Die Informationstechnologie hat die Unternehmen in den letzten Jahrzehnten immer weiter durchdrungen.
Die automatisierte Verarbeitung von Daten ist heute Standard. Auch wenn heutzutage die technischen Möglichkeiten der Erfassung von Daten nahezu grenzenlos sind, unterliegt die Verarbeitung von personenbezogenen Daten vielfältigen rechtlichen Regulierungen und Beschränkungen.
Diesbezüglich wird in vielen Unternehmen in Zukunft ein Umdenkungsprozess stattfinden müssen, denn die Aufsichtsbehörde geht verstärkt dazu über, branchenspezifisch die Unternehmen auf die Einhaltung der datenschutzrechtlichen Vorschriften hin zu überprüfen.
Vor diesem Hintergrund sollte jedes Unternehmen klären, ob es einen Datenschutzbeauftragten bestellen muss.
Jedes Unternehmen ist nach dem Bundesdatenschutzgesetz (BDSG) verpflichtet, dann einen Datenschutzbeauftragten zu bestellen, wenn in dem Unternehmen zehn oder mehr Personen ständig automatisiert personenbezogene Daten verarbeiten. Diese Verpflichtung entsteht innerhalb eines Monats nach Aufnahme der unternehmerischen Tätigkeit. Personenbezogene Daten sind bspw. Name, Geburtsdatum, Gesundheitszustand, Kundendaten, Arbeitsleistung, Fotos, Lebenslauf, Bankdaten, Konsumverhalten, Gehaltsdaten, Kreditwürdigkeit, E-Mail-Adresse.
Ein automatisierter Umgang mit personenbezogenen Daten liegt bspw. dann vor, wenn eine Datenverarbeitung über einen PC oder einen Server, über eine virtualisierte Desktop-Infrastruktur oder auch über ein modernes Smart-Phone erfolgt. Aber auch Kameraüberwachungssysteme fallen hierunter.
Bei der Berechnung der Zehn-Personen-Grenze ist allein maßgeblich, wie viele Personen im Unternehmen mit der Datenverarbeitung betraut sind, unabhängig davon, ob es sich um Teil- oder Vollzeitkräfte, Praktikanten, Leiharbeitnehmer oder freie Mitarbeiter handelt.
Das Unternehmen ist frei darin, ob es, im übrigen mitbestimmungsfrei, einen eigenen Mitarbeiter zum internen Datenschutzbeauftragten ernennt oder ob es eine qualifizierte Person von außen als externen Datenschutzbeauftragten bestellt.
Bei der Bestellung eines internen Datenschutzbeauftragten ist angesichts der immer komplexer werdenden Rechtsmaterie des Datenschutzes zu bedenken, dass dieser aufgrund des zeitlichen Umfangs seiner Datenschutztätigkeit von seiner eigentlichen Tätigkeit mehr und mehr abgezogen wird, für ihn teure Fortbildungen durch das Unternehmen bezahlt werden müssen und er darüber hinaus über einen Sonderkündigungsschutz verfügt, so dass während seiner Bestellung zum Datenschutzbeauftragten eine ordentliche Kündigung des Arbeitsverhältnisses ausgeschlossen ist. Bei Bestellung eines externen Datenschutzbeauftragten kann die Geschäftsführung demgegenüber die eigene Haftung für Verstöße gegen Datenschutzregeln auf diesen verlagern.
Unabhängig von der gesetzlichen Verpflichtung ist die Bestellung eines Datenschutzbeauftragten auch deshalb sinnvoll, da er die Einhaltung der datenschutzrechtlichen Vorgaben im Unternehmen sichert und damit bspw. Image-und Rufschäden des Unternehmens verhindert, die heutzutage bei einem sorglosen Umgang mit personenbezogenen Daten entstehen können, wie bspw. die Datenskandale einiger großer Unternehmen in der Vergangenheit gezeigt haben.
Das BDSG sieht vor, dass ein Unternehmen, welches trotz Erfüllung der gesetzlichen Voraussetzungen einen Datenschutzbeauftragten nicht, nicht rechtzeitig oder nicht in der vorgeschriebenen Weise bestellt, mit einer Geldbuße bis zu 50.000,00 Euro belegt werden kann und die Praxis zeigt, dass die Aufsichtsbehörde diesbezüglich durchaus Bußgelder verhängt und das Gesetz umsetzt.
Jedes Unternehmen sollte daher das Thema Datenschutz in die betrieblichen Abläufe implementieren, um bei einer Prüfung durch die Aufsichtsbehörde gewappnet zu sein.