Grundsatz: automatisierte Verarbeitung personenbezogener Daten
Gemäß § 4f BDSG müssen grundsätzlich all jene Unternehmen einen Datenschutzbeauftragten bestellen, die personenbezogene Daten automatisiert (also per EDV-System) verarbeiten. Mit personenbezogenen Daten sind dabei Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 BDSG) gemeint, also insbesondere Kunden- oder Mitarbeiterdaten.
Häufige Ausnahme: weniger als zehn Mitarbeiter
Es gibt einige Ausnahmen von oben bezeichnetem Grundsatz, in denen trotz automatisierter Verarbeitung personenbezogener Daten kein Datenschutzbeauftragter benannt werden muss. Die für Gründer bedeutendste Ausnahme sieht § 4f BDSG vor, wonach dann kein Datenschutzbeauftragter bestellt werden muss, wenn in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung der personenbezogenen Daten betraut sind (§ 4f Abs. 1 S. 4 BDSG).
In die Berechnung sind allerdings auch diejenigen Personen mit einzubeziehen, die nur manchmal mit der Verarbeitung betraut sind. Voll- und Teilzeitbeschäftigte sind in die Berechnung gleichermaßen mit einzurechnen. Es ist darüber hinaus nicht relevant, ob die Datenverarbeitungsaufgaben von eigenen Angestellten, freien Mitarbeitern, Zeitarbeitern, Praktikanten oder Auszubildenden etc. ausgeführt werden.
Wer darf zum Datenschutzbeauftragten bestellt werden?
Zum Datenschutzbeauftragten können Sie entweder einen eigenen Mitarbeiter (einen so genannten „internen Datenschutzbeauftragten“) oder eine externe Person (ein so genannter „externer Datenschutzbeauftragter“) bestellen. Zum Datenschutzbeauftragten dürfen dabei keine Mitglieder der Unternehmensleitung gemacht werden und dieser muss die erforderliche Fachkunde im Datenschutz besitzen sowie zuverlässig sein.
Ob der Bestellte den Anforderungen genügt, muss letztlich am Einzelfall und je nach der Schwerpunktsetzung des Unternehmens sowie anhand einer branchenspezifisch erforderlichen Fachkunde festgestellt werden. Da sich die Verarbeitungstechnologie ständig fortentwickelt, muss sich der Datenschutzbeauftragte zudem laufend über die neuen datenschutzrechtlichen Rahmenbedingungen informieren (er hat hierbei einen Freistellungs- und Kostenerstattungsanspruch gegenüber seinem Arbeitgeber).
Kündigungsschutz des internen Datenschutzbeauftragten
Der interne Datenschutzbeauftragte kann während seiner Tätigkeit als Datenschutzbeauftragter nicht mehr ordentlich gekündigt werden. Dieser Kündigungsschutz wirkt auch nach Abberufung als Datenschutzbeauftragter noch ein Jahr fort.
Warum brauche ich überhaupt einen Datenschutzbeauftragten?
Die wichtigsten Gründe für einen Datenschutzbeauftragten sind neben einer negativen Presse-Berichterstattung und dem Verlust von Kundenvertrauen der Ärger mit der Aufsichtsbehörde sowie Bußgelder gegen Geschäftsleitung und Unternehmen (der Bußgeldrahmen beläuft sich gemäß § 43 Abs. 3 BDSG auf 50.000 Euro bzw. im Fall schwerer Verstöße auf 300.000 Euro). Zu beachten ist hierbei, dass sich unzufriedene Kunden und Mitarbeiter immer häufiger direkt an die Datenschutzaufsichtsbehörden wenden. Es gibt also verschiedene gute Gründe, einen Datenschutzbeauftragen in Betracht zu ziehen.
Fazit
Einen Datenschutzbeauftragten müssen Sie bestellen, wenn in Ihrem Unternehmen mehr als neun Personen mit der automatisierten Datenverarbeitung betraut sind. Bei der Bestellung ist insbesondere zu prüfen, ob im konkreten Einzelfall ein interner oder besser ein externer Datenschutzbeauftragter bestellt werden sollte.
Wichtiger Hinweis
Der vorliegende Rechtsbeitrag stellt weder eine Rechtsberatung dar noch ersetzt er die Beratung durch einen fachkundigen Rechtsanwalt, bei der die Besonderheiten des Einzelfalls berücksichtigt werden können. Der Beitrag ist abgestimmt auf die dem Autor bei der Veröffentlichung bekannte Rechtsprechung und die herrschende Meinung in der einschlägigen Rechtsliteratur. Es ist nicht auszuschließen, dass einzelne Textpassagen im Lichte eines unbekannten oder nicht veröffentlichten Urteils zu beanstanden sind. Bitte informieren Sie sich über derartige Umstände oder holen im Zweifel fachkundigen Rat ein.
