Michael Wächter *Hat sich Aufgabe und Stellung des Datenschutzbeauftragten im Unternehmen durch das "Neue Bundesdatenschutzgesetz 2001" verändert?JurPC Web-Dok. 22/2002, Abs. 1 - 84 |
I. Neues Bundesdatenschutzgesetz 2001 für Unternehmen |
| Bevor auf die einzelnen Themenbereiche der Aufgaben und Stellung des Datenschutzbeauftragten im Unternehmen (DSB) eingegangen werden kann, ist es erforderlich, auf Diskussionen und Tendenzen einzugehen, welche die Anwendung und Implementierung der datenschutzgesetzlichen Vorgaben beeinflussen können. | JurPC Web-Dok. 22/2002, Abs. 1 |
| Aufgrund der eingehenden Diskussion zum Persönlichkeits- und Verbraucherschutzrecht im Internet und im E-Commerce treten zunehmend Unsicherheiten bei der Rechtsgutsfrage des Bundesdatenschutzgesetzes auf. Ebenso bei der Festlegung der Zielsetzung der BDSG-Novellierung, als auch im Hinblick auf weitere BDSG-Novellierungsschritte. Dies hängt im wesentlichen mit Tendenzen einer Ökonomisierung des Rechtsgebiets Datenschutz zusammen. | Abs. 2 |
| Die Beantwortung dieser Fragestellungen ist wesentlich für die Darstellung und Bewertung der zu behandelnden gesetzlichen Detailfragen zu Novellierungsgesichtspunkten des Bundesdatenschutzgesetzes, welche die Aufgabe und Stellung des DSB betreffen. | Abs. 3 |
1. Dynamische Diskussion der Rechtsgutsbetrachtung nach § 1 Abs.1 BDSG 2001 |
| Dreh- und Angelpunkt für die Anwendung des Datenschutzrechts ist die Definition seines Rechtsguts. An ihm orientiert sich die rechtliche Bewertung der datenschutzgesetzlichen Zulässigkeiten mit seinen vielen unbestimmten Begriffen und Abwägungserfordernissen(1). | Abs. 4 |
| Das Rechtsgut des Bundesdatenschutzgesetzes in § 1 Abs.1 BDSG 1990 hat der Gesetzgeber in der Novelle textlich unverändert belassen. Es bleibt Zweck des Bundesdatenschutzgesetzes, den einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. | Abs. 5 |
| Ausgangspunkt und Regelungsgegenstand des Datenschutzrechts ist damit der "Schutz der Persönlichkeitssphäre bei der Datenverarbeitung" und die dazu erforderlichen Maßnahmen, diesbezüglichen Beeinträchtigungen entgegenzuwirken(2). | Abs. 6 |
| Mit dem Begriff der "schutzwürdigen Interessen der Betroffenen", der im Bundesdatenschutzgesetz an verschiedenen Stellen wiederkehrt, wird auf die Notwendigkeit einer Güter- und Interessenabwägung zwischen speichernder/datenverarbeitenden bzw. jetzt verantwortlichen Stelle und den Betroffenen hingewiesen und es wird nach dem Verhältnismäßigkeitsprinzip "die Gemeinschaftsbezogenheit des Betroffenen und des datenverarbeitenden Unternehmen" miteinbezogen. | Abs. 7 |
| Ebenso wird dadurch die "Relativität der Privatsphäre" betont, welche verdeutlicht, dass das zu schützende "Persönlichkeitsrecht" im Datenschutz kein "Absolutum" ist, sondern in jedem Einzelfall neu festzulegen ist. | Abs. 8 |
| Neuerdings ergibt sich trotz dieser eindeutigen Positionierung des Gesetzgebers, die bis heute auf einem breiten gesellschaftlichen Konsens fußt, eine Meinungsströmung, die an den Datenschutz und das Datenschutzrecht unter dem Aspekt eines "Herrschaftsrechts an Daten"(3) herangeht, um Bedürfnisse des heutigen Wirtschaftslebens zu berücksichtigen. Das ist diskutierbar, einer positiven Entwicklung dieses Rechtsgebiets aus Sicht des Verfassers aber sicherlich nicht zuträglich. | Abs. 9 |
| Diese Strömung ist nicht konform mit dem gesetzgeberischen Regelungsmodell des Bundesdatenschutzgesetzes, hängt aber damit zusammen, dass durch die massenhafte Datenerhebung, Datenverarbeitung und Datennutzung durch Nutzung des Internet und schrittweiser Etablierung des E-Commerce bei Unternehmen personenbezogene Daten vermehrt unter dem Blickwinkel einer "Ökonomisierung der Nutzung und Verwertung personenbezogener Daten" betrachtet wird(4). Dem steht der neue Regelungsansatz der Datenvermeidung und Datensparsamkeit in § 3 a BDSG 2001 allerdings diametral entgegen. | Abs. 10 |
2. Ambivalente Zielsetzung der BDSG-Novellierung 2001 |
| Für die Beantwortung der Fragestellung, inwieweit sich die Aufgabenstellung des DSB durch die Novellierung des Bundesdatenschutzgesetzes 2001 verändert, ist neben den gesetzlichen Detailregelungen zu klären, welche Zielsetzung der Gesetzgeber mit der Novellierung verfolgt hat. | Abs. 11 |
| Vordergründig betrifft sie Anpassungserfordernisse der EU-Datenschutzrichtlinie. Allerdings wird das Bundesdatenschutzgesetz um wichtige Regelungselemente eines idealtypischen modernen Datenschutzes erweitert. Hierzu gehören der Grundsatz der Datenvermeidung wie auch die Einführung des freiwilligen Datenschutzaudits. Das Datenschutzrecht versucht damit, problembezogene und risikoadäquate Antworten auf neue Fragestellungen zu geben. Damit steht die Anwendung des novellierten Bundesdatenschutzgesetz "vor einem Realitätsschock". | Abs. 12 |
