Datenschutzbeauftragter

Spannweite id="Aufgaben.2 C_T.C3.A4tigkeit_und_Bestellung">Tasks, Activity and Order[Bearbeiten | /span>Quelltext bearbeiten]>

Innerhalb einer Einrichtung sorgt ein Datenschutzbeauftragter (DSB) für die Wahrung des Schutzes der Daten. Sie kann Angestellter dieser Einrichtung sein oder als externe Beauftragte für den Datenschutz eingesetzt werden. Er muss über das nötige Fachwissen für die Übung verfügen und darf nicht in einen Widerspruch kommen oder die Möglichkeit der Eigenkontrolle haben. Die österreichische Datenschutzaufsicht besteht in Österreich seit dem Jänner 2014.

In der EU gibt es eine eigenständige Instanz, den Europäischen Datenschutzbeauftragten. In den USA nimmt der Chief Privacy Officer (CPO) auf der Führungsebene von Firmen und Verbänden teilweise auf Freiwilligkeitsbasis Aufgaben des Datenschutzes wahr. Die International Conference of Data Protection and Privacy Commissioners, deren Teilnehmer aus subnationalen, nationalen, inter- oder supranationalen Einrichtungen bestehen, wird ebenfalls alljährlich abgehalten.

In Deutschland sind die Aufgaben und Tätigkeiten eines Beauftragten für den Schutz personenbezogener Daten in 4f und 4g des BDSG sowie den dazugehörigen Landesvorschriften festgelegt. Die Datenschutzbeauftragte arbeitet auf die Beachtung des BDSG und anderer gesetzlicher Bestimmungen (TMG, TKG, etc.) hin. Wesentlich ist die Steuerung und Steuerung des korrekten Einsatzes von EDV-Programmen.

Die Mitarbeiter im Bereich des Umgangs mit persönlichen Informationen werden in angemessener Weise mit dem Recht und seiner konkreten Anwendung (Schulung) bekannt gemacht. Der Beauftragte für den Datenschutz ist bei der Wahrnehmung seiner Aufgaben nicht weisungsgebunden. Bei der automatischen Bearbeitung personenbezogener Informationen (z.B. Mitarbeiterdaten in der Abteilung für Personalwesen, Kunden- und Interessentendaten) muss ein Datenschutzbeauftragter benannt werden: in nicht öffentlichen Einrichtungen (z.B. Firmen, Verbände), wenn mehr als neun Mitarbeiter ( 4f Abs. 1 Sätze 1 und 4 BDSG) mit der Bearbeitung dieser Informationen betraut sind oder Zugang zu diesen haben.

Dies gilt nicht, wenn ein gewisses Risikopotential besteht, das eine unverzügliche Beauftragung notwendig macht oder wenn Vorgänge durchgeführt werden, die einer vorherigen Prüfung bedürfen ( 4d Abs. 5, 3 Abs. 9, 4e, 4f Abs. 1 S. 6 BDSG), oder wenn persönliche Angaben kommerziell zur Weitergabe an Dritte weiterverarbeitet werden (z.B. Handel mit Adressdaten).

Im Falle der nicht automatischen Datenbearbeitung gilt die Regelung nur für 20 oder mehr personenbezogene Daten ( 4f Abs. 1 S. 1, 3 BDSG). Die Bearbeitung geschieht automatisch, wenn dafür Datenverarbeitungsanlagen (Computer) eingesetzt werden. Werden die Daten z.B. mit Hilfe von Registerkarten verarbeitet, so werden sie nicht automatisch verarbeitet, es sei denn, sie sind für eine spätere Bearbeitung im EDV-System vorgesehen und dies wäre ansonsten eine Vorverarbeitung.

Die Gesellschaft hat innerhalb eines Monats nach Beginn ihrer Tätigkeiten einen Beauftragten für den Datenschutz zu benennen ( 4 Abs. 1 S. 2 BDSG). Wird der Auftrag nicht oder verspätet erteilt ( 43 Abs. 1 Nr. 2 BDSG) und kann mit einer Geldstrafe von bis zu EUR 50000 bestraft werden (§ 43 Abs. 3 BDSG).

Gemäß 4d Abs. 5 BDSG unterliegen die Datenverarbeitungen einer "Ex-ante-Kontrolle", wenn sie für die Rechte und Pflichten des Dateninhabers ein besonderes Risiko darstellen. Das gilt vor allem dann, wenn spezielle personenbezogene Angaben gemäß 3 Abs. 9 BDSG bearbeitet werden oder die Bearbeitung der Angaben der Beurteilung der Person einschließlich ihrer Leistungsfähigkeit und ihres Benehmens diente.

