Berufsbild: Der Datenschutzbeauftragte – ein zahnloser Tiger?

Ein Datenschutzbeauftragter berät seinen Chef und gibt Empfehlungen, anweisen darf er nichts. Eine verantwortungsvolle Aufgabe ist es dennoch.
Wozu braucht man Datenschutzbeauftragte? Welche Daten sollen sie schützen?
Fast jede Organisation – ob Unternehmen, Behörde oder Verband – verarbeitet heute personenbezogene Daten. Das können Daten von Kunden, Patienten oder Versicherten sein, von Lieferanten oder Geschäftspartnern, von Mitarbeitern oder Bewerbern. Bund und Länder haben Gesetze und Vorschriften erlassen, wie mit sensiblen Daten wie diesen umzugehen ist. Ein Datenschutzbeauftragter soll sicher stellen, dass sich die Organisation, für die er tätig ist, an die Gesetze hält.
Wann benötigt ein Unternehmen einen Datenschutzbeauftragten?
Ein Datenschutzbeauftragter ist Pflicht, sobald ein Unternehmen personenbezogene Daten „automatisiert“, also mithilfe von Computern, verarbeitet und mit dieser Tätigkeit mindestens zehn Mitarbeiter beschäftigt sind. So fordert es das Bundesdatenschutzgesetz (§4f BDSG).
Ist ein Datenschutzbeauftragter verzichtbar, wenn es keine Computer im Unternehmen gibt?
Nein. Auch wenn personenbezogene Daten „nicht automatisiert“, also etwa mithilfe von Karteikästen, verarbeitet werden, ist ein Datenschutzbeauftragter erforderlich. Die Vorschrift greift in diesem Fall aber erst dann, wenn mindestens 20 Mitarbeiter ständig auf diese Daten zugreifen.
Wer im Unternehmen ist für den Datenschutz verantwortlich?
Datenschutz ist Chefsache. Verantwortlich ist die Geschäftsführung. Sie muss aus dem Kreis der Mitarbeiter einen geeigneten Kandidaten zum betrieblichen Datenschutzbeauftragten „bestellen“. Der Datenschutzbeauftragte ist der Geschäftsführung unmittelbar unterstellt. Falls intern die Ressourcen fehlen, kann die Geschäftsführung auch einen externen Datenschutzbeauftragten engagieren.
Wie ist der betriebliche Datenschutzbeauftragte zu bestellen?
Laut Gesetz muss das schriftlich geschehen, und zwar innerhalb eines Monats, nachdem mit der automatisierten Datenverarbeitung begonnen wurde. Falls ein Unternehmen, die Bestellung versäumt, kann die zuständige Aufsichtsbehörde, die es in jedem Bundesland gibt, Bußgelder von bis zu 50 000 Euro verhängen.
Tipp: Informationen rund um die Bestellung sind zum Beispiel in der Broschüre Die Datenschutzbeauftragten in Behörde und Betrieb der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu finden.
Welche Aufgaben haben betriebliche Datenschutzbeauftragte?
Der Datenschutzbeauftragte ist das innerbetriebliche Kontrollorgan in allen Datenschutzfragen. Er wirkt darauf hin, dass im Unternehmen die Gesetze eingehalten werden. Zum Beispiel stellt er sicher, dass die erfassten Daten auch tatsächlich für den vorgesehenen Zweck genutzt werden. So darf eine Firma beispielsweise die Daten von ihren Abonnenten nur für die Kaufabwicklung nutzen und nicht für unerwünschte Werbung. Außerdem schult der Datenschutzbeauftragte die Mitarbeiter und verpflichtet sie auf das Datengeheimnis. Kollegen und Abteilungen anweisen darf er aber nicht.
Tipp: Die Gesellschaft für Datenschutz und Datensicherheit hat die Broschüre Hilfe – Ich soll Datenschutzbeauftragter werden herausgegeben. Sie informiert über die Aufgaben von Datenschutzbeauftragten.
Warum werden Datenschutzbeauftragte manchmal als „zahnlose Tiger“ bezeichnet?
Der Datenschutzbeauftragte berät die Geschäftsführung und gibt Handlungsempfehlungen in Sachen Datenschutz. Werden seine Vorschläge ignoriert, hat er wenig Möglichkeiten, sie durchzusetzen. Deshalb ist vom „zahnlosen Tiger“ die Rede.