| Für den Bereich des E-Commerce, bei welchem personenbezogene Daten zum Handelsgut werden, kann Datenschutz - und dies ist eine wesentliche Veränderung der bundesdeutschen Sichtsweise des Datenschutzes "als Recht auf informationelle Selbstbestimmung" - nicht mehr "nur" Grundrechtsschutz sein. Datenverarbeitung ist kein singuläres Phänomen (mehr), sondern eine Massenerscheinung. Die Ausdehnung dieser Betrachtung als Grundrechtsschutz in die Breite ist insofern zumindest mit einer Abflachung der Gewährleistungstiefe und -schärfe dieses Rechts verknüpft. | Abs. 13 |
| Für den privaten Bereich soll der Schutz der Persönlichkeit dennoch uneingeschränkt auch die informationstechnischen Regeln zwischen Privatrechtspersonen bestimmen. Die zentrale Aufgabe, die ordnungsgemäße Anwendung der Datenverarbeitung zu überwachen, ist damit faktisch weitgehend unerfüllbar. In dieser Situation muss der DSB dennoch die Frage beantworten, auf welche Weise Anspruchs- und Rechtspositionen für Betroffene im Rahmen seiner Aufgabenstellung geschützt und sichergestellt werden können. | Abs. 14 |
3. Diskussion weiterer BDSG-Novellierungsschritte |
| Die Frage, ob weitere Novellierungsschritte des Bundesdatenschutzgesetzes in den nächsten Jahren als gesetzgeberische Initiative erfolgen werden, hängt sehr weitgehend vom rechtspolitischen, aber auch informationstechnologischen Umfeld ab. Dabei stehen beide Themenstellungen wiederum in Abhängigkeit von "übergreifenden Informationsinfrastrukturen". Hierzu gehören Ordnungsrahmen der Informationsnetze und Dienste, aber auch Ordnungsrahmen einer globalen Infrastruktur(5). | Abs. 15 |
| Die Reform des Datenschutzes war in zwei Stufen geplant(6), wobei die erste Stufe nun mit Inkrafttreten des neuen BDSG im Mai 2001 realisiert wurde. Ob es nach der Novellierung 2001 in absehbarer Zeit zu einem zweiten Novellierungsschritt kommt, erscheint allerdings aufgrund der bisherigen Erfahrungen - auch angesichts der bevorstehenden Bundestagswahlen 2002 - eher als unwahrscheinlich. | Abs. 16 |
| Vorausgegangen ist dem jetzt novellierten Bundesdatenschutzgesetz eine mehrjährige Debatte über Novellierungserfordernisse und weitere Handlungsbedarfe für den Gesetzgeber(7). Dies zeigt die Langwierigkeit gesetzgeberischer Projekte. Es kommt hinzu, dass Bundesregierung und Koalitionsfraktion bei der weiteren Reform des Datenschutzrechts neue Wege gehen und die Reform als Pilotprojekt für eine "e-Demokratie" in Form einer elektronisch gestützten Bürgerbeteiligung nutzen möchten(8). | Abs. 17 |
| Grundsätzlich sind weitere Novellierungsschritte wünschenswert. Dies vor allem unter dem Aspekt, dass Datenschutz im Kontext der ständigen Erweiterung technischer und damit menschlicher Handlungsmöglichkeiten steht. Durch diese Erweiterung von Handlungsmöglichkeiten erweitert sich auch der Verantwortungsbereich des DSB, der nach § 4 g Abs.1 S.1 BDSG 2001 "auf die Einhaltung des Datenschutzes hinwirken muss". Dazu sind Regelungsvorgaben im Datenschutz hilfreich. | Abs. 18 |
| Dies vor allem auch deshalb, weil die Unterscheidung "natürlicher Datenverarbeitung" im engen Kontext menschlicher Handlungen (traditioneller Datenschutz des BDSG 1977 und des BDSG 1990) und diejenige "künstlicher Datenverarbeitung" im Kontext des Internets und des Cyberspace zunehmend neue Fragen aufwirft. Ein erster Ansatzpunkt findet sich im neu geschaffenen § 6 a BDSG 2001. Hierzu gehören z.B. automatisierte Scoring Systeme, die z.B. die Kreditwürdigkeit eines Anwenders bzw. Betroffenen (von diesem unbemerkt) überprüfen und deren Zulässigkeit ggf. nach § 6 a Abs.2 Nr.2 S.2 BDSG 2001 insofern möglich erscheint, wenn der Betroffene die Möglichkeit erhält, seinen Standpunkt geltend zu machen. | Abs. 19 |
| In diesem Kontext wird Datenschutzrecht zum Cyberlaw(9). Die traditionelle Frage des bereichsspezifischen Datenschutzrechts wird ergänzt durch das Erfordernis eines qualitativ neuartigen Datenschutzes, der im wesentlichen auch technisch sichergestellt werden muss. | Abs. 20 |
II. Aufgabe und Stellung des Datenschutzbeauftragten im Unternehmen nach BDSG 1990 |
1. Aufgabe des Datenschutzbeauftragten |
Der DSB hat nach § 37 Abs.1 BDSG 1990 die Ausführung des Bundesdatenschutzgesetzes sowie anderer Vorschriften über den Datenschutz sicherzustellen. Er hat insbesondere
| Abs. 21 |
| Dadurch sind die Aufgaben des DSB gesetzlich präzise beschrieben. | Abs. 22 |
