techSphere

Die Informationsplattform für Management, Strategien und Konzepte

Datenschutz / Data Protection

Einführung - Datenschutz und Datenschutzbeauftragter Share/Bookmark


Was hat ein Datenschutzbeauftragter mit dem Datenschutz zu tun?

Die Geschichte des Datenschutzes ist eine noch sehr kurze Geschichte. Dies steht im direkten Zusammenhang mit der erst in jüngerer Zeit scheinbar unaufhaltsam voranschreitenden technischen Entwicklung im Bereich der Informationstechnologie. Erste Überlegungen zum Datenschutz kamen Anfang der 60 Jahre auf, als man sich bewusst wurde, dass der zunehmenden Möglichkeit der technischen Datenverarbeitung die Schaffung beschränkender Bestimmungen einhergehen muss, damit die schutzwürdigen Belange des Einzelnen bei der Verarbeitung seiner Daten nicht beeinträchtigt werden.
Nach umfangreichen Erörterungen wurde am 01. Februar 1977 die Erstfassung des Bundesdatenschutzgesetzes (BDSG) im Bundesgesetzblatt verkündet und trat am 01. Januar 1979 umfassend in Kraft. Zuvor hatten bereits einzelne Bundesländer eigene Landesdatenschutzgesetze geschaffen.
In der Folgezeit wurde der Datenschutz sowohl durch die weitere technische Entwicklung als auch durch die den Datenschutz präzisierende und fortschreibende Rechtsprechung der Gerichtsbarkeit geprägt. Hinzu kam ein gewandeltes Rechtsempfinden der Bürger, was sich auch deutlich durch die Aufnahme des Grundrechts auf Datenschutz in den Landesverfassungsgesetzen der neuen Bundesländer gezeigt hat.
Aber auch über die nationalen Landesgrenzen hinaus, hat sich gezeigt, dass die immer mehr zunehmende wirtschaftliche Verflechtung einen Datenfluss bewirkt, der einer zumindest europaeinheitlichen Regelung bedarf.
Gleichfalls arbeitet die nationale Gesetzgebung aktuell an einem moderneren Datenschutzgesetz. Ziel soll sein, das Datenschutzrecht zu vereinfachen, es klarer und verständlicher zu regeln, die Selbstbestimmung der in ihrem Persönlichkeitsrecht betroffenen Person zu stärken und die Selbstregulierung der sog. verantwortlichen Stelle weiter auszubauen. Ferner soll der Datenschutz auf die künftig zu erwartenden Risiken der informationstechnischen Entwicklung ausgerichtet werden.



Bestehende Rechtsquellen zum Datenschutz (Auszug)
Verfassungsrecht
Eine der wichtigsten datenschutzrechtlichen Vorgaben ist das Volkszählungsurteil des Bundesverfassungsgericht aus dem Jahr 1983. Gegenstand dieser Entscheidung war die zwangsweise Erhebung von personenbezogenen Daten. Hier hat das Bundesverfassungsgericht dem Einzelnen als Ausprägung des verfassungsrechtlich verankerten allgemeinen Persönlichkeitsrechts ein Recht auf informationelle Selbstbestimmung zugestanden. Es soll dem Einzelnen demnach grundsätzlich möglich sein, selbst zu bestimmen, wann und wie viel andere von ihm erfahren. Dieses Recht auf informationelle Selbstbestimmung dient dem Recht auf Erhaltung der Privatsphäre und soll zugleich verhindern, dass eine zunehmende "Überwachung" durch die Stellen in Staat und Wirtschaft eintritt. Es soll das Abwehrrecht des Einzelnen gegen jede Form der Datenverarbeitung einschließlich der Datenerhebung und Datennutzung sein.

Einschränkungen des Rechts auf informationelle Selbstbestimmung sind nur aufgrund der Bestimmungen des BDSG oder einer anderen Rechtsvorschrift zulässig, vgl. § 4 Abs. 1 BDSG. Eine andere Rechtsvorschrift ist nur dann eine ausreichende Rechtsgrundlage, wenn diese die Verarbeitung personenbezogener Daten ausdrücklich für zulässig erklärt. Die einschränkende Rechtsvorschrift muss den vom Bundesverfassungsgericht im Volkszählungsurteil vorgegebenen Kriterien entsprechen.

