Die datenschutzrechtlichen Anforderungen im Kunst- und Kulturbetrieb
Autor: Rechtsanwalt Dr. Rutger von der Horst Köln, Münster, Los Angeles

Inhalt

Teil 4
6 . Pflicht zur Bestellung eines Datenschutzbeauftragten
6.1 Automatisierte Datenverarbeitung
6.2 Nicht-automatisierte Datenverarbeitung
6.3 Wer kann Datenschutzbeauftragter werden?
6.3.1 Erforderliche Fachkunde
6.3.2 Erforderliche Zuverlässigkeit
6.3.3 Subjektive Seite
6.4 Aufgaben des Datenschutzbeauftragter
6.5 Welche (arbeitsrechtliche) Stellung hat der betriebsinterne Datenschutzbeauftragte?
6.6 Wie muss die Bestellung des Datenschutzbeauftragten erfolgen?

6. Pflicht zur Bestellung eines Datenschutzbeauftragten
Damit die obengenannten Pflichten auch tatsächlich eingehalten werden, verpflichtet das Bundesdatenschutzgesetz (Kunst- und Kultur-) Unternehmen unter bestimmten Voraussetzungen datenschutzrechtlich zur Bestellung eines Datenschutzbeauftragten, der sich eigens um die Belange des Datenschutzes zu kümmern hat. Unterschieden wird hier zwischen automatisierter und nicht automatisierter Datenverarbeitung.

6. 1 Automatisierte Datenverarbeitung
Bei der automatisierten Datenverarbeitung von personenbezogene Daten durch nicht-öffentliche (betriebliche) Stellen haben die jeweiligen Verantwortlichen z. B. eines (Kultur-)Unternehmens spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit ein Datenschutzbeauftragten zu bestellen, sobald mindestens fünf Arbeitnehmer mit der Erhebung, der Verarbeitung oder der Nutzung von Daten beschäftigt sind, § 4f BDSG.

Entscheidend ist allein die Anzahl der bei der Verarbeitung oder Nutzung von personenbezogenen Daten beschäftigten Personen und nicht deren Arbeitnehmereigenschaft. Zu berücksichtigen sind sämtliche Arbeitnehmer, die mit der automatisierten Verarbeitung von Angaben über persönliche oder sachliche Verhältnisse natürlicher Personen (etwa Arbeitnehmer- oder Kundendaten) befasst sind, gleichgültig, ob es sich dabei um Voll- oder Teilzeitbeschäftigte (auch Heimarbeiter), Auszubildende oder Leihpersonal handelt und wie viel Arbeitszeit für die Datenverarbeitung aufgewendet wird. (Sind im Unternehmen jedoch fünf Selbstständige/Chefs mit der Datenverarbeitung befasst, so werden diese - nach dem Wortlaut des Gesetzes - nicht mitgezählt!)

Verantwortliche von Unternehmen haben - unabhängig von der Anzahl der Arbeitnehmer - einen Beauftragten für den Datenschutz zu bestellen, soweit sie automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen (dazu unten) oder personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung oder der anonymisierten Übermittlung erheben, verarbeiten oder nutzen (§ 4 f Absatz 1 Satz 6 BDSG), wie etwa bei Auskunfteien, Adressenmaklern sowie Markt- und Meinungsforschungsinstituten.

Die Regelung gilt für jedes rechtlich eigenständige Unternehmen. Nicht ausreichend ist daher die Bestellung nur eines einzigen Datenschutz- beauftragten für einen Konzern. Niederlassungen benötigen keinen gesonderten Datenschutzbeauftragten. Doch wird es als sinnvoll angesehen, einen „Datenschutz-Koordinator" zu benennen, der den Datenschutzbeauftragten in seiner Arbeit unterstützt.

Beschäftigt das Unternehmen höchsten vier Mitarbeiter, hat es zwar keinen Datenschutzbeauftragten zu bestellen. Die Geschäftsleitung muss dann selbst den Datenschutz sicherstellen.

