Verbändereport AUSGABE 1 / 2012

Datenschutz ist Chefsache

Die korrekte Bestellung eines Datenschutzbeauftragten

Logo Verbaendereport

Auf die Datenskandale der letzten Jahre reagierte die Politik mit verschiedenen Änderungen im Bundesdatenschutzgesetz. Besonders die Berichterstattung über Verlust und Hacking personenbezogener Daten hat zur Sensibilisierung Betroffener beigetragen. Verbände sind in besonderer Weise gefordert, auf den gesetzeskonformen Umgang mit personenbezogenen Mitgliederdaten zu achten.

Wenn auch auf der einen Seite in den neuen sozialen Netzwerken ein wahrer Datenexhibitionismus betrieben wird, wird doch gleichzeitig im beruflichen Umfeld der Umgang mit personenbezogenen Daten kritischer, vielleicht sogar misstrauischer beobachtet. Darüber hinaus ist Datenschutz verstärkt Gegenstand von öffentlichen und politischen Diskussionen. Weitere Gesetzesänderungen sowohl im Beschäftigtendatenschutz als auch in der EU-Gesetzgebung sind geplant und zum Teil bereits in der gesetzlichen Beratung. Spätestens nach der letzten Novelle September 2009 sollten die Unternehmensleitungen und damit auch die Verantwortlichen in Verbänden, Vereinen und sonstigen Organisationen Maßnahmen zur Verbesserung von Datenschutz und Datensicherheit umgesetzt haben.

Die Verantwortung liegt bei der Verbandsführung

Die Verantwortung für den gesetzeskonformen Umgang mit personenbezogenen Daten liegt immer in der Verantwortung der Verbandsführung. Auch die korrekte Bestellung eines Datenschutzbeauftragten (DSB), egal ob es sich um einen internen Mitarbeiter oder externen Dienstleister handelt, entlässt die Leitung nicht aus der Verantwortlichkeit und Haftung.

Der Datenschutzbeauftragte wirkt nach § 4g Satz 1 BDSG auf die Einhaltung der Gesetze hin. Dies erfolgt im Rahmen des gesetzlichen Auftrags des Bundesdatenschutzgesetzes (BDSG), in dem die Tätigkeit und Aufgaben des Datenschutzbeauftragten beschrieben sind. Ein Eingriffsrecht in die organisatorischen Abläufe und die Unternehmensführung steht dem Datenschutzbeauftragten aus dem Bundesdatenschutzgesetz nicht zu.

Der Datenschutzbeauftragte haftet also üblicherweise nur im Rahmen seiner arbeitsvertraglichen Sorgfaltspflicht und im Rahmen der Vorgaben des BDSG. Sofern es sich um einen Externen handelt, ist dieser im Rahmen der Pflichten eines qualifizierten Dienstleisters, nach den Vorschriften des BDSG und im Rahmen der vertraglichen Vereinbarung tätig. Daher sollte die Auswahl eines betrieblichen Datenschutzbeauftragten, unabhängig ob ein Mitarbeiter oder ein Externer bestellt wird, immer mit der gebotenen Sorgfalt erfolgen. (S. Checklisten  auf Seite 35 und 36)

Werden eigene Mitarbeiter bestellt, genießen diese seit der letzten Novelle des BDSG einen erweiterten Kündigungs- und Diskriminierungsschutz. Sogenannte „Alibi-Bestellungen“ werden, wenn es zu einem Datenschutzvorfall kommt, wohl mehr Schaden anrichten, als die vorherigen Einsparungen genützt haben.

Wann ist ein Verband verpflichtet, einen Datenschutzbeauftragten (DSB) zu bestellen?