  • Eine solche Rechtsvorschrift muss daher den Grundsatz der Verhältnismäßigkeit beachten. Dieser Grundsatz fordert nicht nur die Prüfung, ob eine Maßnahme (z.B. die Volkszählung) erforderlich ist, sondern insbesondere, ob ein Mittel im Verhältnis zum angestrebten Zweck noch verhältnismäßig ist.
  • Die Voraussetzungen für die Einschränkung des Grundrechts und deren Umfang für den Bürger müssen erkennbar geregelt sein, also dem Gebot der Bestimmtheit und Normenklarheit entsprechen. Dies bewirkt gerade im Datenschutzbereich den Erlass einer Vielzahl von bereichsspezifischen Gesetzen.
  • Nur das erforderliche Minimum an Daten darf verlangt werden, vgl. auch § 3a BDSG.
  • Die Daten dürfen grundsätzlich nur für den Zweck verwendet werden, für den sie erhoben oder erfasst wurden. Dieser Zweckbindungsgrundsatz ist essentieller Bestandteil eines wirklich effizienten Datenschutzes.
  • Der Gesetzgeber muss durch ergänzende Vorkehrungen dafür sorgen, dass auch bei der Organisation und beim Verfahren des Umgangs mit personenbezogenen Daten auf die Rechte des Einzelnen Rücksicht genommen wird. Hierzu gehört zum Beispiel der Grundsatz der Datenerhebung beim Betroffenen, die Installation einer wirksamen Kontrolle von Betroffenenrechten und schließlich die Vorgaben zur Datensicherung.
Bundesdatenschutzgesetz und Landesdatenschutzgesetze
Das Bundesdatenschutzgesetz (BDSG) regelt den Umgang mit personenbezogenen Daten. Dazu stellt es die Voraussetzungen auf, unter denen personenbezogene Daten erhoben, verarbeitet und genutzt werden dürfen, § 1 Abs. 2 BDSG. Der Begriff des "Umgangs" soll dabei lediglich als Oberbegriff für die 7 Phasen des Erhebens, Speicherns, Veränderns, Übermittels, Sperrens, Löschens und Nutzens stehen. Im Einzelnen lassen sich die Regelungen des BDSG wie folgt aufteilen:

  • 1. Abschnitt Allgemeine Bestimmungen §§ 1-11 BDSG
  • 2. Abschnitt Datenverarbeitung der öffentlichen Stellen §§ 12-26
  • 3. Abschnitt Datenverarbeitung der nicht-öffentlichen Stellen und öffentlich-
        rechtliche Wettbewerbsunternehmen §§ 27-38 a
  • 4. Abschnitt Sondervorschriften §§ 39-42
  • 5. Abschnitt Bußgeld-und Strafvorschriften §§ 43-44
  • 6. Abschnitt Übergangsvorschriften §§ 45-46
Das Bundesdatenschutzgesetz gilt dabei für öffentliche Stellen des Bundes und für die nicht-öffentlichen Stellen (Private), §§ 1 Abs. 2 Nr. 1, Nr. 3 BDSG. Nur sehr eingeschränkt gilt es für die öffentlichen Stellen der Länder, § 1 Abs. 2 Nr. 2 BDSG.

Öffentliche Stellen des Bundes sind nach § 2 Abs. 1 BDSG:

  • Behörden des Bundes
  • Organe der Rechtspflege des Bundes
  • andere öffentlich-rechtlich organisierte Einrichtungen im Bundesbereich (z. B. Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts unter Bundesaufsicht)
  • bestimmte Vereinigungen öffentlicher Stellen des Bundes und bestimmte von diesen beherrschte Unternehmen, Gesellschaften oder Einrichtungen, auch in privater Rechtsform
  • nicht-öffentliche Stellen, soweit sie hoheitliche Aufgaben der öffentlichen Verwaltung wahrnehmen, z.B. Schornsteinfeger oder TÜV
Öffentliche Stellen der Länder sind nach § 2 Abs. 2 BDSG:

  • Behörden der Länder
  • Organe der Rechtspflege der Länder
  • andere öffentlich-rechtlich organisierte Einrichtungen im Landes-und Kommunalbereich
  • bestimmte Vereinigungen, Gesellschaften, Unternehmen und Einrichtungen öffentlicher Stellen eines Landes, auch in privater Rechtsform, § 2 Abs. 3 BDSG
Nicht-öffentliche Stellen sind nach § 2 Abs. 4 BDSG:

  • natürliche Personen
  • privatrechtlich organisierte Unternehmen (z.B. AG, GmbH, GmbH & Co. KG, OHG, KG)
  • Personenvereinigungen des Privatrechts (z.B. Vereine, Verbände, politische Parteien)
Nicht-öffentliche Stellen unterliegen dem BDSG aber nur, vgl. § 1 Abs. 2, Nr. 3 BDSG:

  • soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben
  • oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben
es sei denn, die Erhebung, Verarbeitung oder Nutzung erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten, § 1 Abs. 2, Nr. 3 BDSG.