Gemäß 4d Abs. 6 BDSG darf nur ein Datenschutzbeauftragter die Vorabprüfung sowie die Überprüfung, ob eine Vorabprüfung notwendig ist, durchlaufen. Man unterscheidet zwischen Beamten, Kirchen- und Betriebsdatenschutzbeauftragten. Darüber hinaus gibt es Beauftragte des Bundes bzw. der Bundesländer für den Datenschutz, die eine Aufsichts- und Ombudsmannfunktion haben. Abhängig von den Regelungen des Bundesdatenschutzgesetzes und der Landesdatenschutzgesetze benennen die zuständigen Stellen eigene Beauftragte für den Datenschutz, die für die Aufbewahrung und Bearbeitung der personenbezogenen Informationen zuständig sind.

In den Bistümern der Katholiken, der Protestantischen Kirchen in Deutschland und der Protestantischen Gebietskirchen werden für ihren jeweiligen Zuständigkeitsbereich eigene Datenschutzbehörden eingesetzt. Das regelt das Kirchendatenschutzgesetz (KDG) der Katholiken und das EKD-Datenschutzgesetz. In einem Privatunternehmen sorgt der Beauftragte für die Beachtung der datenschutzrechtlichen Bestimmungen (hat aber kein Weisungsrecht).

Der Beauftragte für den Datenschutz repräsentiert im Zuge seiner Arbeit den Ist-Zustand des Unternehmens, die Überprüfung findet hier bereits vom Werkstor aus statt, in der Regel wird eine Überprüfung des Datenschutzverhaltens von aussen durchgeführt und es wird überprüft, ob die vorhandenen Massnahmen ausreichend sind oder ob Verbesserungsbedarf besteht. Darüber hinaus informiert der Beauftragte für den Datenschutz über den aktuellen Stand der EDV und des Netzes und überprüft, ob die Vorgaben erfüllt werden; darüber hinaus gibt er Verbesserungsvorschläge ab.

Bei allen Vorgängen zur Erhebung, Bearbeitung, Übermittlung oder Verwendung personenbezogener Informationen wird ein Ist-Zustand angezeigt, Vorabprüfungen durchgeführt und Verbesserungsmöglichkeiten aufgezeigt. Der Beauftragte für den Datenschutz prüft in regelmässigen Zeitabständen, ob Änderungen oder weitere Optimierung erfolgt sind. Werden neue Vorgehensweisen eingeführt, ist der Beauftragte für den Datenschutz vorher zu benachrichtigen und wird falls erforderlich eine Vorprüfung durchführen.

Wichtig ist, dass nur berechtigte Personen eine zweckgebundene Datenverarbeitung durchführen können und dass der Inhaber der erhobenen personenbezogenen Informationen sein Recht auf Auskunftserteilung, Berichtigung, Widerspruch und Löschen ausüben kann. Sie ist auch für die Ausbildung der Mitarbeitenden zur Sensibilisierung für Datenschutzfragen zuständig.

Der Beauftragte für den Datenschutz wird im Zuge dieser Arbeiten in der Regel auch das Verfahrens- und das Teilnehmerverzeichnis gemäß 4g Abs. 2 BDSG vorbereiten und regelmässig auf den neuesten Stand bringen. Der Beauftragte für den Datenschutz ist für das Management und die Mitarbeitenden die Ansprechpartnerin für alle Datenschutzfragen. Darüber hinaus kann der Beauftragte für den Datenschutz nach freiem Gutdünken im Unternehmen einen Termin vereinbaren, damit die Mitarbeiterinnen und Mitarbeiter ihn hier besuchen und sich informieren können.

Darüber hinaus unterrichtet der Beauftragte für den Datenschutz über eventuelle Veränderungen im Geltungsbereich des BDSG und der Verfassungsgesetze, sofern diese vom Unternehmen zu berücksichtigen sind. Er ist anweisungsfrei und in seiner fachlichen Qualifikation vorstandsunabhängig. Die Datenschutzverantwortlichen berichten unmittelbar an die Geschäftsführung, die auch ihre Meldungen und Vorabprüfungen vornimmt. Durch die Novelle des BDSG ( "BDSG-Novelle II 2009") wurde der Betriebsdatenschutzbeauftragte mit einem besseren Entlassungsschutz nach § 4f Abs. 3 BDSG ausstattet.

Sofern kein Grund zur fristlosen Abberufung besteht, ist die Auflösung des Anstellungsverhältnisses mit dem Betriebsdatenschutzbeauftragten inakzeptabel. Diese Kündigungsmöglichkeit besteht auch nach der Amtsenthebung als Betriebsdatenschutzbeauftragter für ein weiteres Jahr nach Ablauf der Amtszeit. Ein interner Datenschutzbeauftragter wird in der Regel für 5 Jahre, in einigen Ländern auch für 3 Jahre ernannt.

Ein kürzerer Termin ist in der Regel nicht möglich, da sonst der betriebliche Beauftragte für den Datenschutz seine Arbeit nicht in angemessenem Maße verrichten kann. Während dieser Zeit kann der ehemalige betriebliche Beauftragte für den Datenschutz nur entlassen werden, wenn Gründe für eine außerordentliche Beendigung im Sinn von 626 BGB vorlagen.

