DATENSCHUTZ IM BETRIEBSRAT

Gegenwärtig finden in zahlreichen Unternehmen die Betriebsratswahlen statt. Dies nehmen wir zum Anlass, um im Rahmen unseres aktuellen Blog-Beitrages einen Überblick über datenschutzrechtliche Themen mit Bezug zur Betriebsratstätigkeit zu geben. Gerade aufgrund der besonderen Stellung und der damit einhergehenden Vertrauensposition des Betriebsrates, ist es für alle Angehörigen des Betriebsrates wichtig, sowohl die datenschutzrechtlichen Rechte und Pflichten als auch die jeweiligen Grenzen der jeweiligen Datenverarbeitungen zu kennen.


WER IST DATENSCHUTZRECHTLICH VERANTWORTLICH?

Für die Gewährleistung der Einhaltung der datenschutzrechtlichen Normierungen ist grundsätzlich die verantwortliche Stelle im Sinne des Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO) zuständig. Als verantwortliche Stelle versteht die DS-GVO jene Stelle, welche über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Lange Zeit war umstritten, ob der Betriebsrat nach dieser Definition eine eigene verantwortliche Stelle bildet. Klarstellung erfolgte im Jahr 2021 durch den § 79a Betriebsverfassungsgesetz (BetrVG). In der Norm heißt es: „Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“


WELCHE DATENSCHUTZRECHTLICHEN MITWIRKUNGSPFLICHTEN BESTEHEN?

Auch wenn der Arbeitgeber zunächst als verantwortliche Stelle zu bezeichnen ist, treffen den Betriebsrat Mitwirkungspflichten. Einerseits hat sich der Betriebsrat gemäß § 79a Satz 1 BetrVG an die jeweils geltenden datenschutzrechtlichen Normen zu halten. Andererseits besteht gemäß § 79a Satz 3 BetrVG die Pflicht zur gegenseitigen Unterstützung zwischen Arbeitgeber und Betriebsrat. Eine solche Unterstützung kann durch den Betriebsrat beispielsweise im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO erfolgen: Der Betriebsrat fertigt eine entsprechende Dokumentation der – aus Sicht des Betriebsverfassungsgesetztes – in seiner Verantwortung liegenden Verarbeitungstätigkeiten an. Der Arbeitgeber unterstützt den Betriebsrat beispielsweise wiederum in der Schaffung ausreichend technischer und organisatorischer Maßnahmen, z.B. die Bereitstellung abschließbarer Schränke. Darüber ist es ratsam auch bei der Umsetzung der datenschutzrechtlichen Anforderungen eine vertrauensvolle Zusammenarbeit im Sinne des § 2 Abs. 1 BetrVG zu wahren.


IST DER DATENSCHUTZBEAUFTRAGTE DES UNTERNEHMENS AUCH FÜR DEN BETRIEBSRAT ZUSTÄNDIG?

Die Aufgabe des Datenschutzbeauftragten umfasst, insbesondere hinsichtlich Art. 39 Abs. 1 lit. a) DS-GVO, ebenfalls die Unterrichtung und Beratung des Betriebsrates. Dabei ist die besondere Verschwiegenheitsverpflichtung gemäß § 79a Satz 4 BetrVG gegenüber dem Arbeitgeber zu beachten. Diese umfasst sämtliche Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrates zulassen. Ergänzend hierzu gelten § 6 Abs. 5 Satz 2 Bundesdatenschutzgesetz (BDSG) sowie § 38 Abs. 2 BDSG im Verhältnis zwischen Datenschutzbeauftragten und Arbeitgeber. Der Datenschutzbeauftragte des Unternehmens kann somit auch durch den Betriebsrat in Anspruch genommen werden.


KÖNNEN ANGEHÖRIGE DES BETRIEBSRATES DATENSCHUTZBEAUFTRAGTE SEIN?