Der zur Datenverarbeitungsanlage gleichgelagerte Begriff der "elektronische Datenverarbeitung" stellt dabei die Bezeichnung für einen Computer dar. Ein Computer ist dabei ein universell einsetzbares digitales System zur programmgesteuerten, automatischen Verarbeitung von Daten. Zu beachten ist, dass das BDSG auch für Daten in Akten und anderen Unterlagen z.B. Bücher, Listen, Bildarchive, Filme, Videos, Tonaufzeichnungen gilt, soweit es sich um personenbezogene Daten handelt, die offensichtlich aus einer automatisierten Verarbeitung entnommen worden sind, § 27 Abs. 2 BDSG.

Europarecht
Auf europäischer Ebene kommt den Richtlinien, die datenschutzrechtliche Bestimmungen enthalten eine große Bedeutung zu, da die Mitgliedstaaten diese Richtlinien in nationales Recht transformieren müssen. Aus der Datenschutzrichtlinie 95/46 EG des Europäischen Parlaments und des Rats vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr . entstand das aktuelle Bundesdatenschutzgesetz (BDSG).

Rechte des Betroffenen
Recht auf Auskunft
Jeder - unabhängig von Alter, Wohnsitz und Nationalität - hat das Recht auf Auskunft über die zu seiner Person gespeicherten Daten (§ 34 BDSG). Dieses Recht kann demnach auch von einem Arbeitnehmer gegenüber seinem Arbeitgeber geltend gemacht werden. Welche Auskunft kann ein Arbeitnehmer verlangen?

  • Über die zu seiner Person gespeicherten Daten, einschließlich der Angabe, woher sie stammen und an welche dritten Stellen sie weitergegeben worden sind
  • Über den Zweck der Speicherung (d.h. die betreffende Verwaltungsaufgabe oder den speziellen Geschäftszweck)
  • Über Personen und Stellen, an die regelmäßig übermittelt wird (gilt nur bei automatisierter Verarbeitung durch nicht-öffentliche Stellen)
Die Auskunft hat grundsätzlich schriftlich zu erfolgen und ist für den Betroffenen kostenfrei (§ 34 Abs. 2 und § 34 Abs. 5 BDSG).

Benachrichtigung
Ein anderes wichtiges Mittel, damit man weiß, wer welche Daten über einen verarbeitet, ist die Benachrichtigung. Gemäß § 33 Abs. 1 BDSG ist der Betroffene zu benachrichtigen, wenn erstmals personenbezogene Daten über ihn gespeichert oder an Dritte übermittelt werden. Diese Pflicht zur Benachrichtigung entfällt insbesondere aber dann, wenn der Betroffene auf andere Weise Kenntnis von der Speicherung oder Übermittlung erlangt hat (§33 Abs. 2 Nr. 1 BDSG) z.B. Speicherung der Stammdaten bei einem Arbeitnehmer.

Recht auf Berichtigung, Sperrung oder Löschung
Jede Stelle ist verpflichtet, unrichtige Daten zu berichtigen, wenn sich z.B. bei dem Auskunftsanspruch eines Arbeitnehmers herausstellt, dass seine personenbezogenen Daten unrichtig sind. Es liegt aber am Betroffenen selbst, darauf hinzuweisen, wenn Daten unrichtig oder überholt sind. Personenbezogene Daten eines Arbeitnehmers sind zu löschen, wenn

