Betrieblicher Datenschutzbeauftragter

Verantwortlicher für die Einhaltung der DSGVO

Marc-Oliver Schulze
Marc-Oliver Schulze
Fachanwalt für Arbeitsrecht und Datenschutzexperte

Bestellung (betrieblicher) Datenschutzbeauftragte

Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisch verarbeiten, haben einen betrieblichen Datenschutzbeauftragten zu bestellen. Die Bestellung muss schriftlich durch eine von beiden Seiten unterschriebene Urkunde erfolgen (vgl. § 4f Abs. 1 S. 1 BDSG). Nicht-öffentliche Stellen haben den Datenschützer nach § 4f Abs. 1 S. 2 BDSG spätestens einen Monat nach Aufnahme ihrer Tätigkeit zu bestellen. Anders als es der Wortlaut vermuten lässt, beginnt die Frist erst zu laufen, wenn die Voraussetzungen für eine automatisierte Verarbeitung vorliegen bzw. bei nicht automatisierter Verarbeitung die erforderliche Mindestanzahl von in der Regel 20 damit betrauten Personen erreicht ist. Dies gilt nicht für nicht-öffentliche Stellen, bei denen in der Regel höchstens 9 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, vgl. § 4f Abs. 1 S. 4 BDSG.

Ein Datenschützer ist unabhängig von der Anzahl der mit der automatisierten Verarbeitung betrauten Beschäftigten einer nicht-öffentlichen Stelle zu bestellen, wenn der Arbeitgeber

  • einer Vorabkontrolle gemäß § 4d Abs. 5, 6 BDSG unterliegt,
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung,
  • der anonymisierten Übermittlung oder
  • für die Markt- und Meinungsforschung automatisiert verarbeitet.

Zum Datenschutzbeauftragten darf nach § 4f Abs. 2 S. 1 BDSG nur bestellt werden, wer die für die Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Dabei bemisst sich die erforderliche Fachkunde unter anderem am Umfang der Datenverarbeitung des Arbeitgebers und dem Schutzbedarf der personenbezogenen Daten, die erhoben oder verwendet werden (vgl. § 4f Abs. 2 S. 2 BDSG). Ob ein interner oder externer Datenschutzbeauftragter bestellt wird und wer das werden soll, entscheidet allein der Arbeitgeber als verantwortliche Stelle (vgl. Simitis, § 4f, Rn. 41).Da das BDSG keinerlei Angaben über die Bestelldauer enthält, kann die Bestellung sowohl befristet als auch unbefristet auf unbestimmte Zeit erfolgen.

Stellung und Aufgaben des Datenschutzbeauftragten

Die §§ 4f, g BDSG machen ausführliche Angaben zur Stellung und den Aufgaben des betrieblichen Datenschutzbeauftragten.

Stellung des Datenschutzbeauftragten

Der betriebliche Datenschützer enthält eine Stabstelle unterhalb der Geschäftsleitung. Bei der Ausübung seiner Fachkunde ist er weisungsfrei und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Fehlt es dem Datenschutzbeauftragten an der nötigen Fachkunde oder Zuverlässigkeit, so ist die Bestellung auf Verlangen der Aufsichtsbehörde zu widerrufen. Ansonsten steht dem betrieblichen Datenschützer ein Sonderkündigungsschutz zu, d.h. eine Kündigung seines Arbeitsvertrages ist nur zulässig, wenn Tatsachen vorliegen, die den Arbeitgeber als verantwortliche Stelle zur Kündigung aus wichtigem Grund berechtigen. Darüber hinaus besteht ein nachwirkender Kündigungsschutz nach Beendigung der Bestellung von einem Jahr. Der Arbeitgeber ist verpflichtet, den Datenschutzbeauftragten die Teilnahme an Fort- und Weiterbildungsmaßnahmen zu ermöglichen und die hierfür anfallenden Kosten zu übernehmen. Dadurch soll ihm die zur Erfüllung seiner Aufgaben erforderliche Fachkunde erhalten bleiben. Der (betriebliche) Datenschützer ist bei der Ausübung seiner Tätigkeit grundsätzlich zur Verschwiegenheit über die Identität der Betroffenen sowie über die Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet.