Dem Datenschutzbeauftragten obliegen die Überwachung und Kontrolle der Einhaltung des Datenschutzrechts innerhalb der verantwortlichen Stelle. Wie bereits dargestellt, umfasst dies neben der Beratung aller Beschäftigten ebenfalls der Beratung des Betriebsrates. Hierin wird teilweise eine Interessenkollision gesehen, wenn eine Person zugleich die Positionen des Datenschutzbeauftragten und des Betriebsratsmitgliedes innehat. Während das Bundearbeitsgericht im Jahr 2011 (Urteil vom 23. März 2011 – AZR 562/09) eine solche Interessenkollision verneinte, wurde in einem aktuellen Verfahren des Bundesarbeitsgerichts dem Europäischen Gerichtshof unter anderem die Frage vorgelegt, ob die gleichzeitige Ausübung der Position des Datenschutzbeauftragten und des Betriebsratsmitglieds zu einer Interessenkollision führen können. Eine rechtssichere Beantwortung der Frage ist demnach erst nach einer Entscheidung des Europäischen Gerichtshof möglich.


MUSS DER BETRIEBSRAT GESONDERT ZUR VERSCHWIEGENHEIT VERPFLICHTET WERDEN?

Zwar ergibt sich nicht direkt aus den Normen der DS-GVO die Pflicht zur Verpflichtung von Beschäftigten auf Verschwiegenheit, jedoch kann eine solche mittelbar aus Art. 5 DS-GVO (Grundsätze für die Verarbeitung personenbezogener Daten) sowie Art. 29 DS-GVO (Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters) herausgelesen werden. Darüber hinaus gilt für Angehörige des Betriebsrates eine gesetzliche Verschwiegenheitsverpflichtung aus § 79 Abs. 1 BetrVG sowie aus § 79a BetrVG. Einer zusätzlichen Verpflichtung bedarf es darüber hinaus nicht zwingend. Zu empfehlen ist jedoch die Sensibilisierung der Angehörigen des Betriebsrates mittels Sensibilisierungen und Schulungen zum Thema Datenschutz im Betriebsrat.


WELCHE PERSONENBEZOGENEN DATEN DÜRFEN DURCH DEN BETRIEBSRAT VERARBEITET WERDEN?

Grundsätzlich dürfen durch den Betriebsrat all diejenigen personenbezogenen Daten verarbeitet werden, welche zur Wahrnehmung der Aufgaben des Betriebsrates zwingend benötigt werden, vgl. § 26 Abs. 1 Satz 1 BDSG. Erforderlich ist hierbei jedoch, dass die Aufgabenzuweisung an den Betriebsrat einen konkreten Informationsfluss zu Gegenstand hat, z.B. § 80 Abs. 2 Satz 2 Hs. 2 BetrVG oder § 102 Abs. 1 BetrVG. In diesem Zusammenhang sind insbesondere der Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b) DS-GVO), der Datenminimierung (Art. 5 Abs. 1 lit. c) DS-GVO sowie der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DS-GVO) zu beachten. Nicht immer ist es zwingend erforderlich, dass der Betriebsrat zur Wahrnehmung seiner Aufgaben personenbezogene Daten erhält. Beispielsweise im Rahmen der Überprüfung von Arbeitszeiten sind im ersten Schritt Übersichten ohne Personenbezug ausreichend. Sollten daraufhin Abweichungen oder Gesetzesverstöße festgestellt werden, kann der Betriebsrat im zweiten Schritt eine personenbezogene Arbeitszeitübersicht der betreffenden Abteilung erhalten. Außerdem besteht im Rahmen des § 26 Abs. 4 BDSG die Möglichkeit, dass zur Verarbeitung personenbezogener Daten von Beschäftigten Betriebsvereinbarungen zwischen Arbeitgeber und Betriebsrat geschlossen werden.


WELCHE AUFBEWAHRUNGSFRISTEN GELTEN FÜR UNTERLAGEN DES BETRIEBSRATES?

Zunächst ist festzuhalten, dass keine spezialgesetzlich vordefinierten Aufbewahrungsfristen für Betriebsratsunterlagen bestehen. Die Handhabung richtet sich somit nach den allgemeinen datenschutzrechtlichen Bestimmungen und ist hinsichtlich des jeweiligen Einzelfalls entsprechend auszulegen. Anzuführen sind hierbei insbesondere die Grundsätze für die Verarbeitung personenbezogenen Daten gemäß Art. 5 Abs. 1 DS-GVO sowie das Recht auf Löschung gemäß Art. 17 Abs. 1 DS-GVO. Betriebsräte dürfen damit personenbezogene Daten so lange verarbeiten, wie es zwingend erforderlich ist. Anschließend besteht eine rechtliche Verpflichtung zur Löschung (Art. 17 Abs. 1 lit. a) DS-GVO), sofern nicht gesetzliche Aufbewahrungsfristen einer Löschung entgegenstehen (Art. 17 Abs. 3 lit. b) DS-GVO). Konkret kann damit beispielsweise Folgendes argumentiert werden:

– Wahlunterlagen sind bis zum Ende der jeweiligen Amtsperiode aufzubewahren.