| Allerdings traten schon beim BDSG 1977 im Zusammenhang mit diesen Tätigkeiten des DSB immer wieder Meinungsverschiedenheiten zur diesbezüglichen Funktion des DSB auf. Vehement wurden und werden die Tätigkeiten des DSB insbesondere im Spannungsfeld zu den Aufgabenstellungen des Betriebsrats beim Datenschutz kritisch diskutiert(10). | Abs. 23 |
| Zugespitzt ist diese Fragestellung im klassischen Streitpunkt: Darf bzw. muss der Betriebsrat vom DSB auf das Datengeheimnis verpflichtet werden? Das Bundesarbeitsgericht hat dies verneint und entschieden(11), dass der DSB - entgegen § 5 BDSG 1990 - dazu nicht befugt sei, um die Rechte der Arbeitnehmervertretung nicht einzuschränken. Damit hat das Bundesarbeitsgerichts die Thematik aus der Perspektive des Betriebsverfassungsrechts und - unter Nichtbeachtung von § 5 BDSG 1990 - zu Lasten der Aufgabenstellung des DSB gelöst. | Abs. 24 |
| Diese sensible Aufgabenüberschneidung zwischen DSB und Betriebsrat(12) verdeutlicht die generelle Frage der Kompetenzabgrenzung des DSB, obwohl er nach § 37 Abs.1 S.1 BDSG 1990 verpflichtet ist, die Ausführung des Bundesdatenschutzgesetzes sowie anderer Vorschriften über den Datenschutz "sicherzustellen". | Abs. 25 |
| Es wird auch die Auffassung vertreten, dass der DSB als ein vom Arbeitgeber abhängiges Organ den Datenschutz im Betrieb als organisatorischer und sozialer Einheit per se nicht sicherstellen könne. Deshalb wird diskutiert, Betriebsräte als DSB einzusetzen. Dem steht allerdings wiederum entgegen, dass Betriebsräte und DSB unterschiedlich gelagerte gesetzliche Aufträge erfüllen: einerseits nach Betriebsverfassungsgesetz und andererseits nach Bundesdatenschutzgesetz. Auch unterliegt die Bestellung des DSB nicht der Mitbestimmung des Betriebsrats, auch wenn der Betriebsrat nach § 99 BetrVG bei dessen Einstellung und Versetzung als Arbeitnehmer mitwirkt(13). | Abs. 26 |
2. Stellung des Datenschutzbeauftragten |
| Der DSB ist der Geschäftsführung der speichernden Stelle unmittelbar zu unterstellen. Zur Sicherstellung seiner neutralen Funktion ist er bei der Anwendung seiner Fachkunde auf dem Gebiet des Datenschutzes nach gesetzgeberischem Willen weisungsfrei und darf bei der Erfüllung seiner Aufgaben nicht benachteiligt werden. Die Vorschrift des § 28 Abs. 3 S. 2 BDSG 1977 ist im Wortlaut in den § 36 Abs.3 S.2 BDSG 1990 übernommen worden und wurde mit Satz 3 wie folgt erweitert: "Die Bestellung zum Beauftragten für den Datenschutz kann auf Verlangen der Aufsichtsbehörde oder nur in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuchs widerrufen werden." | Abs. 27 |
| Zusätzlich hat der Gesetzgeber in § 36 Abs. 4 BDSG 1990 ein spezifisches Amtsgeheimnis für den DSB geschaffen; danach ist der DSB zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird. | Abs. 28 |
| Insbesondere sein funktionsbezogener Kündigungsschutz - Kündigung nur aus "wichtigem Grund" (§ 626 BGB) - soll dem DSB eine gesetzlich definierte unabhängige Stellung zur Vertretung der Interessen der Betroffenen geben. | Abs. 29 |
| Betriebsrat wie auch DSB unterliegen einem statusbezogenem Diskriminierungs- und Benachteiligungsverbot. Danach soll Diskriminierung wegen der persönlichen Stellung und Aufgabenstellung als Betriebsrat bzw. DSB durch Sonderkündigungsschutzvorschriften (§§ 78, 103 BetrVG und § 15 KSchG für Betriebsratsmitglieder und § 36 Abs.3 S.4 BDSG 1990 für DSBs) ausgeschlossen werden. | Abs. 30 |
| Bei § 36 Abs.3 BDSG 1990 handelt es sich allerdings um ein sog. einfaches Benachteiligungsverbot, weil es sich in einer Regelung zum Verbot erschöpft und die Frage des Kündigungsschutzes nicht abschließend regelt(14), weil der DSB den Nachweis führen muss, dass er z.B. gerade wegen der Erfüllung seiner gesetzlichen Aufgaben gekündigt wurde. | Abs. 31 |
III. Aufgabe und Stellung des Datenschutzbeauftragten im Unternehmen nach BDSG 2001 |
1. Aufgabe des Datenschutzbeauftragten |
a.) Traditionelles Aufgabengebiet |
Der DSB hat nunmehr nach § 4 g Abs.1 S.1 BDSG 2001 auf die Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz "hinzuwirken". Er hat insbesondere
| Abs. 32 |
| Die Regelung, dass der DSB bei der Auswahl der bei der Datenverarbeitung tätigen Personen beratend mitzuwirken hat, wurde im BDSG 2001 nicht mehr aufgenommen. Dies macht Sinn, weil diese Vorschrift in der Praxis nicht zur Anwendung kam. | Abs. 33 |
b.) Neues Aufgabengebiet der Vorabkontrolle |
| Eine weitere Aufgabe des Datenschutzbeauftragten findet sich in § 4 d Abs.5 BDSG 2001. Für die Vorabkontrolle ist der DSB nach § 4 d Abs.6 S.1 BDSG 2001 zuständig und hat diese nach Empfang der Übersicht über die in § 4 e S.1 BDSG 2001 genannten Inhalte durchzuführen. | Abs. 34 |
