Das deutsche Datenschutzrecht verfolgt das System der zweistufigen Kontrolle. Während einerseits die Aufsichtsbehörden die Einhaltung der Datenschutzvorschriften überwachen, wirkt der betriebliche Datenschutzbeauftragte ständig auf die Einhaltung dieser Vorschriften hin.
Verpflichtung zur Bestellung
Private Unternehmen, die personenbezogene Daten verarbeiten, sind daher – abhängig von der Art der Datenverarbeitung und der Anzahl der damit betrauten Mitarbeiter – grundsätzlich gemäߧ4f I BDSG verpflichtet einen Datenschutzbeauftragten zu bestellen.
Erfolgt keine Bestellung obwohl das Unternehmen dazu verpflichtet wäre, so stellt dies eine Ordnungswidrigkeit dar, die nach §43 I Nr. 2 iVm §43 III BDSG mit Geldbuße bis 50.000,00 EUR geahndet werden kann.
Sofern im Unternehmen eine Person entsprechendes Fachwissen hat, zuverlässig ist und für die Tätigkeit freigestellt werden kann, kann die Person aus dem Unternehmen stammen. Immer mehr Unternehmen gehen allerdings dazu über, wegen der Komplexität der Materie, der fachlichen Unabhängigkeit, etwaigen Haftungsfragen und den langfristig geringeren Kosten externe Experten als Datenschutzbeauftragte zu bestimmen.
Form
Doch egal, ob interner oder externer Datenschutzbeauftragter. Eine Bestellung ist nur konstitutiv, wenn der Datenschutzbeauftragte formell wirksam bestellt worden ist. Dabei gilt:
- Eine Bestellung hat zwingend schriftlich zu erfolgen.
- Die Bestellungsurkunde muss von beiden Parteien unterschrieben worden sein.
- Die Bestellung hat gesondert zu erfolgen, d.h. in einer eigenen Vereinbarung außerhalb eines beabsichtigten oder bestehenden Vertrages.
- Zudem muss die Bestellung eine Aufgabenbeschreibung enthalten, die Präzisierung der organisatorischen Stellung, sowie die Verpflichtung des Unternehmens, durch personelle und materielle Unterstützung die Arbeit des Datenschutzbeauftragten zu ermöglichen.
Grund des Formzwanges ist, dass allen Beteiligten die Bedeutung des Amts vor Augen geführt werden soll. Denn ein Datenschutzbeauftragter trägt erhebliche Verantwortung für das Unternehmen. Die Aufgaben wachsen in dem Maße in dem die gesetzlichen Anforderungen steigen.
Praxistipps
- Für nicht-öffentliche Stellen, also Privatunternehmen gilt: Innerhalb von einem Monat nach Aufnahme „ihrer Tätigkeit“ haben Unternehmen einen Datenschutzbeauftragten zu bestellen.Wird diese Frist versäumt, droht ein Bußgeld!
- Wichtig und in der Praxis oft verkannt ist, dass nicht nur die fehlende sondern auch die fehlerhafte Bestellung ein Bußgeld auslösen kann.
- Bei fehlerhafter Bestellung eines externen Beauftragten, ist jede Datenübertragung an den externen „Datenschutzbeauftragten“ eine gesetzlich nicht abgedeckte Übermittlung.
- Interne Datenschutzbeauftragte genießen gemäß §4f III Satz 4, 5 BDSG einen Sonderkündigungsschutz. Um diesen zu umgehen kann man Unternehmen die Bestellung auch zeitlich befristen. Bei externen Datenschutzbeauftragten wird die Vertragsdauer individuell zwischen den Parteien bestimmt, wobei zur Gewährleistung der Unabhängigkeit (=Zuverlässigkeit) ein Mindestzeitraum von 2 bis 3 Jahren für eine wirksame Bestellung erforderlich ist.
- Für den Betriebsrat besteht bei der Bestellung grundsätzlich kein eigenes Mitbestimmungsrecht. Die Unternehmensleitung ist also grundsätzlich frei, ob sie einen internen oder externen Datenschutzbeauftragten bestellt.
Merke
- die Bestellung eines Datenschutzbeauftragten ist grundsätzlich zwingend – abhängig von Art und Umfang der Datenverarbeitung im Unternehmen
- dies kann ein fachkundiger Mitarbeiter aus dem Unternehmen oder ein externer Berater sein
- die Bestellung hat einen Monat nach Aufnahme der Unternehmenstätigkeit zu erfolgen
- die Bestellung ist nur wirksam, wenn sie gesondert schriftlich erfolgt und von beiden Seiten unterschrieben wird
- bei fehlender oder fehlerhafter Belehrung droht ein Bußgeld bis zu 50.000,00 EUR
Auf eine mündliche Vereinbarung oder schriftlichen Dienstleistungsvertrag folgt der schriftliche Auftrag zur Bestellung samt Tätigkeitsbeschreibung und Beschreibung der Stellung im Unternehmen. Die Annahme erfolgt mittels Unterschrift durch den Datenschutzbeauftragten und Rücksendung an den Auftraggeber.
Erst danach ist die Bestellung formell wirksam!