Aufgaben des Datenschutzbeauftragten

Hauptaufgabe des Datenschützers ist es auf die Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz hinzuwirken, vgl. § 4g Abs. 1 S. 1 BDSG. Insoweit ergibt sich eine Parallele zum Betriebsrat. Auch dieser hat im Rahmen seiner allgemeinen Aufgaben nach § 80 Abs. 1 Nr. 1 BetrVG darüber zu wachen, dass geltende Gesetze (wie das BDSG), Verordnungen, Tarifverträge und Betriebsvereinbarungen durchgeführt werden.

Daneben hat er insbesondere die ordnungsgemäße Anwendung der genutzten Datenverarbeitungsprogramme zu überwachen sowie Beschäftigte, die personenbezogene Daten verarbeiten, durch geeignete Maßnahmen (Schulungen) mit den für sie relevanten Vorschriften des BDSG vertraut zu machen.

Weisen automatisierte Verarbeitungen personenbezogener Daten besondere Risiken für die Rechte und Freiheiten der Betroffenen auf, so unterliegen sie vor Beginn der Verarbeitung einer Überprüfung durch den (betrieblichen) Datenschutzbeauftragten, sog. Vorabkontrolle (vgl. § 4d Abs. 5, 6 BDSG).

Mitbestimmungsrecht des Betriebsrats

Dem Betriebsrat kommt bei der Bestellung des Datenschutzbeauftragten kein Mitbestimmungsrecht zu. Dieses kann der Arbeitnehmervertretung aber für betriebliche Datenschutzbeauftragte durch eine freiwillige Betriebsvereinbarung eingeräumt werden. In der Regel trifft der Arbeitgeber die Personalentscheidung als verantwortliche Stelle jedoch alleine (s.o. I.). Der Betriebsrat ist aber im Rahmen des § 99 Abs. 1 BetrVG – wie auch sonst bei der Einstellung oder Versetzung von Beschäftigten – anzuhören.

Kontrolle des BR durch Datenschutzbeauftragten?

Der Datenschutzbeauftragte wird durch den Arbeitgeber ausgewählt und bestellt. Dies ergibt sich aus § 4f Abs. 1 S. 1 BDSG. Der Betriebsrat hingegen wird von der Belegschaft gewählt und vertritt im Rahmen der Beteiligungsrechte aus dem Betriebsverfassungsgesetz deren Interessen gegenüber dem Arbeitgeber. Dem Betriebsrat kommt insoweit eine unabhängige Stellung zu. Um diese zu wahren, darf der Betriebsrat bei der Wahrnehmung seiner Aufgaben nicht durch den Arbeitgeber kontrolliert werden. Gerade dies wäre jedoch zu befürchten, dürfte der betriebliche Datenschutzbeauftragte den Betriebsrat bei der Einhaltung des Bundesdatenschutzgesetzes kontrollieren. Das Bundesarbeitsgericht sieht dies genauso und entzieht die Datenverarbeitung durch den Betriebsrat der Kontrollbefugnis des betrieblichen Datenschutzbeauftragten (vgl. BAG vom 11.11.1997, 1 ABR 21/97). Es steht dem Betriebsrat jedoch jederzeit frei, sich bei datenschutzrechtlichen Fragen an den betrieblichen Datenschutzbeauftragten zu wenden, um sich Handlungsempfehlungen und Tipps zu holen.

Rolle des Datenschutzbeauftragten nach der DS-GVO

Auch nach der DS-GVO wird es einen Datenschutzbeauftragten geben. Dessen zukünftige Rolle ist jedoch abhängig von der nationalen Ausgestaltung im Ausführungsgesetz, das als Allgemeines Bundesdatenschutzgesetz (ABDSG) noch in dieser Legislaturperiode, also voraussichtlich bis Ende Juni 2017, verabschiedet werden soll. Dieses könnte auch Auswirkungen auf das Verhältnis zwischen Datenschutzbeauftragten und Betriebsrat haben. Denn durch eine geschwächte Position des betrieblichen Datenschützers würde der Betriebsrat nicht nur einen kompetenten Ansprechpartner zum Beschäftigtendatenschutz verlieren, sondern müsste auch die entstehende Lücke schließen. Das bis dato noch vielfach stiefmütterlich behandelte Thema Datenschutz rückt damit zwangsläufig in den Fokus der Interessenvertretungen.

Seminare zum Thema Datenschutz