Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich

Der Düsseldorfer Kreis hat am 24./25. November 2010 - als das gemeinsame Abstimmungsgremium der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich - hohe Mindestanforderungen zur erforderlichen Fachkunde und den Rahmenbedingungen für betriebliche Datenschutzbeauftragte beschlossen.

Für die Unternehmen der Privatwirtschaft haben die Beschlüsse dieses Gremiums erhebliche Auswirkungen. Im Rahmen des Düsseldorfer Kreises koordinieren die einzelnen auf Landesebene zuständigen Aufsichtsbehörden ihr Vorgehen und setzen dessen Beschlüsse in aller Regel konsequent um. Unternehmen sind daher gut beraten, die Anforderungen der Aufsichtsbehörden genau zu beachten, da der Unternehmensleitung ansonsten Geldbußen nach § 43 Abs. 1 Nr. 2 BDSG von bis zu 50.000 Euro drohen.

Die Beschlüsse vom 24./25. November beschreiben die Vorgaben des Düsseldorfer Kreises und geben Handlungsempfehlungen zu deren Umsetzung.

§ 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG): Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz

Bei der Kontrolle verantwortlicher Stellen haben die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich festgestellt, dass angesichts zunehmender Komplexität automatisierter Verfahren zum Umgang mit personenbezogenen Daten, Fachkunde und Rahmenbedingungen für die Arbeit der Beauftragten für den Datenschutz (DSB) nicht durchgängig den Anforderungen des BDSG genügen.

Die obersten Aufsichtsbehörden weisen ebenso darauf hin, dass die Aus- und Belastung der DSB maßgeblich beeinflusst wird durch die Anzahl der zu betreuenden verantwortlichen Stellen, die Größe der verantwortlichen Stelle, den Grad der Schutzbedürftigkeit der zu verarbeitenden personenbezogenen Daten und die Besonderheiten branchenspezifischer Datenverarbeitung. Veränderungen dieser Faktoren führen regelmäßig zu einer proportionalen Mehrbelastung der DSB.

Folgende Mindestanforderungen sind zu gewährleisten:

Fachkunde gemäß § 4f Abs. 2 Satz 1 BDSG

Zum Beauftragten für den Datenschutz (DSB) darf nur bestellt werden, wer die erforderliche Fachkunde und Zuverlässigkeit besitzt. Grundsätzlich müssen diese rechtlichen, technischen sowie organisatorischen Mindestkenntnisse bereits zum Zeitpunkt des Bestellung zum DSB im ausreichenden Maße vorliegen. Sie können auch durch den Besuch geeigneter Aus- und Fortbildungsveranstaltungen und das Ablegen einer Prüfung erlangt sein.

Die Mindestkenntnisse umfassen Datenschutzrecht allgemein – unabhängig von der Branche und der Größe der verantwortlichen Stelle

• Grundkenntnisse zu verfassungsrechtlich garantierten Persönlichkeitsrechten der Betroffenen und Mitarbeiter der verantwortlichen Stelle und
• umfassende Kenntnisse zum Inhalt und zur rechtlichen Anwendung der für die verantwortlichen Stellen einschlägigen Regelungen des BDSG, auch technischer und organisatorischer Art,
• Kenntnisse des Anwendungsbereiches datenschutzrechtlicher und einschlägiger technischer Vorschriften, der Datenschutzprinzipien und der Datensicherheitsanforderungen insbesondere nach § 9 BDSG.

Branchenspezifisch – abhängig von der Branche, Größe oder IT-Infrastruktur der verantwortlichen Stelle und der Sensibilität der zu verarbeitenden Daten

• Umfassende Kenntnisse der spezialgesetzlichen datenschutzrelevanten Vorschriften, die für das eigene Unternehmen relevant sind,
• Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit (physische Sicherheit, Kryptographie, Netzwerksicherheit, Schadsoftware und Schutzmaßnahmen, etc.),
• betriebswirtschaftliche Grundkompetenz (Personalwirtschaft, Controlling, Finanzwesen, Vertrieb, Management, Marketing etc.),
• Kenntnisse der technischen und organisatorischen Struktur sowie deren Wechselwirkung in der zu betreuenden verantwortlichen Stelle (Aufbau- und Ablaufstruktur bzw. Organisation der verantwortlichen Stelle) und
• Kenntnisse im praktischen Datenschutzmanagement einer verantwortlichen Stelle (z. B. Durchführung von Kontrollen, Beratung, Strategieentwicklung, Dokumentation, Verzeichnisse, Logfile-Auswertung, Risikomanagement, Analyse von Sicherheitskonzepten, Betriebsvereinbarungen, Videoüberwachungen, Zusammenarbeit mit dem Betriebsrat etc.).