Nicht alle Verbände sind gesetzlich verpflichtet, einen Datenschutzbeauftragten zu bestellen. Das BDSG sagt, dass öffentliche und nicht öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, einen Beauftragten für den Datenschutz zu bestellen haben. Damit sind selbstverständlich auch Verbände und Vereine gemeint. Die Bestellpflicht hat innerhalb von 30 Tagen nach Aufnahme der Tätigkeit zu erfolgen. Von der Bestellpflicht befreit sind Unternehmungen, also auch Verbände, wenn weniger als zehn Personen im Rahmen der Verbandsarbeit mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Ab und an wird immer noch die irrige Auffassung vertreten, dass erst mit der Bestellpflicht eines DSB auch die volle Umsetzung aller datenschutzrechtlichen Anforderungen einzuhalten ist. Das ist falsch. Besteht keine Pflicht zur Bestellung eines Datenschutzbeauftragten, übernimmt die Leitung der verantwortlichen Stelle, also die Geschäftsführung oder der Vorstand, diese Aufgabe. Wie das in der Realität erfolgen soll, da diesen Personen in der Regel die entsprechende Fach- und Sachkenntnis fehlen dürfte, dazu äußert sich der Gesetzgeber nicht.

Das BDSG selbst bestimmt die Anforderungen an den betrieblichen Datenschutzbeauftragten nur vage. Es wird zur Erfüllung der Aufgabe eine erforderliche Fach- und Sachkunde verlangt. Konkreter wird der Berufsverband der Datenschutzbeauftragten in seinem sich seit Jahren  entwickelnden Leitbild des Datenschutzbeauftragten. Auch der Zusammenschluss der Datenschutzbeauftragten der Länder, der sogenannte Düsseldorfer Kreis, hat in seiner Entschließung vom 24./25. November 2010 dazu Stellung bezogen. Hier wurden erstmals die Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach §4 f. Absatz 2 und 3 des BDSG konkret beschrieben.

Die Aufgaben des DSB

Die wichtigste Aufgabe des Datenschutzbeauftragten ist es, auf die Einhaltung des BDSG und anderer Datenschutzvorschriften zum Beispiel im Telemedien- oder Telekommunikations-gesetz hinzuwirken. Diese Aufgabe umfasst Beratungs- und Kontrollfunktionen. Im Rahmen der Beratungs- und Informationstätigkeit muss der Datenschutzbeauftragte die mit der Datenverarbeitung beauftragten Personen mit den Erfordernissen des Datenschutzes und den gesetzlichen Vorschriften vertraut machen. Es ist seine Aufgabe, Geschäftsleitung und Vorstand auch auf mögliche oder tatsächliche Verstöße hinzuweisen und Vorschläge zu machen. Dazu kann die Durchführung von Schulungen und Unterweisungen oder auch die Verpflichtung auf das Datengeheimnis § 5 BDSG durch den Datenschutzbeauftragten gehören, zumal dies eine ideale Möglichkeit ist, mit den Mitarbeitern direkt in Kontakt und ins Gespräch zu kommen. Wie neueste Studien gezeigt haben, werden die Aufgaben des Datenschutzbeauftragten von den Mitarbeitern oft nicht direkt wahrgenommen und vielfach eher wie eine Kontrollfunktion von Wirtschaftsprüfern gesehen. Wie wichtig der direkte Kontakt des Datenschutzbeauftragten zu den Mitarbeitern ist, da er so frühzeitig von Veränderungen der Abläufe oder neu eingesetzter Technik erfahren kann, zeigte diese Studie.

Weiterhin ist es Aufgabe des Datenschutzbeauftragten, die ordnungsgemäße Anwendung der IT-Systeme zu überwachen. Dazu ist es erforderlich, dass die verantwortliche Stelle frühzeitig über Vorhaben und Änderungen der Datenverarbeitung, neuer Software, E-Mail-Archivierung  und sonstigen Änderungen unterrichtet.

Sofern erforderlich, hat der DSB in diesen Fällen vorab Kontrollen durchzuführen. Dies bedeutet, der Datenschutzbeauftragte hat die Zulässigkeit der geplanten Vorhaben vor ihrer Einführung zu prüfen und zu bewerten. In Zweifelsfällen hat er sich an die zuständige Aufsichtsbehörde für den Datenschutz zu wenden. Eine besondere Bedeutung und vielleicht auch Chance zur Überprüfung der vorhandenen Datenverarbeitung ist der § 11 BDSG, der ebenfalls bei der Novellierung im September 2009 eingeführt wurde. Hierbei schreibt das BDSG vor, dass mit allen Auftragnehmern im Rahmen der Verarbeitung von personenbezogenen Daten ein schriftlicher Vertrag geschlossen wird. Für die Inhalte dieses Vertrages legt der § 11 BDSG wichtige Vorschriften fest.