– Protokolle sind aufzubewahren, solange sie eine rechtliche Bedeutung besitzen (z.B. Betriebsvereinbarungen). Im Rahmen von Protokollen sollten möglichst wenig personenbezogene Daten angegeben werden. Dementsprechend kann somit auch eine Übergabe an den nachfolgenden Betriebsrat argumentiert werden. Gegebenenfalls hat der neue Betriebsrat zu überprüfen, ob eine weitere Aufbewahrung erforderlich ist.

– Dokumentationen zu Maßnahmen sind in der Regeln nach Beendigung der Maßnahmen zu löschen, sofern diese nicht gegebenenfalls im Rahmen einer Beweisführung mit hoher Wahrscheinlichkeit voraussichtlich benötigt werden (Art. 17 Abs. 3 lit. e) DS-GVO) oder eine gesetzliche Aufbewahrungspflicht besteht. Nur dann kann eine Weitergabe an den neuen Betriebsrat im Einklang mit den datenschutzrechtlichen Bestimmungen erfolgen.

Sofern Unterlagen (z.B. zu abgeschlossenen Maßnahmen) aufbewahrt werden müssen, sind diese getrennt von aktuellen Unterlagen (z.B. laufender Maßnahmen) aufzubewahren (sogenannte „Einschränkung der Verarbeitung“, auch „Archivierung“). Eine Vernichtung von personenbezogenen Unterlagen darf ausschließlich über ein Entsorgungsunternehmen oder eigenständig mittels eines Aktenvernichters (Schutzstufe P-4) erfolgen.


WELCHE TECHNISCHEN UND ORGANISATORISCHEN MAßNAHMEN SIND UMZUSETZEN?

Art. 32 DS-GVO fordert eine der Datenverarbeitung sowie der damit einhergehenden Risiken angemessene Sicherheit der Verarbeitung. Da die im Rahmen der Betriebsratstätigkeit verarbeiteten personenbezogenen Daten in der Regel als besonders schützenswert anzusehen sind, sind diese bestmöglich vor einer Zugriffsmöglichkeit Unbefugter zu sichern. Dies umfasst beispielsweise die Nutzung abschließbarer Räumlichkeiten, die Verwahrung von Unterlagen in abschließbaren Schränken sowie die Verwendung gesonderter, zugriffsgeschützter Laufwerke. Der Betriebsrat als Gremium sollte über ein gesondertes E-Mail-Funktionspostfach verfügen, die Übermittlung von Unterlagen per E-Mail sollte zumindest in Form passwortgeschützter Anlagen erfolgen, wobei die Passwörter nicht über das gleiche Medium zu übermitteln sind. Die Bereitstellung ausreichender technischer und organisatorischer Maßnahmen obliegt der Verantwortung des Arbeitgebers, die entsprechende Handhabung der Verantwortung des Betriebsrates.


FAZIT

Mit der Tätigkeit im Betriebsrat geht auch im Rahmen des Datenschutzrechts eine besondere Verantwortung einher. Das jeweilige Unternehmen und der Betriebsrat haben sich bei der Einhaltung des Datenschutzrechts gegenseitig zu unterstützen, hierbei wird auch der Datenschutzbeauftragte des Unternehmens tätig. Zur Gewährleistung der jeweiligen Anforderungen ist eine spezielle Schulung der Betriebsratsmitglieder zu empfehlen. Sie wünschen sich eine Beratung oder Schulung zum Thema Datenschutz im Betriebsrat? Sprechen Sie uns gerne an!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.


TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Wir sehen es als unsere Aufgabe an, möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 14. Juni 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Beschäftigtendatenschutz
  • Betriebsrat
  • Betriebsverfassungsgesetz
  • Datenschutzbeauftragter
  • Verantwortlichkeit
Lesen

VERZEICHNIS DER VERARBEITUNGSTÄTIGKEITEN – DAS UNGELIEBTE KIND!?

