Sie sind auf Seite 1von 3

Klartext: Das sind Ihre Pflichten als

Datenschutzbeauftragter
Haben Sie manchmal das Gefühl, als Datenschutzbeauftragter von Ihren Aufgaben geradezu
erschlagen zu werden? Dann kann es vielleicht sein, dass Sie sich mehr Arbeit machen, als
wirklich nötig ist. In der nachfolgenden Arbeitshilfe haben wir Ihre gesetzlichen Aufgaben als
Datenschutzbeauftragter kurz dargestellt. Beachten Sie dabei, dass die gesetzlichen
Regelungen nicht abschließend sind. Dort ist oft das Wörtchen „insbesondere“ zu finden.
Daran erkennen Sie, dass die dort niedergelegten Bestimmungen nur beispielhaft sind. Das
bedeutet für Sie, dass Ihr Unternehmen Ihnen als Datenschutzbeauftragtem weitere Aufgaben
übertragen kann, wie beispielsweise die Durchführung der Verpflichtung auf das
Datengeheimnis oder die Vertretung des Unternehmens in Fragen des Datenschutzes.

Ihre Pflichten nach dem Bundesdatenschutzgesetz (BDSG)


Hinwirken auf die Einhaltung des Datenschutzes im Unternehmen (§ 4g Abs. 1 Satz 1
BDSG)
Sicherstellen oder Hinwirken? Das ist hier die Frage! Vor einigen Jahren mussten Sie als
Datenschutzbeauftragter die Einhaltung des Bundesdatenschutzgesetzes und sonstiger
Vorschriften über den Datenschutz sicherstellen. Aus dem Juristischen übersetzt, bedeutet
dies, dass Sie damals als Datenschutzbeauftragter für die Umsetzung der gesetzlichen
Vorgaben verantwortlich waren. Heutzutage brauchen Sie glücklicherweise auf die
Einhaltung in Ihrem Unternehmen nur noch hinzuwirken. Damit liegt die Verantwortung für
die Einhaltung der datenschutzrechtlichen Vorschriften bei der verantwortlichen Stelle und
somit bei Ihrer Geschäftsführung. Ihre Existenz entbindet Ihre Geschäftsleitung gerade nicht
von der datenschutzrechtlichen Verantwortung. Damit ist klar, dass Ihnen als
Datenschutzbeauftragtem in erster Linie eine beratende Funktion zukommt. Wenn Sie
beispielsweise Ihre Einschätzung als Datenschutzbeauftragter zu einer beabsichtigten neuen
Verarbeitung geben, dann haben Sie in diesem Zusammenhang bereits Ihrer Pflicht genügt.
Sollte Ihre Geschäftsleitung gegen Ihre Einschätzung und Empfehlung handeln, dann können
Sie sich beispielsweise bei einer Überprüfung durch die für Sie zuständige Aufsichtsbehörde
auf Ihr Dokument berufen und jegliches Fehlverhalten von sich weisen. Wichtig: Denken Sie
immer daran, richtig zu dokumentieren. Halten Sie datenschutzrechtliche Einschätzungen
immer schriftlich fest, versenden Sie diese beispielsweise per E-Mail mit Zustellbestätigung
und archivieren Sie Ihre Belege so, dass Sie diese unter Umständen auch in ferner Zukunft
verfügbar haben.
Vertrautmachen der Beschäftigten mit dem Datenschutz (§ 4g Abs. 1 Nr. 2 BDSG)
Zu Ihren wichtigsten Aufgaben als Datenschutzbeauftragter zählt es, dass Sie die bei der
Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit
den Vorschriften zum BDSG und anderen Vorschriften zum Datenschutz vertraut machen. Je
nach Gegebenheiten in Ihrem Unternehmen und je nach den mit der Verarbeitung
verbundenen Risiken können Sie in Abstimmung mit Ihrer Geschäftsleitung die passenden
Maßnahmen festlegen. Das Gesetz billigt Ihrem Unternehmen und Ihnen einen besonders
großen Freiraum zu und lässt Sie entscheiden, wie Sie der gesetzlichen Anforderung am
einfachsten und effektivsten entsprechen. Präsentationen, Vorträge, Merkblätter,
Arbeitsanweisungen, Hinweise, E-Mails an betroffene Arbeitnehmer, Newsletter, Artikel in
der Mitarbeiterzeitung, und, und, und … Vieles ist denkbar. Seien Sie also kreativ!
Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme
(§ 4g Abs. 1 Nr. 1 BDSG)
Das Bundesdatenschutzgesetz macht es zu einer Ihrer wichtigsten Aufgaben, dass Sie den
Einsatz von Hard- und Software überwachen. Das bedeutet, dass Sie gesetzlich dazu
verpflichtet sind Kontrollen durchzuführen, um zu überprüfen, ob der Umgang mit
© 2009 BWRmed!a
personenbezogenen Daten noch im Einklang mit den einschlägigen Regelungen zum
Datenschutz erfolgt. Es bietet sich in diesem Zusammenhang an, dass Sie jedes Jahr in
verschiedenen Bereichen Ihres Unternehmens stichprobenhafte Prüfungen durchführen und