  • die Speicherung unzulässig ist, weil schon die Erhebung unzulässig war § 35 Abs. 2 BDSG oder die Mitbestimmungsrechte des Betriebsrates nicht beachtet worden sind
  • es sich um Daten über rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit, gesundheitliche Verhältnisse oder das Sexualleben, strafbaren Handlungen oder Ordnungswidrigkeiten handelt und die speichernde Stelle deren Richtigkeit nicht beweisen kann
  • für eigene Zwecke verarbeitete Daten für die Erfüllung des Speicherzwecks nicht mehr erforderlich sind
Eine Löschung ist nur für personenbezogene Daten vorgesehen, die in einer Datei verarbeitet werden, jedoch nicht für einzelne Daten, die in Akten festgehalten sind. Sind allerdings komplette Akten unzulässig angelegt, so sind sie ebenfalls zu vernichten; ebenso ist im Allgemeinen mit nicht mehr erforderlichen Akten zu verfahren.
Was z.B. Personalakten anbelangt, so ergibt sich aus der Rechtsprechung des Bundesarbeitsgerichts, dass diese Akten im Betrieb sorgfältig aufzubewahren sind und nicht allgemein zugänglich sein dürfen. Hinsichtlich solcher Daten, an der der Arbeitnehmer ein berechtigtes Interesse hat (z.B. Gesundheitszustand, persönliche Verhältnisse, Einkommen) trifft den Arbeitgeber eine Verschwiegenheitspflicht. Eine Verletzung dieser Verschwiegenheitspflicht kann zum Schadensersatz verpflichten. Gesetzliche Regelungen der arbeitgeberseitigen Verschwiegenheitspflicht finden sich z. B. in § 5 BDSG oder in § 5 Mutterschutzgesetz.

Personenbezogenen Daten sind immer dann zu sperren, wenn einer fälligen Löschung besondere Gründe entgegenstehen, etwa

  • gesetzlich, satzungsmäßig oder vertraglich festgelegte Aufbewahrungsfristen
  • schutzwürdige Interessen des Betroffenen, etwa weil die Beweismittel verloren gingen
  • ein unverhältnismäßig hoher Aufwand wegen der besonderen Art der Speicherung besteht
Personenbezogene Daten sind zu sperren, wenn der Betroffene ihre Richtigkeit bestreitet und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt. Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden, wenn dies

  • zu wissenschaftlichen Zwecken
  • zur Behebung einer bestehenden Beweisnot
  • aus sonstigen im überwiegenden Interesse der speichernden Stelle oder eines Dritten liegenden Gründen unerlässlich ist


Technische und organisatorische Maßnahmen zum Datenschutz
Nach § 9 BDSG haben öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften des Bundesdatenschutzgesetzes zu gewährleisten. Es muss daher gewährleistet werden können, dass personenbezogenen Daten vor Missbrauch, Fehlern und Unglücksfällen möglichst sicher sind. Welche Maßnahmen dafür notwendig sind, hängt nicht nur von der Art der Daten ab, sondern ebenso von der Aufgabe, den organisatorischen Bedingungen, den räumlichen Verhältnissen, der personellen Situation und anderen Rahmenbedingungen. Die technischen und organisatorischen Maßnahmen sollen insbesondere folgende Maßnahmen umfassen:

Zutrittskontrolle
Nr. 1 der Anlage zu § 9: Dadurch soll sichergestellt werden, dass Unbefugte kein Zugang haben (körperlich) zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden. Es soll damit die Möglichkeit unberechtigter Einsicht-oder Veränderungsmöglichkeit verhindert werden.

Zugangskontrolle
Nr. 2 der Anlage zu § 9: Die Zugangskontrolle soll sicherstellen, dass nicht in das EDV-System selbst seitens hierzu nicht befugter Personen eingedrungen werden kann.

Zugriffskontrolle
Nr. 3 der Anlage zu § 9: Die Zugriffskontrolle soll gewährleisten, dass ein grundsätzlich zur Benutzung eines Datenverarbeitungssystems Berechtigter, nur auf die Daten zugreifen kann, auf die sich seine Berechtigung bezieht.

Weitergabekontrolle
Nr. 4 der Anlage zu § 9: Diese soll verhindert, dass Datenträger unbefugt gelesen, kopiert, verändert, oder entfernt werden können. Ferner soll überprüft werden können, an welche Stellen eine Übermittlung personenbezogenen Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Eingabekontrolle
Nr. 5 der Anlage zu § 9: Es muss nachträglich überprüft und festgestellt werden können, welche Daten von wem in Datenverarbeitungsanlagen eingegeben, verändert oder gelöscht bzw. entfernt worden sind.

