Betrieblicher Datenschutzbeauftragter? Nie gehört! (Teil II)

Veröffentlicht am 18. Januar 2005 von Arne Trautmann | Datenschutz | 1 Kommentar

Der Teil 1 des Beitrages widmete sich der Frage, welche Unternehmen einen betrieblichen Datenschutzbeauftragten brauchen und welche fachlichen und persönlichen Voraussetzungen der Datenschutzbeauftragte mitbringen mus. Teil 2 untersucht, ob der Beauftragte intern oder extern rekrutiert werden sollte und was eigentlich geschieht, wenn entgegen der bestehenden Pflicht eine Bestellung unterbleibt.

Interner oder externer Beauftragter?

Das Gesetz regelt nicht, ob der Beauftragte intern aus dem Unternehmen oder extern (dies wird von einer Reihe spezialisierter Unternehmensberater und Rechtsanwälte angeboten) rekrutiert wird. Darüber, welche dieser beiden Möglichkeiten die sinnvollere ist, wird seit der Statuierung der Pflicht zur Bestellung eines Datenschutzbeauftragten 1978 heftig gestritten. Richtig ist wohl, dass es auf die konkrete Situation des Unternehmens ankommt.

Sehr große Unternehmen beschäftigen häufig einen dezidiert nur mit dieser Aufgabe beschäftigten Angestellten.

Gerade in kleineren Unternehmen haben die Aufgaben des Beauftragten häufig einen Umfang, der es nahe legt, mit dieser Funktion einen Mitarbeiter zu betrauen, der daneben noch andere, eben seine „üblichen“ Aufgaben übernimmt. Dabei besteht allerdings die Problematik, dass der Beauftragte ja eine Form der Selbstkontrolle des Unternehmens wahrnimmt. Er darf also nicht allein die Interessen des Unternehmens als solchem im Blick haben, sondern muss gerade die Rechte der von Datenverarbeitung Betroffenen schützen, als deren Anwalt agieren. Inhaber, Geschäftsführer oder sonstige Personen, die aufgrund ihrer Stellung oder Tätigkeit einem Interessenskonflikt (etwa der Leiter der IT- oder Personalabteilung!) ausgesetzt sind, können daher nicht bestellt werden. Wegen der geforderten Fachkunde und Zuverlässigkeit kann daher ab und an schlicht die Personaldecke knapp werden.

In Unternehmen mittlerer Größe wird oft genau abgewogen werden müssen. Die Vorteile der internen Lösung bestehen darin, dass der entsprechende Mitarbeiter die internen Abläufe bereits kennt, die Einarbeitungszeit und die Reibungsverluste daher gering sind.

Andererseits haben die Aufgaben des Beauftragten hier häufig schon einen Umfang, der einen signifikanten Teil einer Arbeitskraft bindet. Zudem genießt der intern bestellte Datenschutzbeauftragte – um eine Unabhängigkeit sicherzustellen – einen funktionalen Kündigungsschutz (der allerdings nicht das Arbeitsverhältnis als solches betrifft). Zudem stellen sich auch hier die oben bereits skizzierten Personalfragen.

Für die externe Lösung sprechen die leichtere Skalierbarkeit der Aufgabe, die einfachere Möglichkeit des Wechsels des Beauftragten, und allgemein die Erwägungen, die zum Outsourcing betrieblicher Aufgaben führen. Zudem ist die oben angesprochene Unabhängigkeit hier eher gewahrt, häufig ist auch das Standing des Beauftragten im Betrieb besser.

Folgen des Unterlassens der Bestellung?

Die Bestellung des Datenschutzbeauftragten ist verpflichtend. Gegen Unternehmen, die dem nicht nachkommen, können Bußgelder in Höhe von bis zu 25.000 Euro verhängt werden.

Eine weitere eher unangenehme Folge ist, dass diese Unternehmen, solange eben kein Beauftragter tätig wird, der Meldepflicht nach §§ 4d, e BDSG unterliegen. Sie müssen daher gegenüber der zuständigen Aufsichtsbehörde verschiene Angaben, insbesondere zur Zweckbestimmung von Datenverarbeitungsmaßnahmen, den davon betroffenen Personengruppen und den Empfängern der Daten zu machen.