| Wenn bei Bestellung eines DSB die Meldepflicht nach § 4 d Abs.2 BDSG 2001 entfällt, hat der DSB die in § 4 e S. 1 Nr. 1 bis 8 BDSG 20001 vorgesehenen Inhalte der Meldepflicht nach § 4 g Abs.2 S.2 auf Antrag jedermann in geeigneter Weise verfügbar zu machen. | Abs. 35 |
| Es handelt sich hierbei um die Name/Firma der verantwortlichen Stelle, die Inhaber/Vorstände/Geschäftsführer des Unternehmens sowie die mit der Leitung der Datenverarbeitung beauftragten Personen, die Anschrift der verantwortlichen Stelle, die Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung, die Beschreibung der betroffenen Personen und der diesbezüglichen Datengruppen/Datenkategorien, Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können, Regelfristen für die Löschung der Daten und eine geplante Datenübermittlung in Drittstaaten. | Abs. 36 |
| Diese sehr aufwendige und anspruchsvolle Aufgabenstellung verdeutlicht, dass beim Regelfall der Bestellung eines DSB, wie vom Gesetzgeber gewünscht, nimmt man den Datenschutz ernst, es sich beim DSB regelmäßig nur um einen "Insider des Unternehmens" handeln kann, der die Verhältnisse genauestens kennt bzw. Zugriff auf die einzelnen Fachbereiche und Verantwortlichen für die Datenverarbeitung hat. | Abs. 37 |
| Die Vorschrift zur Vorabkontrolle in § 4 d Abs. 5 BDSG 2001 resultiert aus der Vorgabe des Art 20 Abs.1 EU-Datenschutzrichtlinie, in welcher die Mitgliedstaaten festgelegt haben, welche Verarbeitungen spezifische Risiken für die Rechte und Freiheiten der Personen beinhalten können (vgl. § 4 d Abs.5 S. 2 Nr. 1 BDSG 2001 i.V.m. § 3 Abs.9 BDSG 2001). | Abs. 38 |
| Nach § 4 d Abs.5 S.2 Nr.2 BDSG 2001 betrifft die Vorabkontrolle auch eine Verarbeitung, die dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Leistung oder seines Verhaltens. Interessanterweise wird dem DSB damit eine Aufgabe eingeräumt, die bezogenen auf Arbeitnehmer bislang nach § 87 Abs.1 Nr.6 BetrVG ein klassisches Feld war, welches der Betriebsrat unter seiner alleinigen Federführung hatte. Hier ist ein neues Konfliktfeld der Abgrenzung der Aufgabenstellung von DSB und Betriebsrat vorprogrammiert. | Abs. 39 |
| Keine Aussage macht das BDSG 2001 wie auch die EU-Datenschutzrichtlinie dazu, nach welchen Kriterien Vorabkontrollen inhaltlich vorzunehmen sind: Geht es übergeifend um die Einhaltung der Grundsätze in Bezug auf die Qualität der Daten nach Art. 6 EU-Datenschutzrichtlinie bzw. perspektivisch um das Datenschutzaudit nach § 9 a BDSG 2001? Oder: Die Prüfung der Rechtmäßigkeit bzw. der Zulässigkeiten der personenbezogenen Datenverarbeitung nach §§ 4, 4 a, 4 b, 4 c, 27 ff. BDSG 2001? Oder: Die Beachtung des speziellen Verarbeitungsverbots bei automatisierten Einzelentscheidungen nach § 6 a BDSG 2001? Oder: Die Sicherheit der Verarbeitung nach § 9 BDSG 2001? | Abs. 40 |
| Die Vorabkontrolle als "prior checking" ist eine qualitativ neuartige Aufgabenstellung. Sie bietet die Möglichkeit für datenschutzfreundliche Gestaltungen, ohne weitergehende gesetzliche Verpflichtungen zur Risikoanalyse. In dieser technikorientierten Vorschrift tritt eine Tendenz zu Tage, die verhaltensbestimmende Regelungen des Datenschutzrechts ergänzend durch Technikvorgaben sicherzustellen. | Abs. 41 |
| Dies bedeutet, dass datenschutzrechtliche materielle Anforderungen etwa im Hinblick auf deren Erforderlichkeit und Zulässigkeiten vor dem Hintergrund der Einsatzbedingungen der Technik gesehen werden. Hierzu dienen die Vorgaben der Datenvermeidung und der Datensparsamkeit nach § 3 a BDSG 2001. Diese Vorschrift konkretisiert den Grundsatz der Verhältnismäßigkeit für die technische Gestaltung von Systemen (vgl. auch § 3 Abs. 4 Teledienstedatenschutzgesetz) und führt "Systemstrukturen" zur Vermeidung von Gefahren für das Recht auf informationelle Selbstbestimmung ein. Verpflichtungen zur Datensicherung, zu Datenlöschungen bzw. zur Anonymisierung von Daten kommen dann bei der Beurteilung der personenbezogenen Datenverarbeitung bei der Vorabkontrolle hinzu. | Abs. 42 |
c.) Nachwirkende Bedeutung der EU-Datenschutzrichtlinie |
| Trotz der expliziten Novellierungsintention des Datenschutzgesetzgebers, das Bundesdatenschutzgesetz an die Erfordernisse der EU-Datenschutzrichtlinie anzupassen, bleibt die Frage, inwiefern die EU-Datenschutzrichtlinie die Aufgabe des DSB neben den Vorgaben des Bundesdatenschutzgesetzes nachhaltig beeinflussen kann und ggf. abweichende Regelungsvorgaben für den DSB beinhaltet. | Abs. 43 |
