Die Aufgaben

Die Aufgaben des Datenschutzbeauftragten

Aus dem Wortlaut des Gesetzes ergibt sich ein Katalog an Aufgaben, der auch hier nicht in Gänze dargestellt ist. Es ist abhängig von Betrieb selbst, inwieweit einzelne Aufgaben deutlicher wahrzunehmen sind, oder mitunter auch vernachlässigt werden können. Die nachfolgende Darstellung der Aufgaben erhebt somit keinen Anspruch auf Vollständigkeit

I Überwachung der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen

Der DSB hat die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen. Personenbezogene Daten sind „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“ (§ 3 Abs. 1 BDSG). Dabei kann es sich um Kunden, Lieferanten, eigene Mitarbeiter oder sonstige Personen handeln.
Ordnungsgemäße Anwendung bedeutet in diesem Zusammenhang, dass

  • die rechtlichen Voraussetzungen zur Verarbeitung personenbezogener Daten gewährleistet werden
  • angemessene technisch-organisatorische Maßnahmen zur Gewährleistung des Datenschutzes (§ 9 BDSG) getroffen werden
  • die Datenverarbeitung in einem geordneten Verfahren abgewickelt wird (ggf. Test und Freigabe von Programmen, Dienstanweisungen zum ordnungsgemäßen Umgang, Dokumentation)
  • die Rechte der Betroffenen (insb. auf Auskunft, Sperrung und Löschung) gewährleistet sind.
Die Überwachungsaufgabe schließt sowohl die bereits laufenden als auch die geplanten Verfahren mit ein. Deshalb enthält das Gesetz die ausdrückliche Vorgabe für das Unternehmen, den DSB über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten.
II Unterrichtung der Mitarbeiter
Der DSB hat die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften des BDSG sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen.
Die Unterrichtungspflicht besteht unabhängig davon, ob die Daten automatisiert oder manuell verarbeitet werden. Das Gesetz schreibt keine besondere Form der Unterrichtung vor. Damit ist es dem DSB freigestellt, ob er die Mitarbeiter persönlich oder schriftlich informiert. Auch ist es möglich und in vielen Fällen sinnvoll, wenn der DSB den Mitarbeitern die entsprechenden Informationen in elektronischer Form, etwa über das betriebliche Intranet, zugänglich macht. Auch kann es sinnvoll sein, wenn der DSB selbst Schulungen durchführt oder veranlasst, dass Mitarbeiter entsprechende Schulungsveranstaltungen buchen.
Die Unterrichtung soll sowohl die Vorschriften des BDSG als auch die besonderen Datenschutzregelungen umfassen, die jeweils anzuwenden sind. Dies können z.B. die Vorschriften zum Schutz von Sozialdaten oder die Regelungen über besondere Geheimhaltungsverpflichtungen (etwa Fernmeldegeheimnis, Sozialgeheimnis, ärztliche Schweigepflicht) und die Folgen ihrer Nichtbeachtung sein. Ferner muss die Unterrichtung auch die technische und organisatorische Einbindung der Verarbeitung personenbezogener Daten berücksichtigen, also z.B. die jeweils zu treffenden Schutzmaßnahmen.Die Unterrichtung muss so gestaltet sein, dass sie für den Adressatenkreis verständlich ist. Sie sollte auf die besonderen Informationsbedürfnisse der jeweiligen Mitarbeiter zugeschnitten werden.

III Verfahrensübersichten

Verfahrensübersichten dienen dem Ziel, die Öffentlichkeit über Art und Umfang von automatisierten Verarbeitungen personenbezogener Daten zu unterrichten.

Sofern eine Meldepflicht der verantwortlichen Stelle gegenüber der Aufsichtsbehörde für den Datenschutz gem. § 4d Abs. 2 BDSG nicht besteht (etwa, weil ein betrieblicher DSB benannt wurde), macht der DSB die Angaben nach § 4e Satz 1 Nr. 1 bis 8 BDSG auf Antrag jedermann in geeigneter Weise verfügbar (§ 4g Abs. 2 BDSG), d.h. er führt ein Verzeichnis über die Verfahren der automatisierten Datenverarbeitungen im Betrieb, das auf Wunsch von jedem eingesehen werden kann. Dieses Verzeichnis hat die folgenden Angaben zu umfassen:

