Gratis-Download

Bei vielen unternehmensinternen Regelungen mit Datenschutz-Bezug ist der Betriebsrat zu beteiligen. Hierbei kommt Ihnen als Datenschutzbeauftragten...

Jetzt downloaden

Diese Pflichten haben Sie als Datenschutzbeauftragter

0 Beurteilungen

Von Wolfram von Gagern,

Als Datenschutzbeauftragter haben Sie zahlreiche Pflichten. Dazu zählen eine Überwachungspflicht, eine Kontrollpflicht und noch einige mehr.

1. Die Hinwirkungspflicht

In § 4g Abs. 1 Nr. 1 BDSG heißt es, dass Sie als Datenschutzbeauftragter die Pflicht haben, auf die Einhaltung des BDSG und anderer Vorschriften hinzuwirken.

2. Die Überwachungspflicht

Es ist nach § 4g Abs. 1 Nr. 1 BDSG vor allen Dingen Ihre Pflicht, die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu überwachen, mit denen personenbezogene Daten verarbeitet werden sollen. Das können zum Beispiel Kundenbindungs- oder Buchhaltungsprogramme sein.

Überwachen bedeutet aber auch, dass Sie nicht erst bei Fragestellungen oder Beanstandungen tätig werden, sondern aktiv von sich aus.

Sie haben zwar nicht die Möglichkeit ohne die Einwilligung der Unternehmensleitung Datenschutzmaßnahmen durchzuführen, aber Sie müssen geeignete Maßnahmen vorschlagen, die der Einhaltung und der Sicherstellung des Datenschutzes dienen. Zur Vereinfachung stehen Ihnen dazu laut Gesetz zwei wichtige Hilfsmittel zu:

a) Verfahrensverzeichnis

Von Seiten des Unternehmens ist Ihnen das so genannte Verfahrensverzeichnis zur Verfügung zu stellen. Das Verzeichnis enthält eine Übersicht über die automatisierten Verarbeitungen innerhalb Ihres Unternehmens, in denen personenbezogene Daten gespeichert werden.

Es enthält den Zweck der Datenerhebung, die Datenverarbeitung und -nutzung. Verfahren, die Sie in Ihrer Verarbeitungsübersicht führen, müssen Sie regelmäßig prüfen.

Generell sollten Sie jedes Verfahren einmal pro Jahr mindestens auf den Prüfstand stellen.

Praxistipp: Laut § 4 f Abs. 2 Satz 1 BDSG muss das Verfahrensverzeichnis nicht von Ihnen als Datenschutzbeauftragter erstellt werden, sondern Ihnen zur Verfügung gestellt werden.

Allerdings entspricht das weniger der Praxis. Da Sie näher am „Geschehen“ sitzen, sind Sie meist besser darüber informiert, was in das Verfahrensverzeichnis aufgenommen und wie es gestaltet werden soll.

Denken Sie aber daran, diese zusätzliche Tätigkeit in Ihre Bestellungsurkunde mit aufnehmen zu lassen.

b) Information

Sie müssen als Datenschutzbeauftragter rechtzeitig in Projekte miteinbezogen und informiert werden, wenn in Ihrem Unternehmen neue Verfahren und Vorhaben zur automatisierten Verarbeitung von personenbezogenen Daten geplant sind.

Sie müssen so zeitig informiert werden, dass Sie noch genug Zeit haben, sich mit dem Thema zu beschäftigen, datenschutzrechtlich Stellung zu nehmen und die Planungen eventuell noch zu beeinflussen.

Die Praxis sieht leider meist so aus, dass Sie als Datenschutzbeauftragter entweder zu spät oder nur mangelhaft informiert werden.

Tipp: Versuchen Sie für eine schnellere Information regelmäßigen Kontakt zu Ihrer Geschäftsleitung und zu den entscheidenden Unternehmensbereichen wie EDV, Personalabteilung oder Vertrieb zu halten.

Automatisieren Sie Ihre Kontrollen

Da Sie Ihrer Überwachungspflicht jederzeit nachkommen sollen, aber nicht überall vor Ort sein müssen und können, sollten Sie die Möglichkeit nutzen, Ihre Kontrollen zu automatisieren.

Das bedeutet, Sie führen zum Beispiel so genannte Protokolldateien ein, die automatisch verfasst werden. So können Sie jederzeit feststellen, ob die bei Ihnen im Einsatz befindlichen Programme oder Anwendungen wie zum Beispiel Kundendatenbanken etc. sicher und ordnungsgemäß von Mitarbeitern durchgeführt werden.

Legen Sie bei Ihren Prüfungen ein besonderes Augenmerk auf die nachfolgenden Arbeitsbereiche.