| In Art. 19 Abs.1 EU-Datenschutzrichtlinie ist beschrieben, was als Inhalt der Meldung an die Kontrollstelle verlangt wird. Hier geht es um die Dokumentation von Verfahren. Jede Tabelle im System könnte hier als Datei aufgefasst werden. Die Existenz der Tabellen verletzt indes keine Persönlichkeitsrechte. Erst ihre Verknüpfung und Auswertung führt zu personenbezogenen relevanten Aussagen. Verknüpfung und Auswertung sind aber Gegenstand von Verfahren. | Abs. 44 |
| Der Verzicht auf Dateimeldungen ist in Landesdatenschutzgesetzen bereits realisiert. § 6 des Hessischen Landesdatenschutzgesetzes ist mit "Verfahrensverzeichnis" überschrieben und in dem keine Dateien zu benennen sind. | Abs. 45 |
| Dies verdeutlicht, dass auch Rechtsentwicklungen, die parallel zum Bundesdatenschutzgesetz verlaufen, nach wie vor von Relevanz sind, möchte der DSB den Datenschutz verbessern bzw. auf seine Verbesserung hinwirken. Dies ist insbesondere dann der Fall, wenn sie Fortschreibungen des Datenschutzrechts aufgreifen, die Gegenstand der EU-Datenschutzrichtlinie sind. | Abs. 46 |
| Ungeachtet dessen ist jedoch wichtig zu beachten: Nach der BDSG-Novellierung 2001 wird der DSB als "Anwalt der Betroffenen zur Sicherstellung von deren Rechten und Freiheiten" eingesetzt, wobei als Betroffene nicht nur und nicht in erster Linie Arbeitnehmer, sondern ebenfalls Kunden, Lieferanten, Kooperationspartner, u.a.m. zu sehen sind. | Abs. 47 |
| Damit ergibt sich zwischen dem deutschen und europäischen Recht ein grundlegender Unterschied. Im BDSG 1990 hieß es noch, dass der DSB die Ausführung des Gesetzes sicherstellen soll. Bürokratischer Gesetzesvollzug garantiert aber noch lange keinen Betroffenenschutz. Gerade dieser ist aber in der EU-Datenschutzrichtlinie zum Ziel gesetzt worden. Damit sind die Aufgaben des Datenschutzbeauftragten in der EU-Datenschutzrichtlinie anders definiert als im BDSG 1990 und BDSG 2001. | Abs. 48 |
2. Stellung des Datenschutzbeauftragten |
| Der DSB ist nach § 4 f Abs. 1 S.3 BDSG 2001 zu bestellen, es sei denn die nicht-öffentliche Stelle hat höchstens vier Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt. Nach § 4 d Abs.2 BDSG 2001 entfällt die Meldepflicht, wenn die verantwortliche Stelle einen DSB bestellt hat. Die Meldepflicht entfällt nach § 4 Abs.3 BDSG 2001 ferner, wenn sie höchstens vier Mitarbeiter mit der Datenverarbeitung beschäftigt und entweder eine Einwilligung der Betroffenen vorliegt oder die Datenverarbeitung für eigene Zwecke der verantwortlichen Stelle im Rahmen von Vertragsverhältnissen erfolgt. Damit wurde mit dem BDSG 2001 die Bestellung des DSB als gesetzlicher Regelfall eingeführt. | Abs. 49 |
| Nach § 4 f Abs. 2 S. 2 BDSG 2001 ist eine natürliche Person innerhalb der verantwortlichen Stelle gemeint (interner DSB), wobei allerdings nach wie vor nach § 4 f Abs.2 S.2 BDSG 2001 (als Ausnahme) eine Person außerhalb der verantwortlichen Stelle betraut werden kann. | Abs. 50 |
| Nach der Regelung des § 4 f Abs.3 S.4 BDSG 2001 kann die Bestellung zum DSB auf Verlangen in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuchs, bei den nicht-öffentlichen Stellen auch auf Verlangen der Aufsichtsbehörde widerrufen werden. | Abs. 51 |
| Bei der Regelung des Widerrufs hat man jetzt den Begriff "nur" in entsprechender Anwendung des § 626 BGB gestrichen, um zu betonen, dass es sich bei dieser Vorschrift lediglich um einen "funktionalen Kündigungsschutz" handelt(15). | Abs. 52 |
| Damit wird betont, dass DSBs, soweit es nicht ihre Stellung und/oder ihre Aufgabe betrifft denselben Risiken ausgesetzt sind wie andere Arbeitnehmer, z.B. im Hinblick auf betriebsbedingte Kündigungen. Damit sind DSBs - im übrigen ebenso wie Betriebsräte - im Rahmen einer globalisierten Wirtschaftsordnung einer intensiven gesellschaftspolitischen Kosten-Nutzen-Betrachtung ausgesetzt, was einerseits die ideologische Frontstellung beider wichtigen Funktionen auflöst, Meinungsverschiedenheiten über deren Aufgabenstellungen aber allenfalls "abmildert"(16). | Abs. 53 |
IV. Freiwilliges Datenschutzaudit: Eingriff in die Aufgabe des Datenschutzbeauftragten im Unternehmen? |
| Das Datenschutzaudit wurde diskutiert als Eingriff in die Aufgabe des DSB. So befürchtete der Bundesrat, dass durch ein Audit die Stellung des DSB entwertet wird. Hier wird eine Unklarheit darin gesehen, dass durch ein Datenschutzaudit eine Art "dreifache Kontrolle" (Eigenkontrolle der Unternehmen, Fremdkontrolle der Aufsichtsbehörden und Datenschutzaudit; und dies neben der Bedeutung der Selbstkontrolle der Betroffenen durch Ausübung ihrer Rechte) eingeführt werden solle. | Abs. 54 |
| Unklar seien auch die Rechtswirkungen eines Audits durch einen Gutachter. Es wurden Probleme bei unterschiedlichen Bewertungen von Gutachtern und Datenschutzbehörden befürchtet(17). | Abs. 55 |