Das Aufsichtsorgan kann den beauftragten DSB zurückrufen, wenn er nicht über die erforderlichen Fachkenntnisse oder die nötige Verlässlichkeit verfügt. Die Landesdatenschutzbeauftragten beaufsichtigen und informieren die Behörden des jeweiligen Bundeslandes in Datenschutzfragen. Die Landesdatenschutzbeauftragten sind in den Ländern mit dem Datenschutzgesetz auch Vertreter der Unterrichtung. Nur wer über die nötige Sachkenntnis und Verlässlichkeit verfügt, kann zum Beauftragten für den Schutz personenbezogener Daten ernannt werden.

Der Datenschutzbeauftragte ist nach § 4f Abs. 3 S. 7, Abs. 2 BDSG dazu angehalten, dem Beauftragten für den Datenschutz die Möglichkeit zur Durchführung von Fort- und Weiterbildungsmaßnahmen zur Aufrechterhaltung seiner fachlichen Qualifikation zu geben und deren Aufwendungen zu erstatten. Andere externe Mitarbeiter, wie z.B. der permanente Berater oder Wirtschaftsprüfer[4] oder ein Datenschutzbeauftragter, der selbst in einen Interessenskonflikt geraten könnte, wenn er z. B. bei dem Betrieb angestellt ist, der auch die IT-Lösung oder andere Lösungsansätze für das betroffene Institut implementiert hat, und damit Interessenskonflikte und das Risiko der Selbstregulierung besteht.

Der Beauftragte kann die Sachkenntnis des Beauftragten für den Datenschutz überprüfen und in begründeten Ausnahmefällen die Unwirksamkeit der Berufung selbst überprüfen und auch festsetzen oder den Beauftragten für den Datenschutz aus seiner Berufung entfernen bzw. entfernen. Die externen Datenschutzverantwortlichen können in nahezu allen Einrichtungen, vor allem in privaten Betrieben, eingesetzt werden. Möglich wurde dies vor allem durch Änderungen im Strafrecht und im BDSG 2006, 2008 und 2009, so dass auch Personen mit Sicherheitsfreigabe einen externen Beauftragten für den Datenschutz benennen können.

Die Ernennung des Beauftragten für den Schutz personenbezogener Daten hat nach den Bestimmungen des BDSG zu erfolgen. Nach wie vor hängen die Voraussetzungen für die Angemessenheit eines Beauftragten für den Schutz personenbezogener Daten vom Unternehmen ab. Die Ansprüche können je grösser oder komplizierter die Verarbeitung der Daten sein. In jedem Falle muss der Beauftragte für den Schutz personenbezogener Daten den Schutz der Daten im Unternehmen überprüfen können, andernfalls ist seine Verfügung ungültig.

Der externe Beauftragte für den Datenschutz kann auch für Personen mit Geheimnissen (z.B. Ärztinnen und Ärzte, Anwälte, Steuerberaterinnen und -berater usw.) aufgrund von Strafrechtserweiterungen handeln, da ihnen die entsprechenden Rechte zur Zeugnisverweigerung und zum Verbot der Einziehung eingeräumt worden sind. Fachschulungen für Beauftragte für den Datenschutz werden von DEKRA, IHK, TÜV, FH Ulm, IQ-Zert und anderen angeboten. Abgesehen von der ISO-Norm gibt es keine rechtsverbindlichen Normen, obwohl der Berufsstand des Beauftragten für den Datenschutz in der Regel eine umfangreiche und hochqualifizierte Ausbildung vorraussetzt.

Es gibt keine reglementierte Ausbildung zum Datenschützer und auch keine Ausbildungsgänge, die unmittelbar für diese Aktivität in Frage kommen. 8] Um die vielschichtigen Aufgabenstellungen in der Berufspraxis bewältigen zu können, ist eine kontinuierliche Schulung und Aktualisierung des Know-hows vonnöten. Nach dem BDSG ist der Unternehmer dazu angehalten, seinen Beauftragten für den Datenschutz die Möglichkeit zur Weiterbildung zu geben und die damit verbundenen Aufwendungen zu tragen (§ 4f Abs. 3 BDSG).

Die Schulungsanbieter selbst oder die externen Zertifizierungsstellen wie die Dekra sind dann für die Überprüfung verantwortlich. Es gibt keine Normen für solche Einführungskurse, aber die einzelnen Spieler haben Vorgaben für das Anforderungsprofil des Beauftragten für den Datenschutz gemacht, z.B. der BvD. Ruben Schwab, Thorsten Ehrhard: Besonderer Kündigungsschutz für Datenschützer.

Veröffentlicht: Neue Zeitung für Arbeitsrecht 20/2009, p. 1118-1120. Der Spiegel 20/1971. Retrieved March March 15 - March 2014. Data protection office. llv.li. Bundesbeauftragter für den Schutz personenbezogener Daten und Informationen. Retrieved June 22, 2011. ) Mindestvoraussetzungen für die Qualifikation des Düsseldorforfer Kreis als . Bundesbeauftragter für den Schutz personenbezogener Daten und Informationen.