Stelle und deren Leiter (§ 4f Abs. 4 BDSG).

Neben der wesentlich darüber hinaus reichenden anwaltlichen Schweigepflicht ist die Unabhängigkeit ein typisches anwaltliches Attribut, das gerade bei der Bestellung eines internen Datenschutzbeauftragten gründlich zu prüfen ist.

Welche Aufgaben hat der Datenschutzbeauftragte?

Ein Datenschutzbeauftragter soll auf die Einhaltung der Datenschutzgesetze des Bundes und der Länder hinwirken und deren Einhaltung regelmäßig überwachen. Er soll Verfahrensverzeichnisse erstellen und veröffentlichen, sowie die Mitarbeiter/innen, die mit personenbezogenen Daten umgehen, schulen und bei Unsicherheiten als Ansprechpartner zur Verfügung stehen.

Als externer Datenschutzbeauftragter übernehme ich u.a. folgende Aufgaben für Ihr Unternehmen:

• Erstellen und Führen von Verfahrensverzeichnissen,
• Erledigung von Vorabkontrollen,
• Regelung der E-Mail- und Internetnutzung Ihrer Mitarbeiter am Arbeitsplatz,
• Datenschutzkonforme Verträge mit Ihren Dienstleistern, z.B. bei Auftragsdatenverarbeitung,
• Unterstützung bei Marketing- und Werbemaßnahmen (im Datenschutz- und natürlich Wettbewerbsrecht),
• Beratung zum Arbeitnehmerdatenschutz und Begleitung der betrieblichen Umsetzung...

Interner oder externer Datenschutzbeauftragter?

Häufig werden ökonomische Gründe für einen externen Datenschutzbeauftragten sprechen. Außerdem besteht oftmals ein Interessenkonflikt, wenn ein Mitarbeiter zum internen Datenschutzbeauftragten bestimmt wird, denn ein Personalleiter, Systemadministrator, Betriebsrat oder Geschäftsführer haben verschieden Interessen, die dem Datenschutz zuwiderlaufen und sind daher nach den gesetzlichen Vorschriften nicht geeignet.

Neben Fachkunde und Zuverlässigkeit sind auch der Kündigungsschutz desjenigen Arbeitnehmers zu beachten, der als interner Datenschutzbeauftragter ausgebildet werden soll.

Handeln Sie jetzt:

• Lassen Sie sich beraten, ob Ihr Unternehmen einen Datenschutzbeauftragten benötigt und ob dieser extern oder intern bestellt werden soll.
• Vermeiden Sie frühzeitig eventuelle Interessenkonflikte innerhalb der betrieblichen Strukturen.
• Profitieren Sie schon in der Beratung von meinem Erfahrungsschatz aus mehrjähriger anwaltlicher Tätigkeit im Datenschutz.
• Setzen Sie Ressourcen in Ihrem Unternehmen frei und lassen sich von umsetzbaren Lösungen überzeugen.

Ich freue mich auf Ihren Anruf oder Ihre Mail!

 
Rechtsanwalt
Marc Quandel
Prinz-Georg-Straße 91
40479 Düsseldorf

FreeCall
0800 - 727 826 335
0800 - RA QUANDEL

Telefon
0049 (0) 211 - 44 97 54 - 0

Fax
0049 (0) 211 - 44 97 54 - 9

Laden Sie hier weitere Informationen zum Externen Datenschutzbeauftragten kostenlos als PDF herunter

Impressum