| Nach § 9 a S.2 BDSG 2001 sollen die näheren Anforderungen an ein solches Verfahren der Prüfung von Datenschutzkonzepten und technischen Einrichtungen deshalb durch ein besonderes Gesetz geregelt werden. | Abs. 56 |
| Betrachtet man das Datenschutzaudit allerdings unter Einbeziehung des Art. 6 EU-Datenschutzrichtlinie besteht aus Sicht des Verfassers kein Problem, denn diese Vorschrift legt Kernkriterien für Qualität im Datenschutz fest. | Abs. 57 |
| Hierzu empfiehlt sich zum jetzigen Zeitpunkt folgende praktische Vorgehensweise: | Abs. 58 |
| Wird ein Auditor zur Prüfung eines Datenschutzkonzepts dahingehend beauftragt, dass dieses in Übereinstimmung mit den vorgegebenen Datenschutzanforderungen ist, ist eine entsprechende Vereinbarung über die Auditorentätigkeit abzuschließen, deren Inhalte nachfolgend kurz beschrieben werden. | Abs. 59 |
| Das Audit ist anhand des zugehörigen Audit-Protokolles und gemäß entsprechender "Verfahrensanweisungen für die Durchführung von Datenschutzaudits" vorzunehmen. Für das Auditorenteam sollte ein Audit-Beauftragter im Unternehmen festgelegt werden. Dies deshalb, weil dem Auditor die zur Vorbereitung des Audits notwendigen Unterlagen des Unternehmens, z.B. Datenschutzmanual u.a.m., zur Einsichtsnahme übergeben werden müssen. | Abs. 60 |
| Der Auditor selbst ist vom Unternehmen für die Erstellung des Audit-Protokolles, der evtl. Audit-Abweichungsberichte sowie des Auditberichtes zu verpflichten. | Abs. 61 |
| Ebenfalls sollte der Auditor eine Verpflichtungserklärung zur Geheimhaltung der ihm zugänglichen Informationen unterschreiben. Dies sollte der DSB tun. | Abs. 62 |
| Für die Durchführung von Audits hat sich folgende Vorgehensweise bewährt, die mit einem Auditor vereinbart werden kann: | Abs. 63 |
| Abs. 64 |
| Diese genannten Verfahren berücksichtigen einen betriebswirtschaftlichen Aspekt des Datenschutzrechts. Denn durch diese Verfahren wird ein entsprechender Qualitätsstandard für den Datenschutz sichergestellt. Diese gesetzgeberische Intention liegt auch § 9 a BDSG 2001 zugrunde. | Abs. 65 |
| Ein weiterer Aspekt kommt hinzu. Die Sicherstellung von Datenschutz als Qualitätsmerkmal durch ein Datenschutzaudit in Form eines Systemaudits gibt dem DSB weitere Hilfestellung anhand einer "Schwachstellenanalyse", um weitere Maßnahmen zur Sicherstellung von Datenschutz im Rahmen seiner Richtlinienkompetenz zu treffen. | Abs. 66 |
V. Konsequenzen aus der BDSG-Neufassung für die Aufgabe und Stellung des Datenschutzbeauftragten im Unternehmen |
1. Richtlinienkompetenz des Datenschutzbeauftragten |
| Privatunternehmen sind als nicht-öffentliche, d.h. private Stellen Adressaten des Bundesdatenschutzgesetzes sowie weiterer wichtiger Vorschriften zum Datenschutz. Sie sind verpflichtet, die datenschutzgesetzlichen Vorgaben des Bundesdatenschutzgesetzes sowie anderer Vorschriften über den Datenschutz einzuhalten. Die Durchführung dieser Eigenkontrolle ist Sache der speichernden Stelle selbst. | Abs. 67 |
Darzulegen sind nun die Aufgaben des DSB nach neuem Recht. Ausgangspunkt sind die Überwachung und Sicherstellung von Vorschriften zum Datenschutz. Aber nach § 4 g BDSG 2001 soll der nur noch "hinwirken". Dies ist nur
| Abs. 68 |
| Beide Aufgabenstellungen sind im Hinblick auf die ordnungsgemäße Anwendung von Datenverarbeitungsprogrammen zu sehen. | Abs. 69 |
| Dieses "Hinwirken" bedeutet, dass die Schulungsaufgabe des DSB einen höheren Stellenwert besitzen wird, insbesondere nach dem "Train-the-Trainer-System", um die verschiedenen Verantwortlichen für den Datenschutz in den Fachabteilungen des Unternehmens mit dem neuen Datenschutzrecht vertraut zu machen. | Abs. 70 |
| Hinzu kommt heute - neben dieser klassischen Aufgaben der Implementierung von Datenschutz - resultierend aus den Anforderungen für Unternehmen auch dessen vertragliche Sicherstellung durch sog. "Datenschutzklauseln"(18), insbesondere auch individualvertraglich, um "Störfallvorsorge"(19) für Datenschutzverletzungen zu betreiben. Dieses Prognoseproblem hat der DSB anhand seiner Fachkunde und Kenntnis der betrieblichen Abläufe seines Unternehmens zu bewältigen. | Abs. 71 |
| Hier wird sich der DSB, wenn er nicht selbst Jurist ist, sich an die Rechtsabteilung seines Unternehmens oder einen spezialisierten Rechtsberater/Rechtsanwalt wenden müssen. | Abs. 72 |
2. Datenschutzbeauftragter und Meldepflicht |