die so gemachten Feststellungen zur Verbesserung des Datenschutzes in Ihrem Unternehmen
verwenden. Für Verbesserungsvorschläge sind Ihnen Ihre Geschäftsleitung
und die jeweiligen Abteilungsleiter sicherlich dankbar.
Durchführung von datenschutzrechtlichen Prüfungen (insbesondere Vorabkontrollen)
nach § 4d Abs. 6 BDSG
Sollen in Ihrem Unternehmen automatisierte Verarbeitungen zum Einsatz kommen, welche
besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, dann müssen Sie
als Datenschutzbeauftragter eine so genannte Vorabkontrolle vor dem erstmaligen Einsatz
der Verarbeitung durchführen (§§ 4d Abs. 5, 4d Abs. 6 Sätze 1 und 2 BDSG).In dieser
müssen Sie unter anderem die mit der Verarbeitung verbundenen Risiken beschreiben und
was Ihr Unternehmen macht, um die Rechte der Betroffenen zu gewährleisten und die
Beeinträchtigungen für die Betroffenen möglichst gering zu halten. Beispielhaft erläutert §
4d Absatz 5 BDSG, dass Sie eine solche Vorabkontrolle gezwungenermaßen dann
durchzuführen haben, wenn besondere Arten von personenbezogenen Daten nach § 3 Abs.9
BDSG (z.B. Angaben über ethnische Herkunft, zur Gesundheit, zur
Gewerkschaftszugehörigkeit) verarbeitet werden sollen. Das Gesetz schließt aber ebenso die
Verarbeitung der personenbezogenen Daten ein, wenn diese dazu bestimmt ist, die
Persönlichkeit, das Verhalten oder die Leistung eines Betroffenen zu bewerten. Letzteres ist
beispielsweise bei Verarbeitungen bezüglich Entlohnung, Telefonanlagen oder
Stellenbesetzungsverfahren anzunehmen. Hinweis: Auf eine Vorabkontrolle können Sie nur
dann verzichten, wenn die Betroffenen in die Verarbeitung ihrer personenbezogenen Daten
eingewilligt haben, eine Rechtspflicht zur Verarbeitung besteht oder die Verarbeitung der
Zweckbestimmung eines Vertragsverhältnisses oder eines vertragsähnlichen
Vertrauensverhältnisses dient.
Pflicht zur Verschwiegenheit (§ 4f Abs. 4 BDSG)
Achten Sie stets darauf, dass Sie beispielsweise Datenschutzbeschwerden oder Anfragen von
Mitarbeitern äußerst vertraulich behandeln. Dies gilt grundsätzlich auch gegenüber Ihrer
Geschäftsführung. Auch dieser gegenüber müssen Sie Sachverhalte so darstellen, dass nicht
auf die Person geschlossen werden kann, die sich beschwert hat. Hiervon dürfen Sie nur
abweichen, wenn Sie von der betroffenen Person von der Verschwiegenheitspflicht befreit
worden sind. Hinweis: Um dieser Verpflichtung nachkommen zu können, ist es natürlich
erforderlich, dass Sie Ihr eigenes Büro haben. Wenn Ihr Arbeitsplatz in einem Großraumbüro
liegt, dann werden Sie diese gesetzliche Verpflichtung mit Sicherheit nicht erfüllen können.
Sprechen Sie also Ihre Geschäftsleitung an und fordern Sie ein eigenes Büro. Nach § 4f Abs.
5 Satz 1 BDSG muss man Sie auch mit der Zurverfügungstellung von Räumen in Ihrer Arbeit
unterstützen.
Verfügbarmachung von Informationen über Verarbeitungen (§ 4g Abs. 2 Satz 2 BDSG)
Jeder Betroffene kann sich an Ihr Unternehmen wenden und Auskunft darüber verlangen,
welche Daten zu seiner Person gespeichert sind (so genannter Auskunftsanspruch nach § 34
BDSG).Er kann aber auch verlangen, dass ihm Angaben dazu gemacht werden, wie bei einer
bestimmten Verarbeitung mit personenbezogenen Daten umgegangen wird. Das bedeutet,
dass Sie der anfragenden Person die Angaben zu einem bestimmten Verfahren nach § 4e Nr.
1 bis 8 BDSG mitteilen müssen.
Warum Sie das machen müssen, ist leicht erklärt. Normalerweise wären alle Verfahren
automatisierter Verarbeitung an die zuständige Aufsichtsbehörde zu melden. Die
Aufsichtsbehörde würde diese in ein Register einstellen. Dieses Register dürfte von
jedermann eingesehen werden (§ 38 Abs.2 BDSG).Es sind also keine Firmengeheimnisse,
die Sie einer anfragenden Person mitteilen.
Hinweis: Blocken Sie Anfragen von Betroffenen nicht einfach ab oder verweigern Sie die
© 2009 BWRmed!a
Auskunft zu Verarbeitungen. Stimmen Sie unter Hinweis auf die gesetzliche
Auskunftspflicht die Beantwortung mit Ihrer Geschäftsführung ab. So vermeiden Sie einigen
Ärger mit der Aufsichtsbehörde.

© 2009 BWRmed!a