Haftungsfragen

Grundsätzlich bleibt also die Haftung im Außenverhältnis für den Verband immer bei der Geschäftsführung oder bei den Vorständen. Aus diesem Grund ist es unabdingbar, dass sich Vorstand und Geschäftsführung als Kernaufgabe der Verbandsführung mit Datenschutz und Datensicherheit beschäftigen. Dabei schreibt der Gesetzgeber nicht nur den Schutz der personenbezogenen Daten vor. Gefordert wird auch an verschiedenen Stellen im BDSG eine umfassende Dokumentation, z. B. bei automatisierten Verfahren (die elektronische Mitgliederverwaltung, Lösungen zur E-Mail-Archivierung, die Weitergabe von Mitgliederdaten an übergeordnete Verbände oder eigene und externe Dienstleistungsgesellschaften) sowie eine Diebstahl- und Verlustsicherung durch entsprechende technische und organisatorische Maßnahmen und Systeme.

Fazit

Es zeigt sich, dass Risiken und Gefahren auch in Verbänden immer noch unterschätzt und in vielen Bereichen nicht ernst genommen werden. Wer auf einschlägigen Seiten, auf denen aktuelle Datenschutzpannen und Datenverluste aufgezeigt werden, recherchiert, wird erkennen, dass nicht nur die großen Unternehmen betroffen sind. Auch Verbände und Vereine finden sich in diesen öffentlichen Datenbanken.

Unter Berücksichtigung, dass Mitglieder vielfach sensible Informationen über sich preisgeben oder aufgrund der Verbandsziele preisgeben müssen, sollte es doppelt wichtig sein, dass der Schutz dieser Daten im Fokus der Führungskräfte ist.

Dennoch wird Datenschutz vielfach noch nicht als Managementaufgabe wahrgenommen. Die Notwendigkeit wird unterschätzt und es mangelt an einer wirklichen Datenschutzkultur, denn diese muss von oben vorgelebt werden. In vielen Verbänden und Vereinen existiert kein Datenschutzkonzept oder werden jährliche Unterweisungen und Sensibilisierungen der Mitarbeiter vorgenommen. Die Umsetzungen der Vorschriften der letzten Gesetzesnovelle und die Dokumentation sind nicht aktuell. Verträge mit Dienstleistern wurden den neuen Ausführungen zur Auftragsdatenverarbeitung noch nicht angepasst. Die Vorschriften zum Mitarbeiterdatenschutz des § 32 sind nicht geprüft und umgesetzt. Leicht wird dabei vergessen, dass Verstöße gegen das Bundesdatenschutzgesetz Bußgelder bis zu 300.000 Euro nach sich ziehen können. Bereits die Nichtbestellung des erforderlichen Datenschutzbeauftragten kann bis zu 50.000 Euro kosten.

Die rasanten Änderungen im Bereich der neuen Medien machen es dringend erforderlich, alle Mitarbeiter regelmäßig zu schulen und neue Verfahren und Richtlinien für die Nutzung dieser neuen Kommunikationswege und Techniken zu entwickeln.

Die Umsetzung der neuen Vorschriften im Bereich der Auftragsdatenverarbeitung (§ 11 BDSG), unerlaubter Zugriff auf personenbezogene Daten oder das Abhandenkommen personenbezogener Daten (§ 42a) sind vielfach bis heute, auch in Verbänden, noch nicht erfolgt.

Die Einsetzung eines Datenschutzbeauftragten sollte keine Alibifunktion sein, sondern kann nur mit der Unterstützung der Geschäftsleitung effektiv Impulse setzen, um eine nachhaltige Datenschutzkultur in Verbänden entstehen zu lassen. Wirksamer Datenschutz und Datensicherheit sind ein wichtiger Beitrag zum Vertrauen der Mitglieder.

Artikel teilen:
Autor/in

Jürgen Hartz

berät seit 2005 in allen Belangen des Datenschutzes und ist als externer Datenschutzbeauftragter bestellt. Er ist Mitglied im Vorstand des Berufsverbandesder Datenschutzbeauftragten BvD e. V. und in verschiedenen Gremien aktiv.

http://www.bvdnet.de