skip to Main Content
+49 (700) 34778539 info@firstlex.de Login
[layerslider id="6"]

Der betriebliche Datenschutzbeauftragte

§§ 4 f, 4 g regeln die Einsetzung des betrieblichen DSB. Ein privates Unternehmen, das den DSB nicht rechtzeitig einstellt oder verpflichtet, riskiert eine Geldbuße in Höhe bis zu fünfundzwanzigtausend Euro gem. § 43 III.

Anforderungen an den Betrieb

Ein DSB ist schriftlich zu bestellen, wenn mindestens zehn AN ständig mit automatisierter Verarbeitung beschäftigt sind. Dies muss spätestens einen Monat nach Beginn der Tätigkeit des Unternehmens bzw. nach Beginn des Eintritts der Voraussetzungen geschehen.
Bei manueller Verarbeitung müssen mindestens 20 AN ständig damit beschäftigt sein. Bei jeder Verarbeitungsform muss es sich um personenbezogene Daten handeln.
Bei automatisierter Verarbeitung muss mindestens eine der Verarbeitungsphasen berührt sein. Wesentliche Verfahrensschritte müssen mit Hilfe programmgesteuerter Geräte ablaufen.
Beispiel: In Betracht kommen EDV-Anlagen und -Terminals, Speicherschreibma-schinen, EDV-unterstützte Kassensysteme und ähnliche.
Ständig beschäftigt ist ein AN dann mit der Datenverarbeitung, wenn er an einem der fraglichen Geräte nicht nur vorübergehend tätig ist.
Wichtig ist, dass gem. § 4 f I S. 6 i.V.m. § 4 d V unabhängig von der Zahl der mit DV beschäftigten AN ein Datenschutzbeauftragter zu bestellen ist, wenn:
–    automatisierte Verarbeitungen vorliegen
–    die eine Vorabkontrolle voraussetzen
    Eine Vorabkontrolle meint, dass schon vor Beginn irgendeiner Verarbeitung zu prüfen ist, ob die Verarbeitung zulässig ist, weil sie besondere Risiken für die Betroffenen mit sich bringt.
    Davon ist stets auszugehen bei folgenden Verarbeitungsobjekten:
–    sensible Daten gem. § 3 IX
–    Daten, die zur Bewertung des Betroffenen und seiner Persönlichkeit, seiner Fähigkeiten, seiner Leistung und seines Verhaltens bestimmt sind.
    Gerade im Arbeitsverhältnis fallen naturgemäß jede Menge solcher Daten an. Das führt an sich dazu, dass bei jedem Unternehmen, dass automatisiert Daten verarbeitet, schon deshalb ein Datenschutzbeauftragter zwingend bestellt werden muss, weil dort Mitarbeiterdaten in der geschilderten Weise verarbeitet werden.
    Allerdings hat die Sache auch einen Haken: Als Einschränkung gilt nämlich, dass eine Vorabkontrolle dann nicht notwendig ist, wenn die Daten
–    aufgrund gesetzlicher Verpflichtung
–    aufgrund Einwilligung oder
–    aufgrund eines Vertragsverhältnisses erhoben oder verarbeitet werden.
Das heißt im Ergebnis, dass nur solche Datenverarbeitungen zu einer Vorabkontrolle und damit zu einem jedenfalls zu bestellenden Datenschutzbeauftragten führen, die zwar das Verhalten, die Leistung etc. bewerten sollen, aber nicht aufgrund des Arbeitsverhältnisses bzw. ohne Einwilligung. Das dürfte im Ergebnis relativ selten der Fall sein. Dadurch wird also die Wirkung der Vorabkontrolle stark wieder eingeschränkt.
Denkbar wäre sie z.B. in Fällen, in denen die Ergebnisse von Assessments verarbeitet werden, ohne dass die Bewerber ausdrücklich und schriftlich eingewilligt haben.

Anforderungen an den DSB
Der DSB muss Fachkunde und Zuverlässigkeit aufweisen.
Fachkunde ist gegeben, wenn der Bewerber Kenntnisse des Datenschutzrechts, der betriebswirtschaftlichen Zusammenhänge des Betriebes und der Datenverarbeitung aufweist. Es wird weitgehend gebilligt, wenn der DSB zu Beginn seiner Tätigkeit noch nicht alle diese Anforderungen erfüllt. Er muss sie jedoch unverzüglich anstreben und sich entsprechend fortbilden.  
Zuverlässigkeit ist gegeben, wenn der DSB regelmäßig und im Kontakt mit dem Betrieb arbeitet und keine sogenannte Inkompatibilität vorliegt. Sie liegt vor, wenn Personen zum DSB bestellt werden, die aufgrund ihrer Position im Betrieb sich selbst kontrollieren würden.
Beispiel: Inhaber, Vorstand, Geschäftsführer, Leiter der EDV, Personalleiter und ähnliche. Fragwürdig ist auch  wegen ihrer Nähe zum AG die Bestellung leitender Angestellter zum DSB.
Der DSB kann intern ausgewählt sein, also Mitarbeiter des Betriebes sein. Dabei kann er auch, je nach Größe des Betriebes, neben seiner DSB-Funktion noch andere Aufgaben erfüllen.
Er kann aber auch extern ausgewählt sein und dabei sogar für mehrere Unternehmen nebeneinander diese Funktion erfüllen.
Der DSB muss eine natürliche Person sein, so dass gerade bei externen DSB nicht die anbietende Firma, sondern ein entsprechender Mitarbeiter Vertragssubjekt sein muss.

