skip to Main Content
+49 (700) 34778539 info@firstlex.de Login
[layerslider id="6"]

Beschluss der obersten Aufsichtsbehörden für Datenschutz

Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich haben bei
der Kontrolle verantwortlicher Stellen festgestellt, dass Fachkunde und Rahmenbedingungen
für die Arbeit der Beauftragten für den Datenschutz (DSB) in den verantwortlichen Stellen
angesichts zunehmender Komplexität automatisierter Verfahren zum Umgang mit personenbezogenen Daten nicht durchgängig den Anforderungen des BDSG genügen.
Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich weisen
darauf hin, dass die Aus- und Belastung der DSB maßgeblich beeinflusst wird durch die
Größe der verantwortlichen Stelle, die Anzahl der zu betreuenden verantwortlichen Stellen,
Besonderheiten branchenspezifischer Datenverarbeitung und den Grad der Schutz-
bedürftigkeit der zu verarbeitenden personenbezogenen Daten. Veränderungen bei den vorgenannten Faktoren führen regelmäßig zu einer proportionalen Mehrbelastung der DSB.

Nachfolgende Mindestanforderungen sind zu gewährleisten:

I. Erforderliche Fachkunde gemäß § 4f Abs. 2 Satz 1 BDSG
§ 4 f Abs. 2 Satz 1 BDSG legt fest, dass zum Beauftragten für den Datenschutz (DSB) nur
bestellt werden darf, wer die erforderliche Fachkunde und Zuverlässigkeit besitzt. Weitere
Ausführungen dazu enthält das Gesetz nicht. Vor dem Hintergrund der gestiegenen Anforderungen an die Funktion des DSB müssen diese mindestens über folgende datenschutzrechtliche und technisch-organisatorische Kenntnisse verfügen:

1. Datenschutzrecht allgemein – unabhängig von der Branche und der Größe der verantwortlichen
Stelle

• Grundkenntnisse zu verfassungsrechtlich garantierten Persönlichkeitsrechten der
Betroffenen und Mitarbeiter der verantwortlichen Stelle und
• umfassende Kenntnisse zum Inhalt und zur rechtlichen Anwendung der für die
verantwortlichen Stellen einschlägigen Regelungen des BDSG, auch technischer
und organisatorischer Art,
• Kenntnisse des Anwendungsbereiches datenschutzrechtlicher und einschlägiger
technischer Vorschriften, der Datenschutzprinzipien und der Datensicherheitsanforderungen
insbesondere nach § 9 BDSG.

2. Branchenspezifisch – abhängig von der Branche, Größe oder IT-Infrastruktur der
verantwortlichen Stelle und der Sensibilität der zu verarbeitenden Daten
• Umfassende Kenntnisse der spezialgesetzlichen datenschutzrelevanten Vorschriften,
die für das eigene Unternehmen relevant sind,
• Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit
(physische Sicherheit, Kryptographie, Netzwerksicherheit, Schadsoftware
und Schutzmaßnahmen, etc.),
Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich
(Düsseldorfer Kreis am 24./25. November 2010)

• betriebswirtschaftliche Grundkompetenz (Personalwirtschaft, Controlling, Finanzwesen,
Vertrieb, Management, Marketing etc.),
• Kenntnisse der technischen und organisatorischen Struktur sowie deren Wechselwirkung
in der zu betreuenden verantwortlichen Stelle (Aufbau- und Ablaufstruktur
bzw. Organisation der verantwortlichen Stelle) und
• Kenntnisse im praktischen Datenschutzmanagement einer verantwortlichen Stelle
(z. B. Durchführung von Kontrollen, Beratung, Strategieentwicklung, Dokumentation,
Verzeichnisse, Logfile-Auswertung, Risikomanagement, Analyse von Sicherheitskonzepten,
Betriebsvereinbarungen, Videoüberwachungen, Zusammenarbeit
mit dem Betriebsrat etc.).

Grundsätzlich müssen die erforderlichen rechtlichen, technischen sowie organisatorischen
Mindestkenntnisse bereits zum Zeitpunkt des Bestellung zum DSB im ausreichenden
Maße vorliegen. Sie können insbesondere auch durch den Besuch geeigneter Aus- und
Fortbildungsveranstaltungen und das Ablegen einer Prüfung erlangt sein. Um eventuell zu
Beginn der Bestellung noch bestehende Informationsdefizite auszugleichen, empfiehlt sich
der Besuch von geeigneten Fortbildungsveranstaltungen. Der Besuch solcher Veranstaltungen
ist auch nach der Bestellung angezeigt, um auf dem aktuellen, erforderlichen Informationsstand zu bleiben, und um sich Kenntnisse über die sich ändernden rechtlichen und technischen Entwicklungen anzueignen.