Super Artikel, klasse Zusammenfassung. Ich bin froh, dass ich nur acht MA habe
Danke für die Info. Hatte ich mal sehr viel komplizierter von einem Anwalt gehört. So ist das doch klar und deutlich!
Danke für den Artikel! Aber eine Frage bleibt offen:
§4f I S.5 BDSG
“Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.”
Heißt das nicht, dass auch jeder Websitebetreiber, der bspw. ein Tracking-Tool wie Google Analytics nutzt, einen DSB benötigt? -> “für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten”
Außerdem muss es heißen:
Einen Datenschutzbeauftragten müssen Sie bestellen, wenn in Ihrem Unternehmen mehr als neun [nicht zehn] Personen mit der automatisierten Datenverarbeitung betraut sind.
@Boris
Hinweis 1: Wie im Artikel erwähnt werden nur die für Gründer häufigsten Fallkonstellationen besprochen – in der Tat gibt es weitere Ausnahmen, bei denen bereits früher ein Datenschutzbeauftragter bestellt werden muss (wie im Artikel auch angedeutet). Nach herrschender Meinung stellt Google Analytics jedoch kein Verfahren der Markt- oder Meinungsforschung dar (-> kein Datenschutzbeauftragter allein wegen Google Analytics erforderlich). Der Einsatz von Google Analytics ist aber aus anderen datenschutzrechtlichen Gesichtspunkten umstritten.
Hinweis 2: Ja, dieser Hinweis ist richtig. Wie im Text auch erläutert muss ein Datenschutzbeauftragter bestellt werden, wenn in einem Unternehmen mehr als neun Personen mit der automatisierten Datenverarbeitung betraut sind.
@Sebastian
Danke für die Aufklärung bzgl. Google Analytics.
Mein zweiter Hinweis bezog sich auf den Absatz bei “Fazit”, dort steht nämlich fälschlicherweise, dass es mehr als zehn Personen sein müssen.
Der Artikel führt in die Irre! Tatsächlich braucht man in vielen Fällen einen Datenschutzbeauftragter, obwohl die 10 Mitarbeiter noch nicht erreicht sind. Immer wenn eine sog. “Vorabprüfung” nach dem BDSG notwendig ist, wird ein Datenschutzbeauftragter benötigt. Eine Vorabprüfung ist in der Regel nötig, wenn sensible Daten, wie Gesundheit, Religion, Gewerkschaftszugehörigkeit etc. verarbeitet werden!
@Mirjam:
Das ist im Grundsatz richtig – allerdings gibt es von dieser Ausnahme (der Ausnahme) in § 4d BDSG wiederum Ausnahmen, die in den meisten Fällen einschlägig sein werden. Der Artikel behandelt daher nur den “Normalfall”, wie er bei den meisten Startups vorkommt.
Durch die Datenschutz-Novelle hat sich auch hinsichtlich dem “Datenschutzbeauftragter” einiges getan.
Das Gesetz führt einen erweiterten Kündigungsschutz für den betrieblichen Datenschutzbeauftragten für die Dauer seiner Bestellung und weiterhin bis zu einem Jahr danach ein.
Ferner wird der Betrieb verpflichtet, dem betrieblichen Datenschutzbeauftragten zum Erhalt und Ausbau seiner Fachkunde den Besuch von Fort- und Weiterbildungsveranstaltungen zu gestatten und zu bezahlen.
Sie sollten daher zeitnah prüfen, ob ein interner oder externer Datenschutzbeauftragter für sie wirtschaftlicher ist. Beides ist erlaubt.
Alles zum neuen BDSG finden Sie auch hier:
http://adressdaten.wordpress.com/2009/09/01/neues-bdsg-bundesdatenschutzgesetzt-novelle-gueltig-rechtliches/
Was in diesem Zusammenhang eventuell noch spannender ist, ist folgender Beitrag von mir den ich Ihnen gern wärmstens ans Herz legen möchte “15 Irrtümer über die “Auftragsdatenverarbeitung”
http://adressdaten.wordpress.com/2009/10/08/auftragsdatenverarbeitung-bdsg/
Mit besten Grüßen aus Essen,
Jan-Philip Ziebold