Inzwischen haben Sie als Datenschutzkoordinator eine annähernd gemeinsame Sprache mit dem Datenschutzbeauftragten gefunden. Der Großteil der anstehenden Aufgaben ist verstandenund auch, dass man sich auf diesen Menschen verlassen kann und ihn, unter Umständen als Komplizen, anerkennt. Doch diese eine Aufgabe – das Verzeichnis der Verarbeitungstätigkeiten – ist offen. Und irgendwie wird immer wieder betont, wie wichtig die Erstellung ist und, dass dieses Verzeichnis die notwendige Transparenz über die Verarbeitungstätigkeiten innerhalb der verantwortlichen Stelle bringt. Der erste Anlauf ist bereits beim Anblick des Dokumentes gescheitert. Wieder Kauderwelsch, wieder keine klaren Fragen und immer wieder Bezugnahme auf einzelne Artikel der Datenschutz-Grundverordnung (DS-GVO).

Also: kurze Panik, etwas aufsteigender Ärger gepaart mit Resignation – und zugeklickt das Ding. Sind sie doch selbst schuld, wenn sie es so kompliziert machen… murmeln Sie. Bei Restmotivation gelingt noch der Beschwerde-/ oder Verzweiflungsanruf bei dem Datenschutzbeauftragen. An dieser Stelle kann und sollte der Datenschutzbeauftragte besonnen reagieren und nicht all die Motivation, die Sie mühsam aufgebaut haben, buchstäblich den Bach runtergehen lassen. Folgende Handlungsempfehlung aus meiner Praxis als Unterstützung für Hilfesuchende und Helfende bezieht sich auf das Musterdokument der Datenschutzkonferenz (DSK).


IM ALLGEMEINEN

Lassen Sie sich nicht abschrecken – das gilt übrigens für diese gesamte Umsetzungsaufgabe der DS-GVO im Unternehmen. Der Datenschutzbeauftragte sollte Ihnen diese Aufgabe nochmals als vereinzeltes Thema nahebringen. Zum Beispiel in Form einer Schulung, an welcher auch die verschiedenen Fachbereichsleitungen teilnehmen können.


ZUALLERERST

Zunächst steht das Ausfüllen des Vorblattes bevor, welches Aufschluss das zu vervollständigende Verzeichnis der Verarbeitungstätigkeiten in seiner Gesamtheit gibt: An erster Stelle die Angaben zum Verantwortlichen. Das meint an dieser Stelle Ihr Unternehmen oder Ihre Behörden. Sodann Angaben zum Datenschutzbeauftragten, sofern Sie überhaupt einen Datenschutzbeauftragten benannt haben. Vielleicht haben Sie auch eine sogenannte gemeinsame Verantwortlichkeit mit einem anderen Verantwortlichen, zum Beispiel: zwei Unternehmen stellen sich über eine gemeinsame Internetseite dar oder nutzen gemeinsam denselben Telefon-/Internetanschluss. Wenn Ihr Unternehmen außerhalb der Europäischen Union (EU) oder des Euopäischen Wirtschaftsraums (EWR) sitzt, haben Sie unter Umständen zudem einen Vertreter des Verantwortlichen innerhalb der EU / des EWR benannt. Diese Daten wären hier einzutragen. Jetzt nicht gleich hinwerfen – sollten Sie Fragen zu den genannten Feldern haben, fragen Sie Ihren Datenschutzbeauftragten.


IM DETAIL

Nun nehmen wir uns die Erstellung des eigentlichen Verzeichnisses der Verarbeitungstätigkeiten vor. Zum besseren Verständnis sind die einzutragenden Inhalte im Folgenden als Hinweise und Hürden gekennzeichnet. Dies zeigt Ihnen, an welchen Stellen es unter Umständen sinnvoll sein kann, auf Ihren Datenschutzbeauftragten zurückzugreifen.

Erster Hinweis: Wie heißt die Verarbeitungstätigkeit? Das bekommen Sie locker hin! Laufende Nummer? Das kann sich auch erst zu einem späteren Zeitpunkt aus der Übersicht ergeben.

Zweiter Hinweis: Einführungsdatum und letzte Änderung der Verarbeitungstätigkeit? Das kann unter Umständen lange zurückliegen, fragen Sie im Zweifelsfall in der jeweiligen Fachabteilung nach. In diesem Zug können Sie auch die Angaben zur verantwortlichen Fachabteilung eintragen. Auch das ist kein Problem, oder?