Diese Bereiche sind besonders sensibel und dadurch mit einem gewissen Risiko verbunden:

  • Die Löschung von Daten und Vernichtung von Datenträgern (zum Beispiel durch die IT-Abteilung).
  • Überwachung von Daten, die durch externe Mitarbeiter verarbeitet werden.
  • Weiterleitung von Daten an Dritte oder ins Ausland.
  • den Umgang mit Passwörtern, mobilen Geräten und Datenträgern.
  • die Arbeitsplätze in der Personal-, IT-Abteilung, in Call Centern und anderen Bereichen, die mit sensiblen Daten arbeiten.
  • Notebooks der Außendienstmitarbeiter.

Was im ersten Moment wie ziemlich viel Arbeit aussieht, lässt sich durch die oben bereits genannte Protokolldatei sehr gut und zügig überprüfen.

Auch das ist möglich: Persönliche Kontrollen

Manchmal werden die Protokolldateien nicht ausreichen. Deshalb dürfen Sie auch angemeldete und unangemeldete Kontrollen in den Bereichen durchführen, die besonders sensible Daten verarbeiten. So können Sie zum Beispiel in der IT-Abteilung auftauchen und sich über die Abläufe wie Sicherungsdateien bei der Kundendatenbank oder Kennwortschutz an den PCs informieren lassen.

Der Betriebsrat darf entscheiden, ob er von Ihnen kontrolliert wird

Der Betriebsrat arbeitet ebenfalls mit einigen personenbezogenen Daten. Aber bei ihm haben Sie nicht so einfach die Möglichkeit ihn zu kontrollieren. Denn durch die Regelung zur Mitbestimmung hat der Betriebsrat die eigene Entscheidungsgewalt, ob er sich von Ihnen als DSB kontrollieren lässt oder nicht.

Aber: Wenn er sich kontrollieren lässt, nehmen Sie ihn in Ihre Verarbeitungsübersicht auf.

3. Das ist laut BDSG Ihre Pflicht zur Vorabkontrolle

Wenn durch eine automatisierte Verarbeitung innerhalb Ihres Unternehmens mögliche Risiken für die Rechte und Freiheiten der Betroffenen auftreten, sind Sie als Datenschutzbeauftragter nach § 4d Abs. 5, 6 BDSG dafür zuständig, die so genannte Vorabkontrolle durchzuführen.

§ 4d Abs. 5 BDSG

Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn besondere Arten personenbezogener Daten - § 3 Abs. 9 BDSG - verarbeitet werden oder die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient.

Dabei werden die Daten vor dem Beginn der Verarbeitung auf Rechtsgrundlagen, Wahrung der Rechte, Datensicherheit geprüft. Diese Kontrolle ist dann vorgeschrieben, wenn besondere Daten damit verknüpft sind, also zum Beispiel Angaben über Gesundheit, Gewerkschaftszugehörigkeit oder Religion.

Außerdem ist es Ihre Pflicht, eine Vorabkontrolle, also Prüfung, durchzuführen, wenn die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens.

4. Zugänglichkeit des internen Verfahrensverzeichnisses

Das BDSG schreibt Ihnen als in § 4g Abs. 2 BDSG vor, dass Sie das Verfahrensverzeichnis Ihres Unternehmens gegenüber jedem Bürger in geeigneter Weise verfügbar machen müssen. Das Recht zur Einsichtnahme ist nämlich nicht nur auf die Betroffenen reduziert, sondern für jedermann zugänglich. Daher wird es auch „Jedermannverzeichnis“ genannt.

§ 4g Abs. 2 BDSG:

Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. Der Beauftragte für den Datenschutz macht die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar.

In welcher Form das Verzeichnis dabei von der verantwortlichen Stelle für Sie zugänglich gemacht wird, ist gesetzlich nicht festgelegt, aber es genügt, wenn sich das Verzeichnis auf die im Gesetz geforderten folgenden Angaben beschränkt:

  • Name oder Firma der verantwortlichen Stelle
  • Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen
  • Anschrift der verantwortlichen Stelle
  • Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung
  • eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien
  • Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können
  • Regelfristen für die Löschung der Daten
  • geplante Datenübermittlung in Drittstaaten

Unabhängig davon sollten Sie aber zusätzlich ein umfassenderes innerbetriebliches Verzeichnis führen. Das erleichtert Ihnen als Datenschutzbeauftragten Ihre Überwachungsaufgaben und Sie können auch schneller Anfragen von Betroffenen erledigen. In Laufe dieses Kurses lernen Sie noch die genauen Details zu den Verfahrensverzeichnissen kennen und können danach die einzelnen Notwendigkeiten einfach ausführen.

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Ihr starker Berater für ein rechtssicheres Online-Marketing

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte

Damit Sie auch die neuen Herausforderungen des betrieblichen Datenschutzes erfolgreich meistern!