betriebsrat personal vortrag schulung seminar beschäftigungsverhältnis beschäftigte standortbestimmung dsgvo fachkunde fortbildung

Die vielseitigen Anforderungen an einen Datenschutzbeauftragten

Im Bundesdatenschutzgesetz (BDSG) steht in § 4f Abs. 2 lapidar, dass zum Datenschutzbeauftragten nur bestellt werden darf, „wer die zur Erfüllung seiner Aufgabe erforderliche Fachkunde und Zuverlässigkeit besitzt„. Das war’s. Mehr wird dazu nicht gesagt. Es gibt keine im Gesetz verankerte Definition, was genau mit Fachkunde und Zuverlässigkeit gemeint ist.

Gesetze, Gesetze, Gesetze

Klar ist, dass ein Datenschutzbeauftragter sich mit den einschlägigen Gesetzen auskennen muss. Und dabei handelt es sich eben nicht nur um das BDSG, sondern um zahlreiche weitere. Um nur einige zu nennen: Telemediengesetz (TMG), Telekommunikationsgesetz (TKG), Telekommunikations-Überwachungsverordnung (TKÜV), Sozialgesetzbücher (SGB), Kunsturheberrechtsgesetz (KunstUrhG), Grundgesetz (GG), Artikel-10-Gesetz (G10), Verwaltungsverfahrensgesetz (VwVfG), Strafprozessordnung (StPO), Strafgesetzbuch (StGB) und weitere deutsche Gesetze, sowie diverse EU-Richtlinien und Verordnungen.

Die Vielfalt an Rechtsvorschriften ist sicher einer der Gründe, warum viele Anwälte das Thema Datenschutz für sich entdeckt haben und sich auch für ausreichend fachkundig befinden. Dabei wird häufig übersehen, dass die rechtliche Seite nur ein Bestandteil des Datenschutzes ist.

Und was ist mit IT?

Das BDSG bezieht sich auf den Umgang mit personenbezogenen Daten, es geht also um das Thema Datenverarbeitung. Der weitaus größte Teil der Datenverarbeitung erfolgt heutzutage IT-gestützt. Somit ist eine unabdingbare weitere Qualifikation eines Datenschutzbeauftragten ein tiefgehendes und aktuelles IT Know How. Benötigt wird auf dem Gebiet der IT das Wissen über die Software, die im jeweiligen Unternehmen (oder Behörde) eingesetzt wird:

  • Welche Software wird genutzt?
  • Wofür?
  • Welche Arten von personenbezogenen Daten werden verarbeitet?
  • Welche Rollen bei der Verarbeitung gibt es?
  • Wie werden Berechtigungen vergeben?
  • Welche Technologien setzt die Software ein?
  • Kommt Verschlüsselung zum Einsatz? Welche?
  • Wie werden Daten gespeichert?
  • Wie werden Daten übertragen?
  • Wie werden Daten gelöscht (oder gesperrt)?
  • und so weiter…

Hier ist also ein tiefgehendes und individuelles Wissen über Software und Prozesse im Unternehmen gefragt.

Angemessen muss es sein!

Abhängig von den zu schützenden Daten sind die technischen und organisatorischen Maßnahmen (§ 9 BDSG und Anhang dazu) zu treffen (s. auch mein Artikel zu diesem Thema). Die getroffenen Maßnahmen müssen sich nach dem individuellen Schutzbedarf der Daten richten. Je höher der Schutzbedarf, desto aufwändiger die Maßnahmen. Wichtig ist hierbei, dass der Datenschutzbeauftragte in der Lage sein muss, die Angemessenheit der Maßnahmen korrekt zu beurteilen. Ansonsten könnte nicht nur ein ungenügender Schutz der Daten, sondern eben auch das Gegenteil passieren. Und wenn mit Kanonen auf Spatzen geschossen wird, hat das neben den daraus vermutlich resultierenden Kosten häufig auch den unangenehmen Nebeneffekt, dass die wertschöpfenden Prozesse des Unternehmens behindert werden. Auswirkungen auf Betriebsergebnisse nicht ausgeschlossen.

… und Zuverlässigkeit?

Soviel zum Thema Fachkunde. Was bedeutet jetzt Zuverlässigkeit? Diese Frage ist nicht geradeheraus zu beantworten. Zum einen ist damit natürlich gemeint, dass der Datenschutzbeauftragte zuverlässig, also verlässlich sein muss. Es ist aber auch gemeint, dass er ohne Interessenkonflikte im Unternehmen agieren kann. Hier finden wir den Grund, warum IT-Mitarbeiter, Mitarbeiter der Personalabteilung und viele weitere interne Positionen als Datenschutzbeauftragter ausscheiden: Sie hätten die Aufgabe, ihr eigenes Agieren zu kontrollieren. Zuverlässig im Sinne des Gesetzes können nur Personen sein, für die eine Tätigkeit als Datenschutzbeauftragter nicht im Widerspruch zu ihrer sonstigen Tätigkeit im Unternehmen steht. Damit scheiden dann auch sämtliche leitenden Mitarbeiter einschließlich der Geschäftsleitung aus.

Interessenkonfliktvermeidungsstrategie: Externe

Die Wahl des Datenschutzbeauftragten fällt also häufig alleine schon deshalb auf einen Externen, weil hierdurch im Normalfall ein Interessenkonflikt vermieden wird.

Ich hoffe, Sie haben etwas Klarheit zum Thema Fachkunde und Zuverlässigkeit des Datenschutzbeauftragten gewinnen können. Sollten Sie unsicher sein, sprechen Sie mich gerne an. Ich unterstütze nicht nur dadurch, dass ich selbstverständlich für Sie die Position des Datenschutzbeauftragten übernehme, sondern ich helfe Ihnen auch bei der Auswahl einer geeigneten Person aus Ihrem Unternehmen für die Bestellung zum internen Datenschutzbeauftragten. Auch bei der Ausbildung eines internen Datenschutzbeauftragten bin ich gerne behilflich.


Diesen Beitrag teilen