Anforderungen an die Unabhängigkeit der/des Beauftragten gem. § 4f Abs. 3 BDSG

Nach § 4f Abs. 3 Satz 2 BDSG sind DSB in Ausübung ihrer Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Um die Unabhängigkeit der DSB zu gewährleisten, sind folgende betriebsinterner organisatorischer Maßnahmen erforderlich:

1. DSB sind dem Leiter/der Leiterin der verantwortlichen Stelle organisatorisch unmittelbar zu unterstellen (§ 4f Abs. 3 Satz 1 BDSG). Sie müssen in der Lage sein, ihre Verpflichtungen ohne lnteressenkonflikte erfüllen zu können. Dieses ist durch entsprechende Regelungen innerhalb der verantwortlichen Stelle bzw. vertragliche Regelungen sicher zu stellen und sowohl innerhalb der verantwortlichen Stelle als auch nach außen hin publik zu machen. Den DSB ist ein unmittelbares Vortragsrecht beim Leiter der Stelle einzuräumen.
2. DSB dürfen wegen der Erfüllung ihrer Aufgaben in Hinblick auf ihr sonstiges Beschäftigungsverhältnis, auch für den Fall, dass die Bestellung zum DSB widerrufen wird, nicht benachteiligt werden (vgl. § 4f Abs. 3 Satz 3 ff BDSG).Analog muss bei der Bestellung von externen DSB der Dienstvertrag so ausgestaltet sein, dass eine unabhängige Erfüllung der gesetzlichen Aufgaben durch entsprechende Kündigungsfristen, Zahlungsmodalitäten, Haftungsfreistellungen und Dokumentationspflichten gewährleistet wird. § 4f Abs. 3 BDSG schränkt insoweit die grundsätzliche Vertragsfreiheit ein. Empfohlen wird grundsätzlich eine Mindestvertragslaufzeit von 4 Jahren, bei Erstverträgen wird wegen der Notwendigkeit der Überprüfung der Eignung grundsätzlich eine Vertragslaufzeit von 1 – 2 Jahren empfohlen.
3. Datenschutzbeauftragte sind zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit sie nicht davon durch die Betroffenen befreit wurden. Dies gilt auch gegenüber der verantwortlichen Stelle und deren Leiter (§ 4f Abs. 4 BDSG).

Erforderliche Rahmenbedingungen innerhalb der verantwortlichen Stelle zur Fachkunde und Unabhängigkeit des DSB

1. Die Prüfpflichten der DSB (vgl. § 4g BDSG) setzen voraus, dass ihnen die zur Aufgabenerfüllung erforderlichen Zutritts- und Einsichtsrechte in alle betrieblichen Bereiche eingeräumt werden.
2. DSB müssen in alle relevanten betrieblichen Planungs- und Entscheidungsabläufe eingebunden werden. Sie führen das Verfahrensverzeichnis (§ 4g Abs. 2 BSDG) und haben hierfür die erforderlichen Unterlagen zu erhalten.
3. Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde haben die verantwortlichen Stellen den DSB die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen. Bei der Bestellung von externen DSB kann die Fortbildung Bestandteil der vereinbarten Vergütung sein und muss nicht zusätzlich erbracht werden.
4. Internen DSB muss die erforderliche Arbeitszeit zur Erfüllung ihrer Aufgaben und zur Erhaltung ihrer Fachkunde zur Verfügung stehen. Bei Bestellung eines externen DSB muss eine bedarfsgerechte Leistungserbringung gewährleistet sein. Sie muss in angemessenem Umfang auch in der beauftragenden verantwortlichen Stelle selbst erbracht werden. Ein angemessenes Zeitbudget sollte konkret vereinbart und vertraglich festgelegt sein.
5. Die verantwortlichen Stellen haben DSB bei der Erfüllung ihrer Aufgaben insbesondere durch die zur Verfügung Stellung von Personal, Räumen, Einrichtung, Geräten und Mitteln zu unterstützen (§ 4f Abs. 5 BDSG).