Schlagwort-Archive: §4 BDSG

Datenschutzbeauftragter

Der Landesbeauftragte für den Datenschutz Baden-Württemberg hat eine neue Info-Broschüre für Datenschutzbeauftragte herausgegeben.

Bei Kontrollen haben die Aufsichtsbehörden vielfach festgestellt, dass die Fachkunde der betrieblichen Datenschutzbeauftragten und die Rahmenbedingungen ihrer Arbeit angesichts der zunehmenden Komplexität automatisierter Verfahren nicht durchgängig den Anforderungen des Bundesdatenschutzgesetzes entsprechen. Der Düsseldorfer Kreis, der Zusammenschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, hat deswegen im November 2010 Mindestanforderungen an Fachkunde und Unabhängigkeit des betrieblichen Beauftragten für den Datenschutz aufgestellt.

Nicht nur die fachlichen Anforderungen sind sehr hoch, sondern der DSB muss auch unabhängig von der Geschäftsleitung und  ohne Interessenkonflikte seine Aufgaben ausführen können. (Er darf sich nicht selbst kontrollieren.)

Für eine korrekte Erfüllung seiner Aufgaben sind dem DSB umfangreiche Kompetenzen zu erteilen.

Auszug aus der Info-Broschüre: „Die Prüfpflichten des Beauftragten für den Datenschutz setzen voraus, dass ihm die zur Aufgabenerfüllung erforderlichen Zutritts- und Einsichtsrechte in alle betrieblichen Bereiche eingeräumt werden. Er muss in alle relevanten betrieblichen Planungs- und Entscheidungsabläufe eingebunden sein und hat die für die Aufgabenerfüllung erforderlichen Unterlagen zu erhalten. Dabei darf er auch auf personenbezogene Daten zugreifen und zwar auch dann, wenn diese einer besonderen Geheimhaltungspflicht, z. B. der ärztlichen Schweigepflicht, unterliegen. Dies gilt auch für einen externen Beauftragten für den Datenschutz.“ 

 

Datenschutzbeauftragter; wer darf ernannt werden? Was sind seine Aufgaben?

Hat man sich entschlossen einen DSB zu bestellen (Beitrag BDSG; für wen gilt es und Beitrag Meldepflicht; Wer muß ihr nachkommen? ) muss jetzt die richtige Person dafür ermittelt werden.

Möglich sind sowohl interne betriebliche Datenschutzbeauftragte als auch externe betriebliche Datenschutzbeauftragte. Dabei gelten alle berufsspezifischen Verpflichtungen und Rechte (Geheimhaltungsvorschriften, Zeugnisverweigerungsrechte) sowohl für den internen als auch den externen DSB).

Qualifikation des DSB

Die Qualifikation richtet sich nach dem Umfang und den Ausprägungen der unternehmenrischen Tätigkeiten. Mindestens werden folgenende Kenntnisse erwartet:

  • grundsätzliches zum Datenschutzrecht
  • betriebswirtschaftliche Zusammenhänge
  • Zusammenhänge und Grundkenntnisse über Verfahren und Techniken der automatisierten Datenverarbeitung

Eine Fachausbildung in einem der genannten Gebiete ist sicher nützlich, jedoch nicht vorgeschrieben. Der Gesetzgeber hat §4 Abs 2 ein Verhältnismäßigkeitsprinzip eingeführt und dort klargestellt, dass der erforderliche Schulungsaufwand z.B. in einem Handwerksbetrieb anders aussieht  in einem Versicherungskonzern oder in einem Callcenter.

Unterschiede zwischen internem und externem DSB

Interner DSB

  • Rechtsanspruch auf Fort- und Weiterbildung im Fachgebiet mit Kostenübernahme
  • Sicherstellung, dass keine Interessenkollisionen auftreten
  • Sicherstellung der erforderlichen Zuverlässigkeit, Freiwilligkeit des Betroffenen
  • Bei nebendienstlichem DSB: Notwendige Freistellung von den Hauptarbeiten
  • Besondere Kündigungsschutz gemäß §4f Abs. 3 Satz 4

Externer DSB

  • ist für Fort- und Weiterbildung selber verantwortlich
  • keine Interessenkonflikte, da er keine Linienfunktionen inne hat
  • Interesse kann vorausgesetzt werden

 

Meldepflicht; wer muss ihr nachkommen? Was muss drinstehen?

Der Gesetzgeber legt in §4d BDSG die Verfahren und Notwendigkeiten zur Meldepflicht fest. Generell gilt (§4d. Abs.1): Alle Verfahren automatisierter Verarbeitung sind vor Inbetriebnahme der zuständigen Aufsichtsbehörde zu melden. Diese Meldung kann entfallen wenn das Unternehmen

  1. einen Datenschutzbeauftragten bestellt hat oder
  2. ausschließlich Datenverarbeitung für eigene Zwecke gemäß §28 BDSG betreibt und hierbei in der Regel höchstens 9 Personen beteiligt sind.

Einen Meldung muss immer erfolgen (auch wenn es einen DSB gibt) wenn geschäftsmäßig personenbezogene Daten für folgende Zwecke gespeichert werden:

  1. zur Übermittlung,
  2. zur anonymisierten Übermittlung oder
  3. zum Zweck der Markt- oder Meinungsforschung

Der Inhalt der Meldepflicht ist in § 4e BDSG geregelt und beinhaltet folgende Punkte:

  1. Name oder Firma der verantwortlichen Stelle,
  2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
  3. Anschrift der verantwortlichen Stelle,
  4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
  5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
  6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
  7. Regelfristen für die Löschung der Daten,
  8. eine geplante Datenübermittlung in Drittstaaten,
  9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

Quellen: BDSG, Kommentar Gola/Schomerus, 10 Auflage