II. Anforderungen an die Unabhängigkeit der/des Beauftragten gem. § 4f Abs. 3 BDSG
Gemäß § 4f Abs. 3 Satz 2 BDSG sind DSB in Ausübung ihrer Fachkunde auf dem Gebiet
des Datenschutzes weisungsfrei. Um die Unabhängigkeit der DSB zu gewährleisten, sind
eine Reihe betriebsinterner organisatorischer Maßnahmen erforderlich:

1. DSB sind dem Leiter/der Leiterin der verantwortlichen Stelle organisatorisch unmittelbar
zu unterstellen (§ 4f Abs. 3 Satz 1 BDSG). Sie müssen in der Lage sein, ihre
Verpflichtungen ohne lnteressenkonflikte erfüllen zu können. Dieses ist durch entsprechende
Regelungen innerhalb der verantwortlichen Stelle bzw. vertragliche Regelungen
sicher zu stellen und sowohl innerhalb der verantwortlichen Stelle als auch
nach außen hin publik zu machen. Den DSB ist ein unmittelbares Vortragsrecht beim
Leiter der Stelle einzuräumen.

2. DSB dürfen wegen der Erfüllung ihrer Aufgaben in Hinblick auf ihr sonstiges Beschäftigungsverhältnis,auch für den Fall, dass die Bestellung zum DSB widerrufen wird,
nicht benachteiligt werden (vgl. § 4f Abs. 3 Satz 3 ff BDSG).Analog muss bei der Bestellung
von externen DSB der Dienstvertrag so ausgestaltet sein, dass eine unabhängige
Erfüllung der gesetzlichen Aufgaben durch entsprechende Kündigungsfristen,
Zahlungsmodalitäten, Haftungsfreistellungen und Dokumentationspflichten gewährleistet
wird. § 4f Abs. 3 BDSG schränkt insoweit die grundsätzliche Vertragsfreiheit
ein. Empfohlen wird grundsätzlich eine Mindestvertragslaufzeit von 4 Jahren, bei
Erstverträgen wird wegen der Notwendigkeit der Überprüfung der Eignung grundsätzlich
eine Vertragslaufzeit von 1 – 2 Jahren empfohlen.

3. Datenschutzbeauftragte sind zur Verschwiegenheit über die Identität des Betroffenen
sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet,
soweit sie nicht davon durch die Betroffenen befreit wurden. Dies gilt auch gegenüber
der verantwortlichen Stelle und deren Leiter (§ 4f Abs. 4 BDSG).
Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich
(Düsseldorfer Kreis am 24./25. November 2010)

III. Erforderliche Rahmenbedingungen innerhalb der verantwortlichen Stelle zur Fachkunde
und Unabhängigkeit des DSB

1. Die Prüfpflichten der DSB (vgl. § 4g BDSG) setzen voraus, dass ihnen die zur Aufgabenerfüllung
erforderlichen Zutritts- und Einsichtsrechte in alle betrieblichen Bereiche
eingeräumt werden.

2. DSB müssen in alle relevanten betrieblichen Planungs- und Entscheidungsabläufe
eingebunden werden. Sie führen das Verfahrensverzeichnis (§ 4g Abs. 2 BSDG) und
haben hierfür die erforderlichen Unterlagen zu erhalten.

3. Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde haben die
verantwortlichen Stellen den DSB die Teilnahme an Fort- und Weiterbildungsveranstaltungen
zu ermöglichen und deren Kosten zu übernehmen. Bei der Bestellung von
externen DSB kann die Fortbildung Bestandteil der vereinbarten Vergütung sein und
muss nicht zusätzlich erbracht werden.

4. Internen DSB muss die erforderliche Arbeitszeit zur Erfüllung ihrer Aufgaben und zur
Erhaltung ihrer Fachkunde zur Verfügung stehen. Bei Bestellung eines externen DSB
muss eine bedarfsgerechte Leistungserbringung gewährleistet sein. Sie muss in angemessenem
Umfang auch in der beauftragenden verantwortlichen Stelle selbst erbracht
werden. Ein angemessenes Zeitbudget sollte konkret vereinbart und vertraglich
festgelegt sein.

5. Die verantwortlichen Stellen haben DSB bei der Erfüllung ihrer Aufgaben insbesondere
durch die zur Verfügung Stellung von Personal, Räumen, Einrichtung, Geräten und
Mitteln zu unterstützen (§ 4f Abs. 5 BDSG).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Back To Top