Das Bundesdatenschutzgesetz (BDSG) hat seit seiner ersten Fassung 1990 zwar eine Reihe von Ergänzungen und Änderungen erfahren, der Tenor ist jedoch stets der gleiche geblieben: Der Schutz personenbezogener Daten genießt höchsten Stellenwert in Gesellschaft und Wirtschaft. Deshalb sind alle Unternehmen aufgerufen, für höchste Sorgfalt beim Umgang mit personenbezogenen Daten zu sorgen.

Aber was sind personenbezogene Daten? Vor- und Nachnamen, Geburtstage und E-Mail-Adressen von Kunden, Geschäftspartnern und Mitarbeitern gehören genauso dazu, wie Lohndaten, Sozialversicherungsnummern oder Kontoinformationen. Im Grunde nutzt und verarbeitet also jeder Mitarbeiter personenbezogene Daten, der Zugang zu einem PC im Unternehmen hat.

Um diesen Umgang mit Daten zu dokumentieren und zu kontrollieren, schreibt das BDSG vor, dass jedes Unternehmen, in dem mehr als 9 Mitarbeiter personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, ein Datenschutzbeauftragter (DSB) zu bestellen ist. Dies muss laut Gesetz spätestens 10 Tage nach Beginn der Datennutzung geschehen sein.

Damit der Pflicht zur Bestellung eines Datenschutzbeauftragten genüge getan ist, wird häufig ein Mitarbeiter im Unternehmen mit dieser Aufgabe betraut. Da dieser interne DSB eine Reihe von Nachteilen mit sich bringt und hohe Kosten verursachen kann, macht der Gesetzgeber die Bestellung eines externen Dienstleisters zum Datenschutzbeauftragten möglich.

Die Problematik eines internen Datenschützers wird bei genauerem Blick auf das im Gesetz beschriebene Aufgabenprofil schnell sichtbar: Der Bestellte muss eine Ausbildung nach § 4 BDSG durchlaufen haben, er benötigt sehr gute IT- und Rechtskenntnisse, muss didaktische Fähigkeiten nachweisen können und sich jährlich fortbilden. Erfüllt er eine oder mehrere Vorgaben nicht, gilt er als nicht bestellt.

Noch schwerwiegender sind jedoch die Angaben bezüglich der Stellung des DSB im Unternehmen: Er darf weder Mitglied der Geschäftsleitung oder ein Familienmitglied sein, weder der Leiter der IT- oder Personalabteilung und auch kein Lehrling oder Praktikant sein. Der interne DSB muss gegenüber der Geschäftsleitung weisungsfrei sein, 20% seiner Arbeitszeit für Datenschutzzwecke freigestellt werden und auf mindestens 3 Jahre bestellt sein. Zur Krönung genießt er noch Kündigungsschutz wie ein Betriebsrat.

Was sind die Konsequenzen eines Fehlers bei der Bestellung? Wie werden Datenschutzverstöße geahndet? Eine Nicht- oder Scheinbestellung eines Datenschutzbeauftragten, die auch dann schon vorliegt, wenn die gesetzlichen Vorgaben für eine Bestellung nicht eingehalten werden, wird mit bis zu 25.000,- € Bußgeld belegt. Für fahrlässige unbefugte Erhebung von personenbezogenen Daten sieht der Paragraph §45 BDSG sogar bis zu 250.000,- € Bußgeld vor. Dass diese Summen auch verhängt werden, ist an medienwirksamen Beispielen zu sehen.

Da bei Datenschutzverstößen meist automatisch auch ein Gesetzesverstoß vorliegt, haften Geschäftsführer oder auch Vorstände von AGs fast immer mit Ihrem Privatvermögen, da z.B. Versicherungen Gesetzesverstöße immer als grob fahrlässig einstufen und damit keine Zahlungen übernehmen. Auch der interne Datenschutzbeauftragte stellt hier nur eine ungenügende Rückversicherung dar, da er nur bei grober Fahrlässigkeit in seiner Tätigkeit haftet und diese Haftung auch noch auf die Hälfte eines Monatsgehalts beschränkt ist. Externe Beauftragte haften dagegen schon bei leichter Fahrlässigkeit und dann in komplettem Umfang, weshalb sie auch angewiesen sind, diese Risiken durch hohe Berufsversicherungen zu decken.

Alle diese Punkte führen zu der Einschätzung, dass in Unternehmen ohne hauptamtlichen Vollzeit-Datenschutzbeauftragten aus organisatorischen und wirtschaftlichen Gründen eigentlich nur die Bestellung eines Externen Dienstleisters in Frage kommt. Wir beraten Sie deshalb gerne und stellen Ihnen auf Wunsch einen erfahrenen und zuverlässigen externen Datenschutzbeauftragten, der alle Datenschutzaufgaben mit höchster Qualität übernimmt.

Unsere geprüften Datenschutzbeauftragen sind zur Bestätigung der besonderen Qualität und Qualifikation zusätzlich durch den TÜV Rheinland zu Datenschutzmanagern ausgebildet. So garantieren wir Ihnen Datenschutzmanagementsysteme die auch höchsten Ansprüchen genügen.