Bestellung von Datenschutzbeauftragten: Risiken einer oft unbe­kannten Pflicht

von Tim Wybitul

23.03.2011

Nach den Affären bei Konzernen wie Deutsche Bahn befassen sich immer mehr Unternehmen intensiv mit dem Thema Datenschutz. Dabei sind gerade kleine und mittelgroße Betriebe unsicher, ob sie zur Berufung einer eigens für solche Fragen zuständigen Person verpflichtet sind. Was Unternehmen beachten müssen, um der Gefahr empfindlicher Bußgelder zu entgehen, erklärt Tim Wybitul.

Gemäß § 4f Abs. 1 Bundesdatenschutzgesetz (BDSG) haben Unternehmen der Privatwirtschaft die Pflicht, einen betrieblichen Datenschutzbeauftragten (DSB) zu bestellen, wenn Sie mehr als neun Personen ständig mit der Verarbeitung automatisierter Daten beschäftigen. Mit automatisierter Datenverarbeitung meint das Gesetz insbesondere den Einsatz von Computern.

Diese Verpflichtung trifft Unternehmen auch dann, wenn im Betrieb 20 oder mehr Personen mit der nicht-automatisierten Datenverarbeitung betraut sind oder sie Datenverarbeitungen vornehmen, die so intensiv in Persönlichkeitsrechte eingreifen, dass gemäß 4d Abs. 5 BDSG eine Vorabkontrolle gesetzlich vorgeschrieben ist. Dies soll beispielsweise bei der Verwendung besonders komplexer Verarbeitungssysteme oder neuer Technologien der Fall sein.

Die Verantwortung für die Einhaltung der Vorschriften des Datenschutzes liegt in erster Linie bei der Unternehmensleitung. Kommt beispielsweise die Geschäftsführung einer GmbH der Verpflichtung zur Bestellung eines DSB nicht oder nicht ordnungsgemäß nach, drohen jedem Geschäftsführer Bußgelder bis zu 50.000 Euro. Zwar schöpfen die zuständigen Behörden diesen Bußgeldrahmen in aller Regel nicht voll aus.

Allerdings kann auch gegen das Unternehmen selbst nach § 130 Ordnungswidrigkeitengesetz ein zusätzliches Bußgeld verhängt werden. Zudem sind die Rufschäden und der Verlust an Kundenvertrauen für Unternehmen oftmals erheblich, falls Verstöße gegen den Datenschutz bekannt werden.

Nicht nur IT-Techniker verarbeiten automatisiert personenbezogene Daten

Die Aufsichtsbehörden für den Datenschutz sehen eine Vielzahl unterschiedlicher Mitarbeiter als mit der Bearbeitung personenbezogener Daten beschäftigt an. Dies umfasst zum Beispiel weitgehend jede an einem Bildschirmarbeitsplatz beschäftigte Person, die personenbezogene Daten erhebt, verarbeitet oder nutzt.

Daher werden oftmals nicht nur IT-Techniker mitgezählt, sondern auch etwa Sachbearbeiter, die mit einem Computer ausgerüstet sind. Auch Mitarbeiter im Personal- oder Finanzbereich sowie in der Auftragsbearbeitung bearbeiten in aller Regel personenbezogene Daten im Rahmen einer automatisierten Datenverarbeitung. Dies gilt auch für Beschäftigte, die beispielsweise personenbezogene Daten in der Filiale einer Bank, der Repräsentanz einer Versicherung oder in einer Personalabteilung eingeben.

Dabei ist es gleichgültig, ob jemand am Bankschalter oder in einer Kundenberatung Daten für eine Kontoeröffnung oder einen Auftrag eingibt oder im Büro eines Kunden arbeitet. Auch jemand, der Angaben zunächst in seinen eigenen PC eingibt und später an seinen Arbeitgeber übermittelt, ist mit automatisierter Datenverarbeitung im Sinne des BDSG beschäftigt.

Wenn ein Unternehmen unsicher ist, ob es die Pflicht zur Bestellung eines DSB trifft, kann es sich hierzu auch von der zuständigen Datenschutzaufsichtsbehörde beraten lassen. Von dieser Möglichkeit sollte man in Zweifelsfällen in jedem Fall Gebrauch machen.

Geschäftsführer müssen manchmal selbst als Datenschutzbeauftragte fungieren

Unabhängig von der Anzahl der bei der Datenverarbeitung beschäftigten Personen müssen alle Unternehmen einen DSB bestellen, die Datenverarbeitungen vornehmen, die mit besonderen Risiken für die Rechte und Freiheiten der Beschäftigten oder Geschäftspartner verbunden sind.

Als Beispiele solcher risikoreichen Zweckbestimmungen werden in der Fachliteratur unter anderem Videoüberwachungen, Chipkarteneinsatz sowie allgemein für Betroffene intransparente Verfahren genannt.Auch Unternehmen, die im Bereich der Markt- oder Meinungsforschung tätig sind oder geschäftsmäßig Daten übermitteln (etwa Auskunfteien), müssen immer einen DSB bestellen.

Auch wenn ein Unternehmen unter der maßgeblichen Personenzahl bleibt, sind dennoch die Vorschriften des BDSG anwendbar. In diesem Fall muss die Geschäftsleitung die Aufgaben des DSB übernehmen.

Zudem müssen Unternehmen, die keinen DSB bestellt haben, sämtliche automatisierten Datenverarbeitungsverfahren vor ihrer Inbetriebnahme der zuständigen Datenschutzaufsichtsbehörde melden. Kommt die Geschäftsleitung dieser Verpflichtung nicht nach, droht jedem einzelnen Geschäftsführer ein Bußgeld von bis zu 50.000 Euro. Da eine solche Meldepflicht bezüglich sämtlicher automatisierter Datenverarbeitungsverfahren recht aufwändig ist, kann sich die Bestellung eines DSB auch aus diesem Grund empfehlen.

Im Ergebnis sollten Unternehmen, die noch keinen DSB bestellt haben, gründlich prüfen, ob Sie dies müssen. Die Praxis zeigt, dass viele Unternehmen sich ihrer entsprechenden gesetzlichen Pflicht nicht bewusst sind. Allerdings schützt Unwissenheit hier nicht vor Strafe, denn deutsche Gerichte bewerten solche Sachverhalte in aller Regel als rechtlich unbeachtlichen (weil vermeidbaren) Verbotsirrtum. Holt das Unternehmen die versäumte Bestellung nach bevor die Aufsichtsbehörden hierauf aufmerksam werden, ist die Wahrscheinlichkeit einer Bestrafung indes ausgesprochen gering.

Der Autor Tim Wybitul berät Unternehmen bei Datenschutz, Compliance und internen Ermittlungen sowie bei verwandten Themen. Er ist Rechtsanwalt und Partner im Frankfurter Büro von Mayer Brown und Lehrbeauftragter für Datenschutz der Deutschen Universität für Weiterbildung in Berlin.

 

Mehr auf LTO.de:

Beschäftigtendatenschutz: Politik streitet über Umgang mit Mitarbeiterdaten

Soziale Netzwerke am Arbeitsplatz: Mit Recht Profil haben und Profil bekommen

Zitiervorschlag

Tim Wybitul, Bestellung von Datenschutzbeauftragten: Risiken einer oft unbekannten Pflicht . In: Legal Tribune Online, 23.03.2011 , https://www.lto.de/persistent/a_id/2845/ (abgerufen am: 04.10.2022 )

Infos zum Zitiervorschlag