Datenschutz bei IT-Verträgen
Seite 2: Der betriebliche Datenschutzbeauftragte
Der betriebliche Datenschutzbeauftragte
Insbesondere bei der Auftragsdatenverarbeitung wird deutlich, dass die ErfĂĽllung der gesetzlichen Anforderungen die Einbindung der jeweiligen betrieblichen Datenschutzbeauftragten auf beiden Seiten erfordert.
Voraussetzungen der Bestellpflicht
Unter den folgenden gesetzlichen Voraussetzungen sind Unternehmen verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen (§ 4 f Abs. 1 BDSG):
Unabhängig von der Zahl der Beschäftigten ist dies immer bei automatisierten Verarbeitungen besonders sensibler personenbezogener Daten (z. B. Nationalität, Religion, Gewerkschaftszugehörigkeit, Gesundheit, Verhaltensbewertung), die einer Prüfung vor Beginn der Verarbeitung (Vorabkontrolle) unterliegen, der Fall oder bei Adresshandel und Scoring.
Zudem, wenn in der Regel 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden oder schließlich, wenn in der Regel mindestens 20 Personen damit beschäftigt sind, personenbezogene Daten auf andere Weise (nicht automatisiert) zu erheben, zu verarbeiten oder zu nutzen.
Definition der personenbezogenen Daten
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (§ 3 Abs. 1 BDSG, Art. 2 a RL 95/46/EG). Eine Person ist bestimmbar, wenn sie direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind. Bei der Entscheidung, ob ein Betroffener bestimmbar ist, sind alle Mittel zu berücksichtigen, die vernünftigerweise entweder von dem Verantwortlichen oder von einem Dritten eingesetzt werden könnten, um den Betroffenen zu bestimmen.
Der Begriff der personenbezogenen Daten umfasst folglich alle Informationen, die über eine Bezugsperson etwas aussagen oder mit ihr in Verbindung gebracht werden können. Hierzu gehören nicht nur klassische Daten wie etwa der Name, Geburtsdatum oder Familienstand, sondern auch Bildaufnahmen, Darstellungen des beruflichen Verhaltens, Meinungsäußerungen, Beurteilungen und Werturteile, die sich auf einen bestimmten oder bestimmbaren Betroffenen beziehen. Angaben zu vertraglichen oder sonstigen Beziehungen zu Dritten, Dateibezeichnungen und Prognose- und Planungsdaten können Verhältnisse des Betroffenen beschreiben und damit ebenfalls personenbezogen sein. Nach der gegenwärtig in der Rechtsprechung herrschenden Ansicht handelt es sich sowohl bei dynamischen als auch bei statischen IP-Adressen um personenbezogene Daten, weil eine Zuordnung zu einer bestimmbaren Person möglich ist.
Automatisierte Datenverarbeitung
Eine automatisierte Datenverarbeitung liegt vor, wenn Datenverarbeitungsanlagen zum Einsatz kommen (§ 3 Abs. 2 S. 1 BDSG) und eine programmgesteuerte Zugänglichkeit und Auswertung des Datenbestandes möglich ist. Ausreichend ist, dass die Daten manuell beschafft werden (z. B. bei Kunden im Ladengeschäft zum Zwecke der Markt- und Meinungsforschung) und im Anschluss mittels Datenverarbeitungsanlagen auf einem Datenträger gespeichert und genutzt werden können.
Pflicht zur Vorabkontrolle
Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten besteht unabhängig von der Zahl der Beschäftigten, die mit personenbezogenen Daten umgehen, wenn sich aus der Art der verarbeiteten Daten oder dem Verwendungszweck besondere Gefährdungen für das Persönlichkeitsrecht der Betroffenen ergeben können. In diesem Fall unterliegt das Verfahren der automatisierten Datenverarbeitung der Vorabkontrolle durch den Datenschutzbeauftragten. Gemeint sind einer bestimmten Zweckbestimmung dienende Verarbeitungspakete, nicht einzelne Verarbeitungsvorgänge. Solche Risiken bestehen insbesondere, wenn sensible Daten verarbeitet werden oder die Verarbeitung dazu bestimmt ist, Persönlichkeits- oder Leistungsprofile der Betroffenen zu erstellen und zu bewerten. Keinem besonderen Schutz unterliegen Grunddaten, die lediglich Rückschlüsse auf sensible Informationen zulassen würden, wenn keine Auswertungsabsicht besteht. Die Vorabkontrolle entfällt, wenn die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nach Gesetz oder Vertrag erforderlich ist oder mit Einwilligung des Betroffenen erfolgt.
Erreichter Mindestumfang der Datenverarbeitung
Grundsätzlich sieht das Gesetz erst ab einem bestimmten Mindestumfang der Datenverarbeitung eine Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten vor. Die Pflicht besteht, wenn ein Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt (§ 4 f Abs. 1 S. 4 BDSG). Diese Regelung erfasst alle Personen, unabhängig von ihrem arbeitsrechtlichen Status, nämlich Angestellte, Arbeiter, freie Mitarbeiter, Heimarbeitskräfte, Leiharbeitnehmer, Auszubildende und Praktikanten. Mitglieder der Geschäftsleitung gehören nicht zum gesetzlich bestimmten Personenkreis.