Rechte und Pflichten des DSB

Der DSB ist weisungsfrei und hat die in § 4 g bezeichneten Rechte und Pflichten.
Pflichten: Der DSB hat Überwachungspflichten und Informationspflichten. Zu überwachen hat er die Einhaltung der technischen und organisatorischen Anforderungen des Datenschutzes wie z.B. die Datensicherungsregeln gem. § 9, die unbeeinträchtigte Ausübung der Rechte von Betroffenen und des Betriebsrats in Datenschutzfragen, die sich aus Gesetzen und speziell aus Betriebsvereinba-rungen ergeben. Hierher gehört auch das Akteneinsichtsrecht aus § 83 BetrVG (s.o.).
Zu informieren hat er das Personal über datenschutzrechtliche Erfordernisse im speziellen Umfeld.
Rechte: Der DSB hat Informations- und Einbeziehungsrechte. Er darf sich informieren über die Datenflüsse mit Angaben über Empfänger, Zwecke, Art der Daten usw.. Außerdem kann er die Aufsichtsbehörde einschalten, die dann ihrerseits selbst ermitteln darf, § 4 g. Dies wird aber in der Praxis selten der Fall sein, weil der DSB sein Verhältnis zum AG dadurch erheblich belasten dürfte.
Der DSB hat insofern eine äußerst prekäre Rolle, wenn er im Betrieb beschäftigt ist. Er muss dann seine eigentliche Aufgabe als Angestellter ebenso weisungsgebunden durchführen wie seine Kollegen, ist aber als DSB berechtigt, ir-gendwelche Anordnungen seines AG zu ignorieren, im Gegenteil, er kann beanspruchen, dass bestimmte Bedingungen für eine reibungslose Ausübung seiner Funktion erfüllt werden. Daraus ergeben sich leicht Konflikte oder der Eindruck von Repressalien.
Um sie zu gering zu halten, legt § 4 f ein Benachteiligungsverbot fest. Das heißt, der DSB darf im Bereich seiner Angestelltenfunktion nicht wegen seiner DSB-Funktion benachteiligt werden. Weil ein solcher Zusammenhang schwer zu beweisen sein wird, ist es wünschenswert, die Beweislast hierfür nicht dem DSB, sondern dem Betrieb aufzuerlegen.

Einfluss des Betriebsrats
Die Bestellung eines DSB kann durch den Betriebsrat gem. § 80 I Nr. 1 BetrVG überwacht, seine Zustimmung zur Einstellung des DSB gem. § 99 I, II Nr. 1 BetrVG verweigert werden. Dies gilt allerdings nur für den Fall, dass ein DSB neu eingestellt wird oder versetzt wird iSd 95 III BetrVG, also intern im Betrieb mitarbeitet.
Bei der Bestellung eines externen DSB hat der Betriebsrat keine Chance auf irgendeine Einflussnahme, weil das BetrVG nicht anwendbar ist, denn der externe DSB ist nicht Arbeitnehmer, sondern Selbständiger. Immerhin kann sie aber bei Bedenken die Aufsichtsbehörde informieren, die ihrerseits gem. § 38 V die Ab-berufung des DSB verlangen kann, wenn er Fachkunde oder Zuverlässigkeit vermissen lässt.

Kündigungsschutz für betrieblichen DSB ?
Zwar gab es in jüngster Zeit einige Entscheidungen, die sich indirekt mit diesem Thema befasst haben. Dennoch muss man nach wie vor einräumen, dass durch die Rechtsprechung bisher nichtgeklärt ist, ob und inwieweit ein besonderer Kündigungsschutz besteht. Daher bleibt es vorläufig dabei, dass sich lediglich die streitenden  Ansichten der Literatur gegenüberstehen. Danach gibt es zwei Hauptpositionen:
Einerseits wird vertreten, dass die Widerrufsmöglichkeit des § 4 f III die Kündigungsmöglichkeiten einschränkten. Andererseits wird behauptet, die Akte der Bestellung und des Widerrufes der Bestellung hätten mit dem Kündigungsrecht nichts zu tun.

Überwachung des Betriebsrats durch den DSB ?
Äußerst umstritten und weder gesetzlich noch durch die Rechtsprechung bislang endgültig geregelt war die Frage, ob sich die Funktionen des DSB auch auf die datenverarbeitende Tätigkeit des Betriebsrates bezieht. Dagegen spricht, dass der DSB als "verlängerter Arm" des AG angesehen werden kann, der Betriebsrat aber gerade nicht irgendwelchen Kontrollen oder Weisungen des AG ausgesetzt werden darf. Dafür spricht, dass ansonsten ein Bereich der Datenverarbeitung ohne die vom Gesetzgeber vorgesehene Kontrolle verbleiben würde. Der letztgenannten Auffassung hatte sich zunächst das LAG Berlin angeschlossen. Es entschied, dass die Pflichten des Unternehmens auch den (Gesamt)betriebsrat treffen.
Daraus folge, dass der Datenschutzbeauftragte sämtliche Kontrollbefugnisse auch gegenüber dem Betriebsrats ausüben müsse, da dieser letztlich auch Teil der verantwortlichen Stelle iSd § 3 VII BDSG sei.
Demgegenüber entschied sodann das Bundesarbeitsgericht genau umgekehrt. Es stellte fest, dass der betriebliche Datenschutzbeauftragte keine Kontrollbefugnisse gegenüber dem (Gesamt)betriebsrat innehabe, da er kein völlig neutrales Organ darstelle, während die Unabhängigkeit des Betriebsrates gesetzlich festgelegt sei.

Schreibe einen Kommentar

Back To Top