- Der Verantwortliche des Unternehmens hat dann auf Anforderung die Angaben zum Datenschutz nach § 4 e Satz 1 Nr. 1 bis 8 BDSG jedem Dritten vorzulegen (öffentliches Verfahrensverzeichnis). - Unter Marketinggesichtspunkten kann es empfehlenswert sein, das Verfahrensverzeichnis auf der Unternehmens-Website zu veröffentlichen und zwar auch dann, wenn ein Datenschutzbeauftragter bestellt wurde.

Die Bestellung eines betrieblichen Datenschutzbeauftragten kann noch aus anderen Gründen sinnvoll sein: Wie oben aufgezeigt hat der Verantwortliche des Unternehmens ein (mit unter sehr arbeitsintensives) Sicherheitskonzept (= Datenschutzrichtlinie) zu erstellen, das er ggf. bei einer Kontrolle durch die Aufsichtsbehörde vorzuweisen hat. Hier kann die Beauftragung eines Datenschutzbeauftragte auch zur Arbeitserleichterung und -entlastung der Unternehmensleitung führen.

Eine freiwillige Beauftragung eines Datenschutzbeauftragten bietet sich zudem geradezu an, weil nicht-öffentliche Stellen grundsätzlich ihre Verfahren automatisierter Verarbeitungen vor der Inbetriebnahme den zuständigen Aufsichtsbehörden zu melden haben. Diese Meldepflicht entfällt jedoch, sobald die Stelle einen eigenen betrieblichen Datenschutzbeauftragten bestellt.

6.2 Nicht-automatisierte Datenverarbeitung
Bei der nicht-automatisierten Datenverarbeitung besteht die Pflicht zur Beauftragung eines Datenschutzbeauftragten, wenn in der Regel mindestens zwanzig Personen beschäftigt sind, § 4f Absatz 1 Satz 3 BDSG.

6.3 Wer kann Datenschutzbeauftragter werden?
Datenschutzbeauftragter kann nur werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt, § 4f Absatz 2 BDSG. Das kann auch eine Person außerhalb der verantwortlichen Stelle sein, (meist gewerbliche Datenschutzbeauftragte oder externe Rechtsanwälte mit entsprechender Sachkunde).

6.3.1 Erforderliche Fachkunde
Die erforderliche Fachkunde umfasst rechtliche, (betriebs-)organisatorische und technische Kenntnisse. Dabei werden keine Spezialkenntnisse verlangt, z. B. genügen EDV-Grundkenntnisse. Voraussetzung ist allerdings, dass der Mitarbeiter die Fähigkeit hat, die Kenntnisse in der Praxis anzuwenden. Soweit dem Datenschutzbeauftragten die fachliche Qualifikation in Teilbereichen noch fehlt, ist ihm Gelegenheit zu geben, diese zu erwerben (Lehrgangsbesuch, Zeit zum Selbststudium). Allerdings muss die gesetzlich geforderte Fachkunde bereits zum Zeitpunkt der Bestellung vorhanden sein. Auch sollte die Möglichkeit bestehen, sich von Dritten, d. h. von Experten aus der EDV-Abteilung oder von externen EDV-Experten, bzw. von Datenschutzrechtlern Informationen und Ratschläge zu holen.

Unabdingbar für eine zuverlässige Funktionserfüllung ist natürlich, dass ausreichend Zeit zur Erfüllung der Aufgabe als Datenschutzbeauftragter zur Verfügung steht.

6.3.2 Erforderliche Zuverlässigkeit
Bei der Zuverlässigkeit sind objektive genauso wie subjektive Kriterien zu beachten. Die objektiven beziehen sich auf mögliche Interessenkollisionen, die subjektiven auf persönliche Eigenschaften.

