Datenschutzbeauftragter/Notwendigkeit
Notwendigkeit eines DSB
Original-Nachricht --------
Sehr geehrter Herr .....
für Ihre Anfrage danke ich Ihnen,
Zunächst ist festzustellen, dass nichtöffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, nach § 4 f Abs. 1 BDSG einen Beauftragten für den Datenschutz schriftlich zu bestellen haben. Die Datenerhebung ist deshalb grundsätzlich auch in den Fällen von Bedeutung, in denen sie auf mehrere Personen aufgeteilt wird, die diese Tätigkeit jeweils nur untergeordnet wahrnehmen. Das Gefährdungspotential bei der automatisierten Datenverarbeitung ist nicht davon abhängig, in welchem Umfang eine Person personenbezogene Daten automatisiert verarbeitet, da eine Verletzung datenschutzrechtlicher Vorschriften auch bei einem geringen Anteil grundsätzlich nicht ausgeschlossen werden kann.
Wesentliches Ziel der Änderung von § 4 f Abs. 1 Satz 4 BDSG im Jahre 2007 war die Erhöhung des Schwellenwerts von damals vier Arbeitnehmern auf neun Personen, die in der Regel ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Durch die Neuregelung sollte u.a. sichergestellt werden, dass allein die Anzahl der "Personen" entscheidend ist, die sich im Rahmen ihrer Aufgabenerfüllung mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten, und zwar unabhängig von ihrem arbeitsrechtlichen Status. Nicht nur "Arbeitnehmer", auch freie Mitarbeiter oder Auszubildende müssen bei der Bestimmung der Anzahl der mit der automatisierten Datenverarbeitung Beschäftigten berücksichtigt werden. Im Gegenzug wurde klargestellt, dass aus datenschutzrechtlicher Sicht die Personen, die nicht "in der Regel" mit der automatisierten Verarbeitung personenbezogener Daten "ständig" beschäftigt sind, unberücksichtigt bleiben können. Unternehmen, die z.B. nur kurzzeitig den Schwellenwert überschreiten, sind nicht zur Bestellung eines Beauftragten für den Datenschutz verpflichtet. Die Neuregelung sollte vermeiden, dass Unternehmen nur deshalb einer anderen Kategorie zugeordnet werden, weil sie die maßgebliche Personengrenze für die Verpflichtung zur Bestellung eines Beauftragten für den Datenschutz nur kurzzeitig überschreiten. Auch sind Personen, die nur gelegentlich, z.B. als Urlaubsvertretung, personenbezogene Daten automatisiert verarbeiten, nicht mitzuzählen.
Personen, die in der Regel mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, sind unabhängig vom quantitativen und qualitativen Anteil - wie bisher - in die Berechnung des Schwellenwertes einzubeziehen. Eine andere Beurteilung kann nur in den Fällen in Betracht kommen, in denen bei den Vor - und Nacharbeiten vom Inhalt der aus der automatisierten Verarbeitung stammenden Daten, z.B. Adressen, keine Kenntnis genommen werden kann und sich deshalb auch keine Gefährdung durch den Umgang mit den nach dem Bundesdatenschutzgesetz zu schützenden personenbezogenen Daten und für das informationelle Selbstbestimmungsrecht ergibt.
Das Innenministerium Baden-Württemberg führt in seiner Broschüre "Datenschutz im Verein" zu diesem Thema Folgendes aus:
"Sind mindestens 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, hat der Verein einen Datenschutzbeauftragten zu bestellen (§ 4f BDSG). Zur Vermeidung einer Interessenkollision dürfen die Aufgaben des Datenschutz-Beauftragten nicht vom Vereinsvorstand oder dem für die Datenverarbeitung des Vereins Verantwortlichen wahrgenommen werden, da diese Personen sich nicht selbst wirksam überwachen können. Zum Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung dieser Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Er muss nicht Mitglied des Vereins sein."
Ergänzend möchte ich Sie noch auf die Info Nr. 4 des BfDI hinweisen:
Ich hoffe, Ihnen mit diesen Informationen geholfen zu haben.
Mit freundlichen Grüßen Im Auftrag
P.
Ministerium des Innern Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich Referat II/3