MOIN°!  Ihr Partner für Datenschutz
                                       

Die Tätigkeit als externer Datenschutzbeauftragter ist ein anerkannter Beruf im Datenschutz. Gemäß dem Urteil des Landgerichtes Ulm:

Ein betrieblicher Datenschutzbeauftragter muss die Vorschriften der Datenschutzgesetze des Bundes und der Länder und andere, den Datenschutz betreffende Rechtsvorschriften anwenden können, des weiteren muss er über Kenntnisse der betrieblichen Organisation verfügen und Computerexperte sein. […] 

Auch wenn das Bundesdatenschutzgesetz die Tätigkeit als Datenschutzbeauftragter nicht von einem bestimmten Ausbildungsgang abhängig macht, so sprechen doch zahlreiche Einzelregelungen des Gesetzes für das Vorliegen eines relativ konkreten Berufsbildes.

Dem Datenschutzbeauftragten in öffentlichen Einrichtungen, der Wirtschaft, der Industrie und bei Behörden kommt in heutiger Zeit ein wichtiger Auftrag für die Wahrung der Belange der Gesellschaft zu.

Seine Aufgabe besteht darin, Beeinträchtigungen und Gefahren entgegenzuwirken, die sich aus dem massenhaften Umgang mit Daten und Informationen ergeben, die über bestimmte Personen gespeichert sind. Es liegt auf der Hand, dass hierdurch die Persönlichkeitsrechte des einzelnen Bürgers in erheblichem Maße beeinträchtigt und tangiert sein können.

Der Datenschutzbeauftragte hat die Aufgabe, für die Wahrung des Persönlichkeitsrechts im Rahmen der geltenden Gesetze Sorge zu tragen. Bei der Erfüllung dieser öffentlichen Aufgabe ist er nicht an Weisungen des Arbeitgebers gebunden.

Das Gesetz verlangt von ihm die erforderliche Fachkunde und Zuverlässigkeit. Gerade an seine Fachkunde werden hohe Anforderungen gestellt:

  •  Er muss die Vorschriften der Datenschutzgesetze des Bundes und der Länder und alle anderen, den Datenschutz betreffenden Rechtsvorschriften anwenden können, er muss über Kenntnisse der betrieblichen Organisation verfügen und Computerexperte sein.
  • Von ihm werden didaktische Fähigkeiten, psychologisches Einfühlungsvermögen und Organisationstalent verlangt.
  • Mit Konflikten um seine Position, seine Funktion und Aufgabe muss er in angemessener Art und Weise umgehen können”.

Der Bundesfinanzhof hatte am 05.06.2003 geurteilt, dass die Tätigkeit des externen Datenschutzbeauftragten nicht freiberuflicher Natur ist, sondern ein Gewerbe darstellt und dementsprechend gewerbesteuerpflichtig ist: S.h. Auschnitt aus dem Urteil.

Die Klägerin übt laut BFH als extern bestellte Datenschutzbeauftragte weder den Beruf eines beratenden Betriebswirts aus, noch war ihre Tätigkeit diesem Beruf ähnlich. Sie unterliege daher der Gewerbesteuer.
[…]
Die Tätigkeit des Datenschutzbeauftragten stelle einen völlig eigenständigen und neuen Beruf dar, der mit dem tradierten Beruf des beratenden Betriebswirtes nicht vergleichbar ist. Dies zeige sich nicht zuletzt auch daran, dass die sachgerechte, den gesetzlichen Anforderungen des Datenschutzgesetzes entsprechende Beratungstätigkeit des Datenschutzbeauftragten neben den betriebswirtschaftlichen Grundkenntnissen in erheblichem Umfang Kenntnisse aus anderen Wissenschaftsbereichen voraussetzt.
So müsse der Datenschutzbeauftragte, um die in § 37 Abs. 1 BDSG 1990 (nunmehr § 4g BDSG) geregelten Aufgaben erfüllen zu können, auch über umfangreiche juristische Kenntnisse zum Datenschutzrecht verfügen, was nicht nur vertiefte Kenntnisse der Regelungen des Bundes- und des jeweiligen Landesdatenschutzgesetzes voraussetzt, sondern auch Kenntnisse bezüglich der datenschutzrelevanten Spezialregelungen im Zivil-, Straf-, Steuer-, Sozial-, Arbeits- und Verwaltungsrecht.
Daneben müsse er umfangreiche technische Kenntnisse auf dem Gebiet der sog. Computer-Hardware und der unterschiedlichen System- und Anwendersoftware aufweisen. Er müsse zudem über pädagogische Fähigkeiten und Kenntnisse verfügen.
Der Beruf des Datenschutzbeauftragten könne daher auf Grund des bezeichneten Anforderungsprofils nur dann mit der erforderlichen Fachkunde ausgeübt werden, wenn theoretisches Grundwissen erworben wird, welches den Lehrinhalten verschiedener Hoch- bzw. Fachhochschulstudiengänge (Ingenieur-, Rechtswissenschaften, Betriebswirtschaftslehre und Pädagogik) zugeordnet ist.
Dabei erstrecke sich der erforderliche interdisziplinäre Wissensstand aber nur auf Teilbereiche dieser Studiengänge, so dass es weder der Absolvierung noch des Abschlusses eines dieser Hoch- bzw. Fachhochschulstudiengänge bedürfe.
“.