Hinsichtlich der objektive Kriterien gilt: Eine verlässliche Kontrolle setzt eine klare Trennung zwischen der verantwortlichen Stelle und dem Beauftragten voraus. Fehlt die Trennung, können Interessenkonflikte entstehen, die eine konsequente Anwendung der gesetzlichen Anforderungen an den Beauftragten in Frage stellt. Wer in das Unternehmen investiert, bzw. dank seiner finanziellen Beteiligung auf dessen Entwicklung Einfluss nimmt, oder sie sogar ganz an seinen Vorstellungen ausrichtet, kommt als Beauftragter nicht in Betracht. Ob es sich um eine erhebliche Beteiligung handelt, spielt keine Rolle. Entscheidend ist die Gefährdung der Integrität des Beauftragten für den Datenschutz. Wird eine der vorgenannten Personen bestellt, liegt in der Regel keine wirksame Bestellung als Datenschutzbeauftragter vor.

Ebenso sind ausgeschlossen: Der Unternehmensinhaber, Gesellschafter oder eine andere Person aus der Geschäftsleitung oder auch Personen, die aufgrund ihrer Funktion in Interessenkonflikte geraten könnten (z.B. Leiter der EDV-Abteilung, Personalleiter sowie Personen mit leitenden Aufgaben in Organisationseinheiten mit besonders umfangreicher oder sensitiver Verarbeitung von personenbezogenen Daten). Diese Personen können nicht Datenschützer in eigener Sache sein. Ansonsten bestünde die Gefahr, dass sich der zu Kontrollierende selbst kontrolliert.

Aus Gründen möglicher Interessenkollisionen sind auch Bestellungen von engeren Verwandten zu vermeiden, auch wenn bislang diesbezüglich noch keine einschlägige Rechtsprechung vorliegt.

Zur Vermeidung von Interessenkonflikten ist es daher für jeden Unternehmer geboten, den Datenschutzbeauftragten entweder unter den eigenen Mitarbeiter auszuwählen oder eine externe Person mit dieser Aufgabe zu beauftragen.

6.3.3 Subjektive Seite
Hinsichtlich der subjektiven Kriterien gilt: Zuverlässigkeit besitzt derjenige, der eine sorgfältige und gründliche Arbeitsweise, Belastbarkeit, Lernfähigkeit, Loyalität und Gewissenhaftigkeit aufweist.

6.4 Aufgaben des Datenschutzbeauftragter
Der Datenschutzbeauftragte hat die Aufgabe,

- auf die Einhaltung der datenschutzrechtlichen Bestimmungen hinzuwirken;

- die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu überwachen;

- die mit der Datenverarbeitung befaßten Personen in Datenschutz- und Datensicherheit zu schulen;

- vor Beginn der automatisierten Verarbeitung zu kontrollieren, ob die Verarbeitung besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist (Vorabkontrolle);

Die "Vorabkontrolle" durch den Datenschutzbeauftragten ist eine Prüfung von bestimmten automatisierten Verarbeitungen vor Inbetriebnahme. Sie ist nach § 4 d Absatz 5 Satz 1 BDSG erforderlich, wenn automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen. Das ist namentlich der Fall, wenn besonderen Arten personenbezogener Daten (z. B. Daten über rassische und ethnische Herkunft, politische Meinung etc.) verarbeitet oder die Verarbeitung personenbezogener Daten dazu verwendet werden, um die Persönlichkeit des Betroffenen, auch im Hinblick auf dessen Fähigkeiten, Leistungen oder Verhaltens zu bewerten.

- jedermann auf Antrag die Angaben über Verfahren automatisierter Verarbeitungen in geeigneter Weise zur Verfügung zu stellen.

Im Falle automatisierter Verarbeitungen sind laut § 4e BDSG folgende Angaben zu machen:

1. Name oder Firma der verantwortlichen Stelle,

2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit
der Leitung der Datenverarbeitung beauftragten Personen,

3. Anschrift der verantwortlichen Stelle,

4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,

5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,

6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,

7. Regelfristen für die Löschung der Daten,

8. eine geplante Datenübermittlung in Drittstaaten,

9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit
der Verarbeitung angemessen sind.

Ist kein Datenschutzbeauftragter bestellt worden, so sind die oben genannten datenschutzrechtlichen Anforderungen von der Geschäftsleitung zu erfüllen (soweit diese nicht wegen Interessenkollision davon ausgeschlossen ist).