Die eingesetzten Personen müssen "in der Regel" und "ständig" mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sein (§ 4 Abs. 1 S. 4 BDSG). "In der Regel" bezieht sich auf die Anzahl von mindestens zehn Beschäftigten, die auf Dauer personenbezogene Daten verarbeiten. Vorübergehende Änderungen (Überschreitungen oder Unterschreitungen) des Personalbestands sind unschädlich. Eine "ständige" Beschäftigung liegt bereits vor, wenn die Mitarbeiter diese Aufgabe auf unbestimmte bzw. längere Zeit ausüben, d. h. immer wenn sie anfällt. Auf den Anteil bzw. Umfang dieser Arbeit kommt es nicht an. Die Verarbeitung personenbezogener Daten braucht nicht Hauptaufgabe zu sein. Hierbei genügt bereits eine einmalige Verarbeitung je Monat, sofern der Beschäftigte aufgrund seiner Tätigkeit verpflichtet ist, die Aufgabe im Zeitpunkt ihres Anfalls wahrzunehmen. Dabei muss die Datenverarbeitung auch nicht den Arbeitsplatz des Beschäftigten bestimmen. Ausgenommen sind jedoch Beschäftigte, die nur zufällig im Rahmen der Erledigung anderer Aufgaben mit der Verarbeitung personenbezogener Daten zu tun haben (z. B. Revision, Wartungstechniker).
Jedenfalls immer zu berücksichtigen sind Mitarbeiter, die unmittelbar an den Datenverarbeitungsanlagen tätig sind und die das Unternehmen eigens für die automatisierte Erhebung, Speicherung, Veränderung, Übermittlung, Sperrung und Löschung von personenbezogenen Daten angestellt hat (z. B. IT-Mitarbeiter, Personalsachbearbeiter). Des Weiteren sind von der Regelung auch Mitarbeiter betroffen, die nur mit Vorarbeiten oder Nacharbeiten betraut sind (z. B. Kassenmitarbeiter) oder die sich aufgrund von Zugriffsrechten die Daten per Terminal anzeigen lassen können.
Widerruf der Bestellung und KĂĽndigungsschutz
Nach neuer Rechtslage ist die Kündigung des Arbeitsverhältnisses des Beauftragten für den Datenschutz immer nur aus wichtigem Grund im Sinne von § 626 BGB möglich (§ 4 f Abs. 3 S. 4 BDSG). Das heißt, das Beschäftigungsverhältnis des hauptberuflichen Datenschutzbeauftragten ist ordentlich nicht kündbar. Nach der Abberufung als Beauftragter für den Datenschutz gilt für ein Jahr nach Beendigung der Bestellung ein Kündigungsschutz (§ 4 f Abs. 3 S. 5, 6 BDSG). Damit bestehen die gleichen Kündigungsschutzregelungen wie für Betriebsratsmitglieder. Ist die Beauftragung mit dem Datenschutz nur Teilaufgabe, war nach bisheriger Rechtsprechung eine ordentliche Kündigung aus anderen als amtsbezogenen Gründen nicht ausgeschlossen. Mit dem beendeten Arbeitsverhältnis endete zugleich die Bestellung als Beauftragter für den Datenschutz, ohne dass es einer ausdrücklichen Abberufung bedurfte. Nach der Neuregelung dürfte der Kündigungsschutz auch in diesem Fall greifen.
Soll nur die Bestellung zum Datenschutzbeauftragten wirksam widerrufen werden, ist nach höchstrichterlicher Rechtsprechung die gleichzeitige Teilkündigung dieser arbeitsvertraglichen Abrede nötig. Die vertragliche Grundlage, mit der sich der Beauftragte zur Übernahme der Aufgaben eines Datenschutzbeauftragten verpflichtet, ist von der im BDSG geregelten einseitigen Bestellung zu trennen. Wird der Datenschutzbeauftragte als Arbeitnehmer beschäftigt, tritt diese Tätigkeit nach höchstrichterlicher Rechtsprechung regelmäßig zum Inhalt des Arbeitsvertrages hinzu. Die Abberufung wird daher nur wirksam, wenn auch der Inhalt des Arbeitsverhältnisses entsprechend geändert wird. Gegen den Willen des Arbeitnehmers kann der Wegfall der Tätigkeit als Datenschutzbeauftragter nur durch Teilkündigung erfolgen.
Die Autorin
Monika Sekara, Rechtsanwältin in Hannover, Kanzlei HERFURTH & PARTNER, Rechtsanwaltsgesellschaft mbH
Die Bestellung eines Arbeitnehmers erfolgt in der Regel unter gleichzeitiger einvernehmlicher Änderung der arbeitsvertraglichen Rechte und Pflichten. Die Bestellung zum Datenschutzbeauftragten bedarf regelmäßig einer entsprechenden Erweiterung seiner arbeitsvertraglichen Aufgaben durch Vertragsänderung. Derartige Vereinbarungen zur Arbeitsleistung und zum Arbeitsentgelt sind keine Nebenabreden und damit formlos gültig. (map)