Für die Durchführung dieser Eigenkontrolle sind Unternehmen verpflichtet. Automatisierte Verarbeitungen sind vor ihrer Inbetriebnahme von nicht-öffentlichen verantwortlichen Stellen der zuständigen Aufsichtbehörde zu melden (vgl. § 4 d Abs.1 BDSG 2001). Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen DSB bestellt oder, wenn sie personenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt und hierbei höchstens vier Arbeitnehmer beschäftigt oder entweder eine Einwilligung der Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit den Betroffenen dient (vgl. § 4 d Abs. 2 und 3 BDSG 2001). In diesen Fällen:
| Abs. 73 |
| Die erweiterte Kontrollaufgabe im Datenschutz für den DSB hat allerdings Konsequenzen für die Aufgabenstellung des DSB. Dieser kann heute nicht mehr auf die Elemente von "Rechtmäßigkeit" und "Sicherheit" der DV reduziert werden. Neben der Erfassung der datenschutzrelevanten Sachverhalte und der diesbezüglichen Prüfung von Zulässigkeiten und der Sicherung der Datenverarbeitung geht es heute ganz zentral um den Schutz der Persönlichkeit, von Privatsphäre; und juristisch gewendet um den Schutz des Persönlichkeitsrechts. | Abs. 74 |
| Die EU-Datenschutzrichtlinie spricht in Art. 18 Abs.2, 2. Spiegelstrich, davon, dass die Freiheiten und Rechte der betroffenen Personen durch die Verarbeitung ihrer personenbezogenen Daten nicht beeinträchtigt werden. Vor diesem Hintergrund ist der DSB heute - richtig verstanden - "Anwalt der Betroffenen". | Abs. 75 |
| Beim DSB als Anwalt für Betroffene kommt der Pflicht zur Verschwiegenheit eine besondere Rolle zu. Die in § 36 Abs.4 BDSG 1990 festgelegte Verschwiegenheitspflicht findet sich in § 4 f Abs.4 BDSG 2001 wieder. Diese normierte Verschwiegenheitspflicht soll es dem Betroffenen erleichtern, sich vertrauensvoll an den DSB zu wenden. Zielsetzung dieser Vorschrift ist ein Datenschutz gegenüber dem DSB und damit eine "lex specialis" zum Tatbestand des "Zuverlässigkeitserfordernisses" gegenüber Betroffenen darstellen(20). | Abs. 76 |
| Die Verschwiegenheitspflicht des § 4 f Abs. 4 BDSG 2001 korrespondiert mit § 79 BetrVG. Der DSB wird damit als "Wahrer des Datenschutzes im Betrieb" definiert. Ebenso wie es dem Betriebsrat nach § 80 Abs.1 Nr.1 BetrVG aufgegeben ist, über die Durchführung der zugunsten der Arbeitnehmer geltenden, d.h. arbeitnehmerschützenden Gesetze zu wachen, muss der DSB auf die Einhaltung der betroffenenschützenden Vorschriften hinwirken. | Abs. 77 |
| Der Zweck des § 4 f Abs.4 BDSG 2001 hat allerdings gegenüber demjenigen des § 79 BetrVG eine andere Reichweite. So soll es die besondere Geheimhaltungspflicht der Betriebsräte dem Arbeitgeber ermöglichen, seine Informationspflichten nach §§ 80 ff. BetrVG zu erfüllen(21). Oder weitergehend: "Die Schweigepflicht ist "Pendant und Sicherungsmittel" zu den gesetzlichen Informationsrechten des Betriebsrats(22). | Abs. 78 |
VI. Schlussbetrachtung |
| Zielsetzung der Aufgabenstellung des DSB ist die Sicherstellung der Rechtmäßigkeit und Sicherheit der Datenverarbeitung, im besonderen durch die Einhaltung der Zulässigkeiten der personenbezogenen Datenverarbeitung und der Maßnahmen zur Datensicherheit. | Abs. 79 |
| Durch das "Erfassen, Prüfen, Sichern" ist der DSB verpflichtet, Gefahrenpotentiale für die Persönlichkeit von Betroffenen zu analysieren und rechtmäßig betrieblich zu implementieren und die datenschutzgesetzliche Rechtmäßigkeit sicherzustellen. | Abs. 80 |
Nach dem BDSG 2001 sind beim Erfassen, Prüfen und Sichern nun weitere, z.T. explizit genannte Zielsetzungen zu berücksichtigen. Danach weist das Gesetz für Unternehmen folgende Struktur der Implementierung und Rechtsanwendung und auf:
| Abs. 81 |
| Diese zusätzlichen, aber ineinander greifenden drei Punkte weisen hin auf einen technischen Strukturwandel, welchem der Datenschutz auch angesichts seiner Regelungsinhalte nachkommen muss. | Abs. 82 |
| Mit der Novelle zum BSG wurde dieser technisch orientierte und präventive Ausgangspunkt des Datenschutzrechts gestärkt. Hierzu soll auch die freilich aufgrund er massenhaften Datenverarbeitung eher "symbolische Gesetzgebung" in § 3 a BDSG 2001 dienen, nach welcher bei der Gestaltung und Auswahl von Datenverarbeitungssystemen die Grundsätze von Datenvermeidung und Datensparsamkeit zu beachten sind. | Abs. 83 |
VII. Ergebnis des Dargestellten |
| Als Ergebnis des Dargestellten ist festzuhalten: Aufgabe und Stellung des DSB verändert sich durch das "Neue Bundesdatenschutzgesetz 2001" im Kernbereich der gesetzlichen Aufgabenbeschreibung des § 4 g BDSG 2001 nicht. Die Aufgaben des DSB werden aber durch neue z.T. freiwillige Regelungsansätze erweitert. Deren Inhalte sind im Moment noch weitgehenden Unsicherheiten unterworfen. In diesem Beitrag wurde deshalb versucht, erste Lösungsansätze aufzuzeigen.