Ein rigoroses Druckmittel hat der Datenschutzbeauftragte allerdings: Sollte das Unternehmen gegen Vorschriften zum Datenschutz verstoßen, kann und muss er die zuständige Aufsichtsbehörde informieren.
Wer kann Datenschutzbeauftragter werden?
Das Gesetz fordert von Kandidaten zwei Dinge, und zwar „Zuverlässigkeit“ und „Fachkunde“. Was darunter im Einzelnen zu verstehen ist, erläutert der Gesetzgeber leider nicht. Aufschluss gibt zum Beispiel das berufliche Leitbild, das der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) entwickelt hat. Zu den fachlichen Voraussetzungen gehören danach Kenntnisse des Datenschutzrechts sowie IT-Wissen. Wichtig sind aber auch betriebswirtschaftliche Kenntnisse, um etwa die Bedeutung der betriebsinternen Informationsflüsse im Hinblick auf den Datenschutz einschätzen zu können. Außerdem brauchen Datenschutzbeauftragte überfachliche Kompetenzen wie pädagogische und kommunikative Fähigkeiten. Schließlich müssen sie ja den Mitarbeitern das Thema Datenschutz nahe bringen und sie schulen.
Tipp: Das berufliche Leitbild des BvD können Sie auf www.bvdnet.de herunterladen.
Wer eignet sich nicht?
Nicht geeignet sind Personen, die aufgrund ihrer Position im Unternehmen in Interessenkonflikte geraten könnten. So darf ein Geschäftsführer zum Beispiel nicht Datenschutzbeauftragter seines Unternehmens sein. Ungeeignet sind darüber hinaus Mitarbeiter und insbesondere Führungskräfte aus der Personal-, IT- und Rechtsabteilung, aus Marketing und Vertrieb und überhaupt aus allen Bereichen, in denen besonders viele oder sehr sensible Daten verarbeitet werden.
Wie lässt sich die erforderliche Fachkunde aneignen?
Eine geregelte Ausbildung existiert nicht. Es gibt aber jede Menge Einstiegskurse für Interessierte. Von eintägigen Veranstaltungen bis zu mehr als dreiwöchigen Lehrgängen ist alles dabei. (Siehe auch die Grafik zum aktuellen Test.) Nach Ansicht der Stiftung Warentest ist ein Kurs von fünf Tagen Dauer für Einsteiger allerdings das absolute Minimum, um den komplexen Aufgaben in der Praxis gewachsen zu sein. Im Test schnitten die meisten der neun geprüften Fünftageskurse mit solider Qualität ab, siehe Tabelle.
Reicht ein Einsteigerkurs aus, um den Job des Datenschutzbeauftragten dauerhaft machen zu können?
Nein, denn Gesetze und Technologien ändern sich. Wer seinen Job gut machen möchte, muss sein Wissen regelmäßig aktualisieren und vertiefen. Entsprechende Kurse gibt es zur Genüge. Die Anbieter der neun geprüften Lehrgänge im Test haben in der Regel auch Kurse zur Vertiefung im Programm.
Wer übernimmt die Kosten für die Weiterbildungen?
Hier ist das Unternehmen in der Pflicht. Auch Kosten für Fachlektüre sowie Beiträge zu Berufsverbänden muss der Arbeitgeber tragen. Im Übrigen fordert der Gesetzgeber auch, dass dem Datenschutzbeauftragten angemessene Arbeitsmittel zur Verfügung zu stellen sind. Dazu gehören zum Beispiel ein geeigneter Raum, in dem er vertrauliche Gespräche führen kann, sowie Computer, Telefon und Drucker.
Ist die Tätigkeit eine Vollzeitbeschäftigung?
Das ist abhängig von der Unternehmensgröße. Die meisten betrieblichen Datenschutzbeauftragten nehmen die Aufgabe zu einem bestimmten Prozentsatz neben ihrer eigentlichen Beschäftigung wahr.
Wer kontrolliert den Datenschutzbeauftragten?
In jedem Bundesland gibt es Aufsichtsbehörden für den Datenschutz. Sie überprüfen, ob die Unternehmen die gesetzlichen Bestimmungen einhalten und verlangen gegebenenfalls, dass Mängel beseitigt werden. Bei groben Verstößen können sie auch Bußgelder verhängen und verlangen, dass der betriebliche Datenschutzbeauftragte abgesetzt wird.