Dritter Hinweis: Zweck der Verarbeitung? Wofür werden die personenbezogenen Daten verarbeitet, welchen Zweck verfolgt Ihr Unternehmen oder Ihre Behörde damit? Und an dieser Stelle kommen wir auch zur ersten Hürde: Im Zusammenhang mit dem Zweck der Verarbeitung ist es sinnvoll die Rechtsgrundlage der Verarbeitung mit anzugeben. Dies wird durch die DS-GVO an dieser Stelle zwar nicht zwingen vorgeschrieben, aber in Zukunft macht es Ihnen unter Umständen die Arbeit leichter: Sollte eine Person Auskunft über ihre Daten verlangen, haben Sie es in der Bearbeitung leichter. Fragen Sie zur Rechtsgrundlage Ihren Datenschutzbeauftragten. Sollten Sie bereits vorab eine Idee dazu haben, können Sie diese gerne eintragen.

Vierter Hinweis: Beschreibung des Verfahrens? Ebenfalls eine optionale Angabe. Aber auch diese kann lebenserleichternd sein, wenn Sie Auskunft geben müssen. Bitte beschreiben Sie in eigenen Worten, was Sie beziehungsweise die Fachabteilung tun. Manchmal existieren bereits Leistungs- oder ähnliche Beschreibungen.

Fünfter Hinweis: Beschreibung der Kategorien betroffener Personen und personenbezogener Daten? Ganz einfach: Wessen und welche Daten verarbeiten Sie im Rahmen der Tätigkeit? An dieser Stelle sehen wir uns auch mit der zweiten Hürde konfrontiert: Besondere Kategorien personenbezogener Daten? Klingt schwieriger, als es ist. Hierbei sind besonders schützenswerte Daten gemeint. Dies können Gesundheitsdaten (z.B. Krankschreibungen), religiöse oder andere weltanschauliche Überzeugungen (z.B. Konfessionszugehörigkeit), Hinweise auf ethnische Herkunft, politische Meinungen, Gewerkschaftszugehörigkeit, genetische und / oder biometrische Daten, Daten zu Sexualleben oder sexueller Orientierung sein.

Sechster Hinweis: Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder werden? Dies betrifft Stellen, die sich bei Ihnen intern im Haus befinden oder externe Stellen, außerhalb Ihres Unternehmens oder Ihrer Behörde. Hier ist jeweils anzugeben, an welche Stellen wessen Daten für welchen Zweck übermittelt werden.

Jetzt wird es speziell:

Siebter Hinweis oder auch dritte Hürde: Übermittlung von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation? Arbeiten Sie mit Dienstleistern im Ausland (außerhalb der EU / des EWR) zusammen? Setzen Sie für die Verarbeitungstätigkeit unter Umständen Dienstleister aus einem Drittland ein? Ja, das betrifft auch Microsoft. Der oder die Datenempfänger sind zu benennen und auch, ob es eine Dokumentation der geeigneten Garantien gibt. An dieser Stelle fragen Sie sich: Was ist das nun wieder? Das hat ebenfalls mit einem Drittstaatentransfer zu tun und ist liebevoll zu erlesen in einem separaten Blogbeitrag. Wenn Sie sich dieses Thema nicht erlesen möchten, dürfen Sie hier ebenfalls wieder Ihren Datenschutzbeauftragten dazu befragen und diese Thema mit ihm gemeinsam klären.

Achter Hinweis und vierte Hürde: Fristen für die Löschung der Datenkategorien? Löschen – da ist es – das ganz große Thema. Wenn Sie möchten, begeben Sie sich im Unternehmen oder der Behörde auf die Suche und beginnen Sie (sofern vorhanden) in der IT-Abteilung. Unter Umständen haben Sie es aber auch mit rechtlichen Vorgaben zu tun und hierbei kann Sie die entsprechende Fachabteilung und/oder wieder Ihr Datenschutzbeauftragter unterstützen.

Neunter Hinweis: Technische und organisatorische Maßnahmen? Diese sollten für Ihr Unternehmen definiert sein und können bei Ihrem Datenschutzkoordinator oder in der IT-Abteilung erfragt werden. Dieses Dokument gehört genauso zu dem Verzeichnis der Verarbeitungstätigkeiten wie das eingangs beschriebene Vorblatt. Wenn Sie das Verzeichnis der Verarbeitungstätigkeiten digital organisieren, dürfen Sie das Vorblatt und die Darstellung der technischen und organisatorischen Maßnahmen jeweils als Datei mit ablegen.


