Gratis-Download

Bei vielen unternehmensinternen Regelungen mit Datenschutz-Bezug ist der Betriebsrat zu beteiligen. Hierbei kommt Ihnen als Datenschutzbeauftragten...

Jetzt downloaden

Ihre Hauptaufgabe als Datenschutzbeauftragter: Hinwirken in Sachen Datenschutz

0 Beurteilungen
Urheber: putilov_denis | Fotolia

Von Wolfram von Gagern,

Gerade neu bestellte Datenschutzbeauftragte stellen sich schnell die alles entscheidende Frage: Was muss ich als Datenschutzbeauftragter überhaupt machen? Um eine Antwort auf diese Frage zu finden, lohnt sich der Blick in das Bundesdatenschutzgesetz (BDSG). Doch selbst wenn man die wichtigste Hausnummer, § 4g BDSG, findet, merken gerade Nichtjuristen schnell, dass man aus dem Gesetzeswortlaut nur bedingt schlau wird. Damit dies nicht so bleibt, finden Sie hier die Antworten auf die brennendsten Fragen zur Hinwirkungspflicht.

Was bedeutet Hinwirken?

Nachvollziehbarer, was sich hinter dem Begriff des Hinwirkens verbirgt, wird es, wenn Sie den Begriff etwa in einem Synonymwörterbuch nachschlagen. Dort finden Sie Begriffe wie „hinarbeiten“, „sich einsetzen“, „sich engagieren“. Das bedeutet, Sie fördern mit Ihrer Arbeit, dass das Unternehmen und seine Mitarbeiter im Datenschutz stets als Ziel die 100-%-Marke im Auge behalten und damit im Idealfall absolut datenschutzkonform arbeiten.

Tipp: Manchmal müssen Sie den Begriff des Hinwirkens auch in Schulungen vermitteln. Hier kann auch helfen, wenn Sie Parallelen zum Fußball ziehen. Sie sind der Trainer der Mannschaft und wollen mit dieser die Meisterschaft gewinnen. Sie können aber nur anleiten, trainieren, Strategien vorgeben. Allerdings stehen Sie nicht auf dem Spielfeld, sodass es vor allem darauf ankommt, dass die Spieler das Spiel machen und gewinnen. Gewinnen die Spieler, gewinnen auch Sie.

Bedeutet Hinwirken, dass man verantwortlich ist?

Auf diese Frage gibt es nur eine Antwort: ein ganz klares Nein. Hinwirken ist das Hinarbeiten auf den Idealzustand. Legt man Ihnen beispielsweise vonseiten der Unternehmensleitung Steine in den Weg und sieht Sie nur als Alibi-Datenschutzbeauftragten, können Sie noch so viel hinwirken. Sie können nichts erzwingen. Sie haben keine Weisungsbefugnis in Datenschutzangelegenheiten. Sie können nur Empfehlungen aussprechen, damit sich das Unternehmen datenschutzkonform verhält. Schlägt man entgegen Ihrer Empfehlung andere Wege ein, kann man Sie hierfür nicht verantwortlich machen.

Hintergrundinfo: Früher einmal wurde vom Datenschutzbeauftragten nicht nur verlangt hinzuwirken. Er war verantwortlich. Schauen Sie etwa in das Ende der 1970er-Jahre geltende BDSG, so finden Sie dort bei den Aufgaben des Datenschutzbeauftragten die folgende Formulierung:

„Der Beauftragte für den Datenschutz hat die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz sicherzustellen.“

Verstieß das Unternehmen gegen das BDSG, hatte der Datenschutzbeauftragte ein Problem. Er hatte seine Arbeit nicht richtig gemacht und nicht das BDSG durchgesetzt, obwohl er auch schon damals in der Praxis nur begrenzt Einfluss nehmen konnte. Zum Glück wurde an dieser Formulierung und Aufgabenzuweisung nicht festgehalten.

 

Welche Tätigkeiten werden von der Hinwirkungspflicht umfasst?

§ 4g Abs. 1 BDSG enthält nicht nur die Festlegung, dass Sie auf die Einhaltung des BDSG und  anderer Datenschutzvorschriften hinwirken sollen. Enthalten ist in § 4g Abs. 1 Satz 4 BDSG auch eine nicht abschließende Aufzählung der darunterfallenden Aufgaben. Eine detaillierte Übersicht über die wesentlichen Aufgaben finden Sie auf der Seite gegenüber.

Wichtiger Hinweis: Der Gesetzgeber hat in die gesetzliche Regelung eine nicht abschließende Aufzählung eingefügt. Diese erkennen Sie am „insbesondere“. Dies hat zur Folge, dass auch andere Aufgaben auf Sie zukommen können. So etwa das Prüfen von Verträgen zur Datenverarbeitung im Auftrag oder die Kontrolle von Dienstleistern, die personenbezogene Daten im Auftrag Ihres Unternehmens erheben, verarbeiten oder nutzen.

Auf welche rechtlichen Aspekte bezieht sich das Hinwirken?

Ihre Hinwirkungspflicht erstreckt sich in erster Linie auf die Einhaltung der Bestimmungen des BDSG. Doch damit nicht genug. Der Gesetzgeber erstreckt diese Pflicht auch auf andere Vorschriften über den Datenschutz.