| JurPC Web-Dok. 22/2002, Abs. 84 |
Fußnoten:(1) Vgl. dazu Herbert Auernhammer, Bundesdatenschutzgesetz, Kommentar, 3.A. (1993), Einführung Rdnrn. 37-39.(2) Nach wie vor lesenswert hierzu ist Herbert Auernhammer, Bundesdatenschutzgesetz, Kommentar, 2. A. (1981), Einführung Rdnrn.1, 31 ff. (3) So z.B. Thomas Hoeren, Grundzüge des Internetrechts: E-Commerce, Domains, Urheberrecht, 2001, S. 57. Nicht zutreffend ist hierbei, dass Hoeren diese Betrachtungsweise eines materialisierten, d.h. verkehrs- und vermarktungsfähigen "Persönlichkeitsdetails" aus dem Regelungswillen des Datenschutzgesetzgebers herzuleiten versucht, um einen Bogen zur heutigen ambivalenten Situation schlagen zu können. Ganz im Gegenteil sollte das Datenschutzrecht von seiner Intention her "den Mißbrauch im Umgang mit personenbezogenen Daten verhindern (BDSG 1977) und heute weitergehend "den Umgang mit personenbezogenen Daten" regeln (BDSG 1990 und BDSG 2001); vgl. zu § 1 Abs.1 BDSG 1977 und BDSG 1990 Herbert Auernhammer, Bundesdatenschutzgesetz, Kommentar, 3.A. (1993), § 1 Rdnrn. 3 und 15. (4) S. zu diesem Bedeutungswandel Thilo Weichert, NJW 2001, 1463 ff. (5) Instruktiv hierzu Hans-Heinrich Trute, VVDStRL 57 (1997), S. 216 ff. (224 ff., 244 ff.). (6) Vgl. dazu und zu den Erfordernissen ggf. weiterer Novellierungsschritte Hans-Herrmann Schild, http://www.jurpc.de/aufsatz/20000002.htm, Abs. 20 ff. (26), der richtigerweise darauf hinweist, dass zur Sicherstellung der Aktualität und Richtigkeit von datenschutzrechtlichen Vorschriften dieser Querschnittsmaterie eine "notwendige Qualitätssicherung" folgen müsste. (7) Vgl. dazu nur die damalige Stellungnahme von Joachim Jacob zum Referentenentwurf zur Änderung des BDSG vom 1. Dezember 1997 in JurPC Web-Dok.42/1998, Abs.1 - 81, http://www.jurpc.de/aufsatz/19980042.htm. (8) Frankfurter Allgemeine Zeitung vom 16. Januar 2001, Nr. 13, S. 4. (9) S. dazu Volker Boehme-Neßler, CyberLaw: Lehrbuch um Internet-Recht, 2001, S. 283 ff. (292 ff., 299 ff.). (10) Vgl. dazu Rudolf Buschmann, in: Däubler/Kittner/Klebe, Betriebsverfassungsgesetz, Kommentar für die Praxis, 7. A. (2000), § 80 Rdnr. 5 sowie Thomas Klebe, in: Däubler/Kittner/Klebe, Betriebsverfassungsgesetz, Kommentar für die Praxis, 7. A. (2000), § 94 Rdnrn. 41-43. Nach diesen Ausführungen wäre dem DSB eine Ausübung seiner Tätigkeit gegenüber dem Betriebsrat untersagt, während der Betriebsrat als der "bessere DSB" definiert wird. Diese Aussagen können allerdings allenfalls Arbeitnehmerdaten - und nicht Kunden- und Lieferantendaten - betreffen. (11) BAG, Beschluß vom 11.11. 1997, NJW 1998, 2466 ff. (12) Vgl. Bösche/Grimberg, in: Der Datenschutzbeauftragte im Unternehmen, Hrsg. Eugen Ehmann, 1993, 24 ff.; und dazu Michael Wächter, CR 1995, 255 f. (13) Vgl. dazu nur Günter Schaub, Arbeitsrechts-Handbuch, 9. A. (2000), § 148 Rdnr. 59. (14) Kritisch deshalb zum Nutzen einer solchen Schutzvorschrift Ulrich Preis, NZA 1997, 1256 ff. (1262). (15) So bereits auch schon Michael Wächter, DuD 1994, 256 ff. (16) Insoweit kontraproduktiv zur Stellung und Kontrollbefugnis des DSB ist deshalb das Bundesarbeitsgericht, Beschluß vom 11.11.1997, NJW 1998, 2466 ff. mit zutreffender Bestandsaufnahme Simitis, NJW 1998, 2395 ff.. Konzis zur gleichgelagerten Problemstellung zur "Zeitgemäßheit" der Funktion von Betriebsräten, Adomeit, NJW 2001, 1033 ff.). (17) So die Stellungnahme des Bundesrats vom 29. September zu Artikel I Nr. 13 (§ 9a) und Artikel 8 § 2 Nr. 12 (§ 78 c SBG X), http://www.datenschutz-berlin.de/recht/de/ggebung/bdsg_neu/bdsgstell.htm. (18) Vgl. dazu Hans Erich Brandner, in: Ulmer/Brandner/Hensen, AGB-Gesetz, Kommentar zum Gesetz zur Regelung des Rechts der Allgemeinen Geschäftsbedingungen, 9. A. (2000), Anh. §§ 9-11Rdnrn. 286, 287. (19) Terminus: Gerrit Langenfeld, Einführung in die Vertragsgestaltung, 2001, S. 39. (20) S. zu Fachkunde und Zuverlässigkeit des Datenschutzbeauftragten Michael Wächter, in: Der Datenschutzbeauftragte im Unternehmen: Funktion, Stellung, Berufsbild, Hrsg. Eugen Ehmann, 1993, S.91 ff. (103f.). (21) Vgl. dazu Fitting/Kaiser/Heither/Engels, Betriebsverfassungsgesetz, Handkommentar, 20. A. (2000), § 79 Rdnr. 1. (22) So Rudolf Buschmann, in: Däubler/Kittner/Klebe, Betriebsverfassungsgesetz, Kommentar für die Praxis, 7. A. (2000), § 79 Rdnr. 1. |
| * Dr. Michael Wächter (1960) ist Justiziar /General Legal Counsel sowie Leiter Vertragswesen und Vertragsdurchführung der BRAIN International AG, Breisach am Rhein / Weinstadt-Endersbach. Er befasst sich schon seit mehreren Jahren mit Themen des EDV-Rechts, im besonderen mit Datenschutzrecht, Arbeitsrecht und seit 1997 mit Lizenzrecht. |
| [online seit: 21.01.2002] |
| Zitiervorschlag: Autor, Titel, JurPC Web-Dok., Abs. |
| Zitiervorschlag: Wächter, Michael, Hat sich Aufgabe und Stellung des Datenschutzbeauftragten im Unternehmen durch das "Neue Bundesdatenschutzgesetz 2001" verändert? - JurPC-Web-Dok. 0022/2002 |