FAZIT

Ungemütlich ja, aber kein Hexenwerk! Fokussieren Sie sich auf die Felder, welche Sie gut ausfüllen können. Kommen Sie an verschiedenen Stellen nicht weiter, lassen Sie diese offen und besprechen sich hier mit Ihrerm Datenschutzbeauftragen. Einfach anfangen, Mut zur Lücke und dann durchfragen, nachfragen, ausfragen.

Über die Autorin: Frauke Kühling-Schieferdecker ist Betriebswirtin der Handwerkskammer und ist als externe Datenschutz- und Informationssicherheitsbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeit liegen insbesondere mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gerne per E-Mail kontaktieren.

    Tags:
  • Datenschutzbeauftragter
  • Datenschutzkoordinator
  • Dokumentation
  • Hilfestellung
  • Verzeichnis der Verarbeitungstätigkeiten
Lesen

DATENSCHUTZBEAUFTRAGTE – ERKLÄRBÄR UND VERBÜNDETER, ABER AUCH IMMER FACHLICH GEEIGNET?


WARUM WIRD EIN DATENSCHUTZBEAUFTRAGTER BENÖTIGT?

Weil die Verordnung es, aufgrund von verschiedenen Vorgaben, fordert. Allein mit der Bestellung ist es aber nicht getan, hiernach fängt die Arbeit eigentlich erst an (auch wenn immer noch vielfach falsch verstanden). Der Datenschutzbeauftragte benötigt einen Ansprechpartner, oftmals einen Datenschutzkoordinator, als Schnittstelle zum Unternehmen und berät diesen bei seiner Arbeit und der Umsetzung der Dokumentationspflichten und der Implementierung eines Datenschutzmanagementsystems. So weit, so gut.


WAS, WENN KEINE BESTELLPFLICHT BESTEHT?

Sie sind keinesfalls raus aus der Verantwortung der Umsetzung des Datenschutzes und begeben sich allein auf den steinigen und manchmal schlecht beleuchteten Datenschutzweg. Hierbei stellt sich ebenfalls die Frage, ob derjenige die Voraussetzungen erfüllt oder auch nur die zeitlichen Ressourcen hat, das entsprechende Wissen zu erlangen und die geforderte Dokumentation umzusetzen.


WAS KANN DER DATENSCHUTZBEAUFTRAGTE, WAS SOLLTE ER MITBRINGEN?

Wie sind die Weiterbildungsnachweise verschiedener Institutionen zu bewerten? Sind Juristen die besseren Datenschutzbeauftragten oder Beschäftigte der IT oder wer sonst? Benötigt man überhaupt einen Nachweis oder wie kann eine Eignung festgestellt werden?

Schwierige Fragen und nicht pauschal zu beantworten. Am ehesten gilt: Es kommt darauf an, was jeder Datenschutzbeauftragte aus den Weiterbildungen macht und/oder inwiefern er sich selbständig fortwährend weiterbildet. Nimmt er sich genug Zeit für die Fragen und Antworten? Ist er in der Lage individuell zu reagieren und kann er sich gut anpassen? Im besten Fall ist er sogar empathisch.

Persönlich denke ich, dass der Bereich Datenschutz ein sehr großes Betätigungsfeld ist und nicht jeder alles wissen kann und dennoch zumindest wissen muss, woher Informationen zu bekommen sind. Vor einigen Jahren bin ich bei einem Seminar darauf angesprochen worden, dass es doch recht sportlich sei, als Nicht-Juristin in diesem Bereich anzutreten. Das ist richtig, aber es meint im Umkehrschluss eben auch, dass wir Nicht-Juristen und Nicht-ITler noch einmal mehr lernen müssen. Unmöglich ist es nicht, empfinde ich.


MIT ANDEREN WORTEN: WAS MACHT ER EIGENLICH, DAS UNS HILFT?

Als gesetzliche Vorgabe ist seine Bestellung verstanden, doch wie kann der Datenschutzbeauftragte mit seinem Wissen genutzt werden und wie können dem Unternehmen Vorteile daraus erwachsen? Mit anderen Worten, was macht der eigentlich, das uns hilft?