  • Name oder Firma der verantwortlichen Stelle
  • Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen
  • Anschrift der verantwortlichen Stelle
  • Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung
  • Eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien
  • Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können
  • Regelfristen für die Löschung der DatenEine geplante Datenübermittlung in Drittstaaten.
Grundlage dieser Übersicht ist das Verfahrensverzeichnis gem. § 4e Satz 1 BDSG, das zusätzlich noch eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 BDSG zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind, enthält. Der Personenkreis, die Einsicht nehmen können ist, nicht auf den Kreis der Betroffenen beschränkt. Das Ziel der Öffentlichkeitsinformation ist damit auch Maßstab für den Umfang und den Detaillierungsgrad der Verfahrensbeschreibung.
Das Verfahrensverzeichnis sollte aus sich heraus verständlich sein und kein besonderes Vorwissen oder spezifische Kenntnisse voraussetzen. Abkürzungen sollten möglichst allgemeinverständlich erläutert werden. Die Form der Übersicht ist nicht vorgeschrieben. Eine übersichtliche Darstellung, etwa in Form einer Tabelle, erleichtert der Öffentlichkeit den Informationszugang.
Das Verfahrensverzeichnis nach § 4e Satz 1 BDSG ist dem DSB von der verantwortlichen Stelle gem. § 4 g Abs. 2 BDSG zur Verfügung zu stellen. Im Rahmen der betrieblichen Aufgabenverteilung kann der DSB auch die Erstellung und Pflege des Verzeichnisses übernehmen; eine gesetzliche Verpflichtung hierzu besteht jedoch nicht (ggf. muss das Verzeichnis dann von einem anderen Mitarbeiter der verantwortlichen Stelle geführt werden).
Die Form, in der die Übersicht jedermann auf Antrag zugänglich gemacht wird, ist im Gesetz nicht vorgesehen. Dies kann ggf. durch Einsichtnahme, durch Übersendung an den Antragsteller oder auch durch Veröffentlichung im Internet geschehen. Es empfiehlt sich, vorab – und nicht erst bei Vorliegen entsprechender Anträge – eine betriebsinterne Klärung vorzunehmen, in welcher Weise die Übersicht zugänglich gemacht werden soll.
IV Durchführung von Vorabkontrollen
§ 4d Abs. 5 BDSG enthält die Verpflichtung zur Durchführung von Vorabkontrollen:

„Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn

1. besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder

2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens,

es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient.“
Die Einzelheiten der Vorabkontrolle sind nicht gesetzlich geregelt. Insbesondere wird nicht deutlich, welche Prüfkriterien der Beauftragte für den Datenschutz für die Vorabkontrolle zugrunde zu legen hat. Sofern die Verarbeitung der in § 4d Abs. 5 BDSG genannten Daten überhaupt zulässig ist, müssten beispielsweise entsprechende technische und organisatorische Maßnahmen getroffen werden.
Voraussetzung für die Entscheidung, ob eine Vorabkontrolle durchgeführt werden muss, sind entsprechende Kenntnisse über die von der Stelle eingesetzten DV-Verfahren. Im Hinblick auf eine sinnvolle Aufgabenwahrnehmung durch den DSB empfiehlt es sich, dass diese Entscheidung auf Basis der Verfahrensübersicht (vgl. Nr. 4) getroffen wird. Der DSB sollte das Ergebnis, ob eine Vorabkontrolle vorzunehmen ist bzw. wie sie durchgeführt wurde, in geeigneter Weise dokumentieren.
Im Gegensatz zur bloßen Meldepflicht stellt die Vorabkontrolle ein Verfahren zur Prüfung der materiellen Zulässigkeit der Datenverarbeitung dar. Grundlage der insoweit vorzunehmenden Prüfung sind die Angaben der Übersicht nach nach § 4 e Satz 1 BDSG, insbesondere der Nummern 5, 6 und 9. Im Hinblick darauf, dass die Vorabkontrolle auch als materielle Zulässigkeitsprüfung der Datenverarbeitung anzusehen ist, ist es erforderlich, mindestens auch die Angaben nach Nummer 4 heranzuziehen.

V Gewährleistung der Rechte der Betroffenen

Der betriebliche Datenschutzbeauftragte sorgt dafür, dass die Rechte der Betroffenen erfüllt werden. Dazu gehören u.a.:

  • Benachrichtigung
  • Auskunft
  • Berichtigung
  • Löschung
  • Sperrung
VI Veranlassung technisch-organisatorischer Maßnahmen

Der DSB veranlasst die geforderten technischen und organisatorischen Maßnahmen. Dies kann beispielsweise durch die Erstellung eines Datenschutz- und Datensicherheitskonzeptes geschehen. Ausgangspunkt sind dabei die Vorgaben in § 9 BDSG:
„Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“
Diese Vorschrift wird – für automatisierte Verarbeitungen – durch die Anlage zu § 9 BDSG konkretisiert. Ferner müssen ggf. durch datenschutzrechtlichen Spezialvorschriften vorgegebene technisch-organisatorische Vorkehrungen (z.B. aus dem TKG) getroffen werden.

VII Mitwirkung an der Auftragsvergabe

Der DSB wirkt bei der Auftragsvergabe zur Verarbeitung personenbezogener Daten durch Externe mit. Er hat dafür Sorge zu tragen, dass die gesetzlichen Vorgaben für die Datenverarbeitung im Auftrag (§ 11 BDSG) eingehalten werden. So ist gem. § 11 Abs. 2 BDSG der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen und die Datenerhebung, -verarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse sind schriftlich festzulegen. Der Auftraggeber hat sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.

VIII Verpflichtung der Mitarbeiter auf das Datengeheimnis

Bei der Verpflichtung der Mitarbeiter auf das Datengeheimnis (§ 5 BDSG) sollte er den Text der Erklärung sowie auf das Unternehmen abgestimmte Hinweise verfassen.