Auftragskontrolle
Nr. 6 der Anlage zu § 9: Hiermit soll sichergestellt werden, dass die im Auftrag zu verarbeitenden Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden.

Verfügbarkeitskontrolle
Nr. 7 der Anlage zu § 9: Stellt eine Sicherungsverpflichtung dar und soll den Schutz vor zufälliger Zerstörung (Brand, Blitzschlag, Wasser etc.) gewährleisten.

Trennungsgebot
Nr. 8 der Anlage zu § 9: Dieses soll die zweckbestimmte Verarbeitung personenbezogener Daten auch technisch sicherstellen. Dieses Gebot verlangt aber keine räumliche Trennung der Daten in unterschiedlichen Datenverarbeitungsanlagen. Bei den technischen und organisatorischen Maßnahmen ist von entscheidender Bedeutung, dass sie als ein zusammenwirkendes Schutzsystem verstanden werden. Viele Maßnahmen des Datenschutzes wirken zugleich im Sinne einer Sicherung eines ordentlichen Betriebsablaufs. Deshalb ist es wichtig, dass Datenschutzkonzept jeweils in engem Zusammenhang mit sonstigen Sicherheitskonzepten zu entwickeln und anzuwenden.

Aufgaben, Rechte und Pflichten des Datenschutzbeauftragten
Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, sind verpflichtet, bei diesen Arbeiten die Ausführungen des Bundesdatenschutzgesetzes (BDSG) sowie anderer Vorschriften über den Datenschutz sicherzustellen. Der Datenschutzbeauftragte ist Organ der Selbstkontrolle; er unterstützt und berät das Unternehmen.

Nach § 4f Abs. 1 BDSG haben nicht-öffentliche Stellen, hierunter fallen z.B. alle Unternehmen der privaten Wirtschaft, aber auch freiberuflich Tätige, egal welcher Rechtsform sie angehören, einen "betrieblichen" Beauftragten für den Datenschutz (bDSB) schriftlich zu bestellen, wenn

  • bei der automatisierten Datenverarbeitung mindestens 10 Arbeitnehmer oder
  • bei Verarbeitung auf andere Weise mindestens 20 Personen beschäftigt sind
Unabhängig von der Anzahl der Arbeitnehmer haben nicht-öffentliche Stellen einen bDSB zu bestellen, soweit sie

  • automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen oder
  • personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung oder der anonymisierten Übermittlung erheben, verarbeiten oder nutzen. Mit dieser Aufgabe kann auch eine (natürliche) Person außerhalb der verantwortlichen Stelle betraut werden (§ 4f Abs. 2 S. 2 BDSG), sog. externer Datenschutzbeauftragter
Der bDSB ist innerhalb einer Frist von einem Monat nach Aufnahme der Tätigkeit der nichtöffentlichen Stelle zu bestellen. Wird der betriebliche Datenschutzbeauftragte vorsätzlich oder fahrlässig nicht oder nicht rechtzeitig bestellt, so stellt dies eine Ordnungswidrigkeit dar, die mit einer Geldbuße von bis zu 25.000 EUR geahndet werden kann.

Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt (§4f Abs. 2 S. 1 BDSG).

Fachkunde
Die erforderliche Fachkunde umfasst sowohl das allgemeine Grundwissen hinsichtlich des Datenschutzrechts sowie über Verfahren und Techniken der automatisierten Datenverarbeitung, als auch die Kenntnis über betriebswirtschaftliche Zusammenhänge. Darüber hinaus muss der oder die bDSB mit der Organisation und den Funktionen seines Betriebes vertraut sein, namentlich einen Überblick über alle Fachaufgaben haben, zu deren Erfüllung personenbezogene Daten verarbeitet werden.