Das hat zur Folge, dass Sie in Sachen Datenschutz nicht nur das BDSG im Auge behalten dürfen. Sie müssen auch über den sprichwörtlichen Tellerrand schauen. In Betracht kommen daher auch: andere Gesetze, wie

  • beispielsweise das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG) oder die Sozialgesetzbücher (SGB)
  • Verordnungen auf nationaler oder europäischer Ebene, wie etwa die Verordnung (EG) Nr. 2580/2001, welche Unternehmen zum Datenabgleich mit Sanktionslisten verpflichtet
  • kollektivrechtliche Regelungen, wie etwa Tarifverträge oder Betriebsvereinbarungen

Wer entscheidet, wann, wo und wie hingewirkt wird?

Generell sind Sie in der Ausübung Ihrer Tätigkeit auf dem Gebiet des Datenschutzes weisungsfrei. Daher obliegt grundsätzlich Ihnen die Entscheidung, wen Sie wann, wie und in welcher Tiefe mit bestimmten Datenschutzthemen vertraut machen. Genauso entscheiden Sie, welches Verarbeitungsverfahren Sie wann, wie und in welchem Umfang prüfen, um die Einhaltung datenschutzrechtlicher Vorgaben zu kontrollieren.

Wichtig: Auch wenn Sie im Wesentlichen weisungsfrei agieren können, sollten Sie beispielsweise den Wunsch der Unternehmensleitung, bestimmte Themen oder Mitarbeitergruppen als Erstes in Sachen Sensibilisierung anzugehen, nicht zurückweisen. Geht hier etwas schief, weil Sie eine Sensibilisierung für zurzeit nicht erforderlich gehalten haben, kann sich dies schnell negativ auf Ihre Karriere auswirken. Schnell lässt sich nämlich an Ihrer Eignung und vor allem an Ihrer Fachkunde zweifeln.

Wie viel Hinwirken ist ausreichend?

Hierauf lässt sich keine allgemeine Antwort geben. Schließlich kommt es auf vielerlei Aspekte an, beispielsweise die Größe des Unternehmens, dessen Betätigungsfeld oder den Umfang der Verarbeitung personenbezogener Daten.

So bedarf es bei einer großen Möbelschreinerei weniger Sensibilisierung und Kontrolle durch den Datenschutzbeauftragten, wenn die meisten Mitarbeiter in der Fertigung tätig sind und im Wesentlichen nicht mit personenbezogenen Daten arbeiten. Hingegen kann eine kleine Online-Apotheke mehr Hinwirken erforderlich machen, weil hier mit Gesundheitsdaten und Informationen zu Bankkonten gearbeitet wird.

Was sollte man in Sachen Hinwirken als Erstes in Angriff nehmen?

Gerade neu bestellte Datenschutzbeauftragte stehen vor der besonders großen Herausforderung, irgendwie und irgendwo mit dem Thema Datenschutz und mit ihrem Hinwirken anfangen zu müssen.

Wichtig ist, dass Sie sich zunächst einen ersten Überblick verschaffen. Machen Sie die Stellen im Unternehmen aus, wo im Datenschutz das meiste im Argen liegt oder wo man am ehesten Schaden erleiden kann. Hier sollten Sie beides in Angriff nehmen: einerseits die betroffenen Mitarbeiter sensibilisieren und andererseits die Datenverarbeitungsverfahren prüfen, um Lücken zu schließen und Risiken zu minimieren.

Tipp: Schnell als erster Schritt auf den Weg zu bringen ist die Verpflichtung der Beschäftigten auf das Datengeheimnis (§ 5 BDSG).

Wie lässt sich das Hinwirken belegen?

Wichtig ist ebenfalls, dass nachvollziehbar ist, dass Sie Ihrer Hinwirkungspflicht nachgekommen sind. Hier sollten Sie immer das alte Motto beherzigen: Wer schreibt, der bleibt! Führen Sie im wahrsten Sinne des Wortes Buch, was Sie machen. Wenn Sie ein Datenverarbeitungsverfahren prüfen, dokumentieren Sie detailliert, was Sie wann wo geprüft und was Sie dabei festgestellt haben. Wenn Sie Mitarbeiter zu Datenschutzthemen sensibilisiert haben, sollten Sie auch dies belegen können, beispielsweise durch eine Unterschriftenliste.

Auch ein Datenschutzjahresbericht zeigt auf, was Sie in Ihrem Tätigkeitsbereich getan haben, um den Datenschutz zu fördern.

Tipp: Ein Datenschutzjahresbericht ist gut, doch er ist unter Umständen wenig hilfreich, wenn er quasi im Giftschrank landet. Damit auch andere im Unternehmen von den enthaltenen Informationen profitieren, können Sie anregen, den Jahresbericht allen Mitarbeitern zugänglich zu machen. Wenn die Geschäftsleitung dies nicht wünscht, können Sie auch auf andere Weise mehr Werbung für sich und das Thema Datenschutz machen. Wie wäre es etwa mit einem vierteljährlichen Newsletter?

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Ihr starker Berater für ein rechtssicheres Online-Marketing

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte

Damit Sie auch die neuen Herausforderungen des betrieblichen Datenschutzes erfolgreich meistern!