6.5 Welche (arbeitsrechtliche) Stellung hat der betriebsinterne Datenschutzbeauftragte?
Damit der betriebliche Datenschutzbeauftragte seine Tätigkeit auch wirkungsvoll ausüben kann, ist eine unabhängige und organisatorisch herausgehobene Stellung von ausschlaggebender Bedeutung. Der Datenschutzbeauftragte ist daher dem Leiter der nicht öffentlichen Stelle unmittelbar zu unterstellen (§ 4 f Absatz 3 Satz 1 BDSG). Dabei nimmt er der Geschäftsleitung die Verantwortung für die Belange des Datenschutzes nicht ab. Vielmehr soll er diese bei der Sicherung dieser Belange unterstützen. Er ist bei der Anwendung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei (§ 4 f Absatz 3 Satz 2 BDSG) und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden (§ 4 f Absatz 3 Satz 3 BDSG).

Das Unternehmen (die verantwortliche Stelle) ist verpflichtet, den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen (§ 4 f Absatz 5 Satz 1 BDSG).

Das Unternehmen hat eine interne Datenverarbeitungsübersicht zu erstellen und dem Beauftragten zur Verfügung zu stellen (§§ 4 g Absatz 2 Satz 1, 4 e Satz 1 Nr. 1 bis Nr. 9 in Verbindung mit § 9 BDSG und in Verbindung mit Anlage zu § 9 Satz 1 BDSG). - Tatsächlich ist der Datenschutzbeauftragte oftmals an der Erstellung der Übersicht selbst beteiligt. - Im Rahmen seiner Aufgabenstellung ist er von allen datenschutzrechtlich relevanten Vorgängen rechtzeitig zu unterrichten.

Der Datenschutzbeauftragte ist unmittelbarer Ansprechpartner für Betroffene (z. B. Kunden, Mitarbeiter). Diese können sich jederzeit an ihn wenden (§ 4 f Absatz 5 Satz 2 BDSG). Der Beauftragte ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird (§ 4 f Absatz 4 BDSG).

Die Bestellung zum Datenschutzbeauftragten kann aus wichtigem Grund widerrufen werden. Ein solcher Widerruf ist gerechtfertigt, wenn Tatsachen vorliegen, auf Grund derer, unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile, die Fortsetzung der Tätigkeit nicht zugemutet werden kann (z.B. weil der Beauftragte für den Datenschutz nicht die erforderliche Fachkunde und Zuverlässigkeit besitzt). In einem solchen Fall kann auch die Aufsichtsbehörde den Widerruf verlangen. Daraus wird auf der anderen Seite auch ersichtlich, dass der Datenschutzbeauftragte in Bezug auf seine Tätigkeit als Datenschutzbeauftragter einen besonderen Kündigungsschutz genießt. Dieser privilegierte Kündigungsschutz erstreckt sich jedoch nur auf Entlassungsgründe, die sich auf die Funktionswahrnehmung für den Datenschutz beziehen.

6.6 Wie muss die Bestellung des Datenschutzbeauftragten erfolgen?
Für den Fall, dass ein Datenschutzbeauftragter zu bestellen ist, sollte die Bestellung - schon zu Dokumentations-/Beweiszwecken - schriftlich durch die Leitung des Unternehmens erfolgen. Die Bestellung zum betrieblichen Datenschutzbeauftragten sollte allen Mitarbeitern bekannt gemacht werden.

Der Aufsichtsbehörde muss die Bestellung nicht mitgeteilt werden. Wenn jedoch die Aufsichtsbehörde konkret Auskunft verlangt, (um zu kontrollieren, ob die Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht und ob sie erfüllt wurde) besteht eine Auskunftspflicht.

... und gerne beraten wir auch Sie

portrait vonderhorst 200x284

Ihr Ansprechpartner in Deutschland

Dr. Rutger von der Horst

Rechtsanwalt

Tel.: 0251 / 37 94 200

Fredricks & von der Horst
LOS ANGELES │ MÜNSTER

Kontakt: kanzlei@vonderhorst.de