Zuverlässigkeit
Der Begriff der Zuverlässigkeit wird neben Umschreibungen wie sorgfältige und gründliche Arbeitsweise, Belastbarkeit, Lernfähigkeit, Loyalität und Gewissenhaftigkeit hauptsächlich mit der Frage der Inkompatibilität der Aufgabe des Datenschutzbeauftragten mit anderen hauptamtlichen Aufgaben des Datenschutzbeauftragten in Verbindung gebracht. Wird ein Arbeitnehmer eines Unternehmens nur nebenamtlich mit der Aufgabe des bDSB betraut, so stellt sich das Problem einer eventuellen Interessenkollision, die seine vom Gesetz geforderte Zuverlässigkeit in Frage stellen kann. Darüber hinaus sollen auch Personen nicht zu Datenschutzbeauftragten berufen werden, die in dieser Funktion in Interessenkonflikte geraten würden, die über das unvermeidliche Maß hinausgehen. Unvereinbar wäre es z.B., den Inhaber, den Vorstand, den Geschäftsführer oder den sonstigen gesetzlichen oder verfassungsmäßig berufenen Leiter zu bestellen, da sie sich nicht wirksam selbst kontrollieren können. Weiter ist zu vermeiden, Personen zu Datenschutzbeauftragten zu bestellen, die von ihrer Stellung im Betrieb für die Datenverarbeitung verantwortlich sind (Betriebsleiter, Leiter der EDV). Dagegen kommen als Datenschutzbeauftragte beispielsweise Mitarbeiter/-innen der Revision, der Rechtsabteilung und Organisation in Frage.

Bestellung
Die Bestellung zum Beauftragten für den Datenschutz kann in entsprechender Anwendung von § 626 BGB, auch auf Verlangen des Landesbeauftragten für den Datenschutz, widerrufen werden (§ 4f Abs. 3 S. 4 BDSG). Eine solche Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist begründet sich u.a. dann, wenn Tatsachen vorliegen, auf Grund derer, unter Berücksichtigung aller. Umstände des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile, die Fortsetzung der Tätigkeit nicht zugemutet werden kann, weil z.B. der oder die Beauftragte für den Datenschutz nicht die erforderliche Fachkunde und Zuverlässigkeit besitzt.

Der oder die Datenschutzbeauftragte wirkt auf die Einhaltung des SDSG und anderer Vorschriften über den Datenschutz hin. Zu diesem Zweck kann sich der oder die Beauftragte für den Datenschutz in Zweifelsfällen an den Landesbeauftragten für den Datenschutz wenden. Ihm bzw. ihr obliegen insbesondere

  • die Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden; zu diesem Zweck ist der bOSS über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten (§ 4g Abs. 1 Satz 3 Nr. 1 SDSG)
  • die Schulung der bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen ( § 4g Abs. 1 Satz 3 Nr. 2 BDSG). Dies kann z.B. in schriftlicher Form, durch Schulungsveranstaltungen oder auch durch Anregungen und Informationen im Rahmen von Dienstbesprechungen erfolgen
Der Beauftragte für den Datenschutz ist dem Leiter der nicht öffentlichen Stelle unmittelbar zu unterstellen. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden (§ 4f Abs. 3 BDSG).

Der Beauftragte für den Datenschutz ist ferner zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird (§ 4f Abs. 4 BDSG).

Die datenverarbeitende Stelle ist verpflichtet, den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen (§ 4f Abs. 5 BDSG). Zur Bewältigung seiner Aufgabe ist dem Beauftragten für den Datenschutz von der verantwortlichen Stelle eine Übersicht über die meldepflichtigen Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen (§ 4g Abs. 2 S. 1 BDSG).

Der oder die Beauftragte für den Datenschutz ist zuständig für die Vorabkontrolle (§ 4d Abs. 6 BDSG), d.h. soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, sind diese vor Beginn der Verarbeitung einer Prüfung zu unterziehen. Die Vorabkontrolle hat der oder die Beauftragte für den Datenschutz nach Empfang der Übersicht über die meldepflichtigen Angaben sowie über zugriffsberechtigte Personen vorzunehmen. In Zweifelsfällen hat er sich an die Aufsichtsbehörde zu wenden.

Adressen der Datenschutzkontrollinstitutionen
Bundes-und Landesdatenschutzbeauftragte (Auszug auf Landesebene) und regionale Aufsichtsbehörde für den nicht-öffentlichen Bereich:

Bund
Der Bundesbeauftragte für Datenschutz
Postfach 20 01 12
53173 Bonn (Bad Godesberg)
Telefon: (02 28) 8 19 95-0
Telefax: (02 28) 8 19 95-5 50
E-Mail: poststelle@bfd.bund400.de
Internet: www.bfd.bund.de

Baden-Württemberg
Der Landesbeauftragte für Datenschutz
Marienstraße 12
70178 Stuttgart
Postfach 10 29 32
70025 Stuttgart
Telefon: (07 11) 61 55 41-0
Telefax: (07 11) 61 55 41-15
E-Mail: poststelle@lfd.bwl.de