Ich für mich habe diesen Beruf wie folgt verstanden und erfahre in der Praxis, dass ich zumindest auf dem richtigen Weg zu sein scheine: Wir als Datenschutzbeauftragte sind beratend tätig und versuchen den Menschen in ihrem täglichen Tun Sicherheit zu geben. Sicherheit im Umgang mit Verarbeitungen von personenbezogenen Daten und den zugehörigen Personengruppen. Hier geht es um mehr als das zur Verfügung stellen von vorgefertigten Unterlagen, welche manchmal nur schlecht auf die Bedürfnisse verschiedener Branchen zugeschnitten sind. Oftmals ist es notwendig, Musterdokumente auf spezielle Bedürfnisse anzupassen. Dazu gehört die geduldige Erläuterung, wie und warum die entsprechenden Dokumente eingesetzt werden sollten.

Was ist mit den vielen individuellen Fragen, die von verschiedenen Fragenden ausgehen? Inwieweit betreffen uns die anliegenden Rechtsgebiete zu diesen Fragen? Wie weit geht die Beratungstätigkeit und wie weit darf sie überhaupt gehen? Ich sage dazu, dass alle Fragen gestellt werden dürfen und das die Fachkenntnis des Datenschutzbeauftragten erwägen lässt, inwieweit dies seinen Fachbereich betrifft.

Um die Beschäftigten in ihrer Arbeit sicherer werden zu lassen, sollte der Datenschutzbeauftragte die Verantwortlichen von der Notwendigkeit datenschutzrechtlicher Regelungen überzeugen. Überzeugung wirkt sich immer auch auf andere Beteiligte aus. Eine verabschiedete Richtlinie oder Handlungsanweisung kann für Respekt und vielleicht sogar für Glücksgefühle sorgen, so meine Erfahrung.


JEDE WOCHE GIBT ES NEUE HERAUSFORDERUNGEN

Jede Woche gibt es neue Herausforderungen, in Form von Informationen über Gerichtsurteile, Bußgeldverfahren, Handlungsempfehlungen verschiedener Aufsichtsbehörden (die nicht immer derselben Auffassung sind) und Weiteres. Da die verantwortlichen Stellen in allen Bereichen entsprechende Informationen zu verarbeiten haben, welche oft unmittelbar mit ihrem Geschäftsinhalt zu tun haben, ist die Rolle des Datenschutzbeauftragten umso wichtiger, als das er auch als Verbreiter von Informationen arbeitet – auch hier gilt: vorsortierte Informationen für die jeweilige Branche.

Darf man das erwarten? Ich denke ja, unbedingt. Ein Datenschutzbeauftragter sollte einbezogen werden, befragt, angeschrieben, in Schulungen einbezogen werden – gelöchert werden, solange und so viel es notwendig ist. Weiß er keine Antwort, sollte er recherchieren und sich proaktiv zur Fragestellung verhalten. Der Datenschutzbeauftragte ist Verbündeter, Freund und Helfer und keine Vermeider, auch wenn es manchmal auf den ersten Blick so scheint. Ein guter Datenschutzbeauftragter macht sich mit auf die Suche nach individuellen Lösungen und hat die Herausforderungen im Blick.


WARUM ICH DAS SCHREIBE?

Warum ich das schreibe? Weil ich mich oft frage, wann endlich eine Prüfinstanz für Datenschutzbeauftragte installiert wird. Wann wird es endlich ein Qualitätsmessinstrument geben und wir uns alle daran messen können müssen? Ich hinterfrage meine Arbeit beinahe jeden Tag um die bestmögliche Leistung zu erbringen und lerne jeden Tag hinzu. Ganz ehrlich? Anders würde ich niemals zu dieser verantwortungsvollen Aufgabe antreten wollen und hoffe, dass es allen Kolleginnen und Kollegen ebenfalls um diese Sache geht. Meine Hoffnung liegt in den, hoffentlich bald zu ergründenden, Zertifizierungen und der Erbringung von Fachkenntnis der einzelnen Bearbeiter.

Über die Autorin: Frauke Kühling-Schieferdecker ist Betriebswirtin der Handwerkskammer und ist als externe Datenschutz- und Informationssicherheitsbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeit liegen insbesondere mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gerne per E-Mail kontaktieren.

    Tags:
  • Bestellpflicht
  • Datenschutzbeauftragter
  • Datenschutzkoordinator
  • Fachkenntnis
  • Tätigkeitsumfang
Lesen