Die Bestellung eines betrieblichen Datenschutzbeauftragten kann erzwungen werden!

Aus gegebenem Anlass weist die Landesbeauftragte für Datenschutz und Informationsfreiheit Frau Judith Thieser auf Folgendes hin:

Nach den Vorschriften im Bundesdatenschutzgesetz gibt es eine Vielzahl von Fällen, in denen ein Unternehmen verpflichtet ist, einen Beauftragten für den Datenschutz zu bestellen. Wenn die gesetzlichen Voraussetzungen vorliegen, der Betrieb aber dennoch keinen Datenschutzbeauftragten bestellt, kann das Unabhängige Datenschutzzentrum Saarland als Landesaufsichtsbehörde für den Datenschutz diese Bestellung anordnen. Eine Zuwiderhandlung gegen eine solche Anordnung kann mit einem Bußgeld in Höhe von bis zu 50.000 Euro geahndet werden.

Eine Verpflichtung zur Bestellung von betrieblichen Datenschutzbeauftragten besteht im Wesentlichen in folgenden Fällen:

Nach § 4f Bundesdatenschutzgesetz (BDSG) müssen Daten verarbeitende Stellen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten bestellen, wenn sie personenbezogene Daten automatisiert verarbeiten und damit in der Regel mehr als 9 Personen ständig beschäftigen.

Personenbezogene Daten können z.B. sein:

  • Name, Alter, Familienstand, Geburtsdatum
  • Anschrift, Telefonnummer, personalisierte E-Mail Adresse
  • Konto-, Kreditkartennummer
  • Kraftfahrzeugnummer, Kfz-Kennzeichen
  • Personalausweisnummer, Sozialversicherungsnummer
  • genetische Daten und Krankendaten
  • Werturteile wie zum Beispiel Zeugnisse

Eine automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen (§ 3 Abs. 2 Satz 1 BDSG). Die automatisierte Datenverarbeitung findet zum Beispiel bei Computern, modernen Mobiltelefonen, PDAs, IPad´s  oder Videoanlagen mit Aufzeichnung Anwendung.

Bei der Berechnung der Personenzahl  werden alle Personen mitgezählt, die tatsächlich auf die automatisierte Datenverarbeitung der nicht-öffentlichen Stelle zugreifen. Hierzu gehören neben den eigentlichen Sachbearbeitern auch die Mitglieder der Geschäftsführung, aber auch Urlaubsvertretungen und Teilzeitkräfte, Praktikanten sowie Beschäftigte von Zeitarbeitsfirmen während ihrer Tätigkeit im Unternehmen und ehrenamtlich Tätige.

Unabhängig von der Personenzahl müssen Daten verarbeitende Stellen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten bestellen, wenn sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung automatisiert verarbeiten.

Die gleiche Pflicht gilt grundsätzlich auch dann, wenn die automatisierte Verarbeitung besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, z.B. bei der Verarbeitung von Daten über die Gesundheit oder die Bewertung von Fähigkeiten von Personen (§ 4d Abs. 5 BDSG).

Im konkreten Fall erhob und speicherte ein Unternehmen geschäftsmäßig Firmendaten zum Zweck der Übermittlung nach § 29 Abs. 1 BDSG. Dieser geschäftsmäßige Umgang mit personenbezogenen Daten  führt zum einen dazu, dass nach § 4d Abs. 1 in Verbindung mit Abs. 4 Nr. 1 BDSG das Verfahren automatisierter Verarbeitung der Aufsichtsbehörde zu melden ist und ferner dazu, dass nach § 4f Abs. 1 Satz 6 BDSG ein Beauftragter für den Datenschutz zu bestellen ist und die erforderlichen technischen und organisatorischen Maßnahmen zu treffen sind. Der Geschäftsführer des vorbenannten Unternehmens kam der Aufforderung der Aufsichtsbehörde, die vorbenannten datenschutzrechtlichen Erfordernisse zu erfüllen, nicht nach, so dass nach erfolgter Anhörung eine Anordnung erging, in welcher unter anderem die Bestellung eines Beauftragten für den Datenschutz gemäß § 4f Abs. 1 Satz 6 BDSG angeordnet wurde. Für den Fall der Nichterfüllung der vorbenannten Anordnung wurde ein Zwangsgeld angedroht und aufschiebend bedingt festgesetzt. Erst nachdem die Vollstreckung des Zwangsgeldes betrieben wurde, bestellte der Geschäftsführer einen Beauftragten für den Datenschutz.

Bestellung einer oder eines betrieblichen Datenschutzbeauftragten

Nach den Vorschriften im Bundesdatenschutzgesetzes (BDSG) gibt es eine Vielzahl von Fällen, in denen ein Unternehmen verpflichtet ist, einen Beauftragten für den Datenschutz zu bestellen. Wenn die gesetzlichen Voraussetzungen vorliegen, der Betrieb aber dennoch keinen Datenschutzbeauftragten bestellt, kann das Unabhängige Datenschutzzentrum Saarland als Landesaufsichtsbehörden für den Datenschutz diese Bestellung anordnen.

Weitere Informationen zum Thema

Aus nachstehenden Informationsmaterialien können Sie die Rechtsgrundlagen zur Bestellung eines betrieblichen Datenschutzbeauftragten entnehmen, ebenso wie dessen Aufgaben, Rechte und Pflichten.

 

Downloads

  • Broschüre

    Info Nr. 4 der BfDI, 10. Auflage, Juni 2014