Aufsichtsbehörde
Innenministerium Baden Württemberg Aufsichtsbehörde für Datenschutz im nicht-öffentlichen Bereich
Dorotheenstraße 6
70020 Stuttgart
Telefon: (07 11) 2 31-4
Telefax: (07 11) 2 31-32 99

Adressen von Datenschutzorganisationen
Mit der Umsetzung des grundrechtlichen Datenschutzes beschäftigen sich auch verschiedene Organisationen:

DVD
Die Deutsche Vereinigung für Datenschutz (DVD) stellt den Bürgerschutz vor stattlichen Eingriffen in den Vordergrund
Bonner Talweg 33-35
53113 Bonn
Telefon: (02 28) 22 24 98
E-Mail: dvd@aktiv.org

DGRI
Die Deutsche Gesellschaft für Recht und Informatik (DGRI) befasst sich mit den rechtlichen Problemen der DV generell (z. B. Softwareschutz)
Schöne Aussicht 30
61348 Bad Homburg
Telefon: (0 61 72) 92 09 30
Telefax: (0 61 72) 92 09 33

GDD
Für betriebliche und behördliche Datenschutzbeauftragte sind die Gesellschaft für Datenschutz und Datensicherung (GDD)
Pariser Straße 37
53117 Bonn
Telefon: (02 28) 69 43 13
Telefax: (02 28) 69 56 38
E-Mail: info@gdd.de

BvD
Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) von Interesse:
Hegemannsweg 32
45966 Gladbeck
Telefon: (0 20 43) 2 33 44
Telefax: (0 20 43) 29 56 02
Internet: www.bvdnet.de

Tipps und Tricks

Aufgaben-Katalog für den betrieblichen Datenschutzbeauftragten
Aufgaben, die nach dem BDSG zu übertragen sind:
  • Koordinierung aller Datenschutz-Maßnahmen, Abstimmung mit der Geschäftsleitung, Einschaltung der Aufsichtsbehörde bei Bedarf (§ 4g Abs. 1)
  • Führen von Übersichten (die im Betrieb zur Verfügung zu stellen sind) über -eingesetzte DV-Anlagen -Bezeichnung und Art der Dateien -Art der gespeicherten Daten -Geschäftszwecke zu deren Erfüllung die Kenntnis der Daten erforderlich ist -deren regelmäßige Empfänger -zugriffsberechtigte Personengruppen
  • Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungs-Programme
  • Sicherstellung einer Programmdokumentation
  • Bekanntgabe der Vorschriften an die in der Datenverarbeitung tätigen Personen
  • Beratende Mitwirkung zur Stellenbesetzung der in der DV arbeitenden Personen
  • Verpflichtung auf das Datengeheimnis
  • Überwachung und Koordination der Datensicherungsmaßnahmen nach § 9 BDSG
Aufgaben, die nach dem BDSG übertragen werden können:
  • Erstellen eines Katalogs für die nach dem BDSG geschützten Daten
  • Mitwirkung bei der Benachrichtigungen und Auskünften nach §§ 33,34 BDSG
  • Mitwirken bei der Gestaltung von Vordrucken für personenbezogene Daten
  • Überwachung der Auswahl des Auftragnehmers § 11 Abs. 2 BDSG
  • Verantwortlichkeit für den Abschluss von Versicherungen im EDV-Bereich
  • Ausgestaltung der Hinweispflicht an die Datenempfänger zur Zweckbindung
Aufgaben, die wegen des Sachzusammenhangs, der Auslastung und der Kosten zusätzlich übertragen werden sollen:
  • Überwachung der Geheimhaltung von Daten, die vom Schutz des BDSG nicht umfasst sind aber im Betriebsinteresse liegen
  • Erarbeitung eines Sicherungssystems für die gesamte Datenverarbeitung
Zusätzliche Aufgaben bei geschäftsmäßiger Datenverarbeitung:
  • Mitwirkung bei der Meldepflicht und zwar bei Aufnahme, Änderung oder Beendigung der Tätigkeit
  • Überwachung der Einhaltung der Weisungen des Auftraggebers § 11 BDSG
  • Mitwirkung bei der Bestimmung des Entgelts § 34 Abs. 5 S. 2 BDSG
zurück zum Beitragsanfang Share/Bookmark

Markieren Sie den Inhalt der Textbox und kopieren Sie ihn in Ihre Website