Der Datenschutzbeauftragte als Rechtsexperte

Viele externe Datenschutzbeauftragte kommen aus dem juristischen Bereich. Die fundierte rechtliche Ausbildung hat natürlich den Vorteil, dass das Bundesdatenschutzgesetz (insbesondere mit seinen zahlreichen Überschneidungen z.B. ins Internetrecht) sicher angewendet werden kann. Die fast täglich notwendigen rechtlichen Recherchen fallen diesen Datenschutzbeauftragten leicht.
Auf der anderen Seite müssen die Rechtsanwälte sich “auf eigene Kraft” in die Technik einarbeiten.

Der Datenschutzbeauftragte als Computerexperte

Viele externe Datenschutzbeauftragte kommen aus EDV-Bereichen. Der Vorteil der EDV-technischen Ausbildung liegt darin, dass die Chancen und Risiken diverser Technologien im Detail bekannt sind. Sind also technische Lösungswege gefragt, so kann ein Computerexperte sie sicher identifizieren. Die fast täglich notwendigen technischen Recherchen fallen diesen Datenschutzbeauftragten leicht.
Auf der anderen Seite müssen sich die Computerexperten “auf eigene Kraft” in die juristischen Feinheiten einarbeiten.

Schnelligkeit, Sorgfalt und Beharrlichkeit

Als Datenschutzbeauftragter werden Sie oftmals spontan vom Kunden gefordert. “Besser gestern als heute” müssen rechtliche Einschätzungen abgegeben werden oder umfangreiche Datenschutzvereinbarungen gestaltet werden.
Wichtig ist aber auch eine täglich gelebte Sorgfalt, denn Entscheidungen und Kommunikationsprozesse von Heute werden vielleicht erst in fünf Jahren von einer Aufsichtsbehörde hinterfragt.
Schließlich muss man als Datenschutzbeauftragter auch beharrlich sein können. Die Gestaltung einer EDV-Nutzungsvereinbarung kann sich Monate hinziehen; hier muss man am Ball bleiben, ohne lästig zu werden. Auch die Vertragsgestaltungen mit Subunternehmern der Kunden ist oftmals ein langfristiger und zäher Prozess.

Der Datenschutzbeauftragte als langfristiger Partner des Unternehmens

Unsere Erfahrung zeigt, dass der externe Datenschutzbeauftragte ein Unternehmen langfristig betreut. Es bildet sich in aller Regel ein Vertrauensverhältnis zwischen dem Datenschutzbeauftragten und der Geschäftsführung (und natürlich auch mit dem innerbetrieblichen Datenschutz-Koordinator und anderen fachlich wichtigen Kollegen).
Das betreute Unternehmen gibt dem externen Datenschutzbeauftragten einen mitunter recht tiefen Einblick in die zahlreichen betrieblichen Internas; hierzu gehören auch Details zu technischen und organisatorischen Sicherheitsmaßnahmen. Im alltäglichen Miteinander lernen sich das Unternehmen und der Datenschutzbeauftragte kennen; gemeinsam übersteht man auch schon mal schwierige Situationen. In aller Regel entwickelt sich auch ein vertrauensvolles und kooperatives Verhältnis zu Betriebsrat.
All dies wird das betreute Unternehmen nicht ohne wichtigen Grund über Bord werfen. Daher stellt ein gewonnenes Unternehmen für den Datenschutzbeauftragten in aller Regel eine langfristig stabile geschäftliche Partnerschaft dar.

Beispiele für die typischen Tätigkeiten eines Datenschutzbeauftragten

  • Mitarbeiterschulung durchführen
    Jeder Mitarbeiter, der mit personenbezogenen Daten arbeitet, muss vom Datenschutzbeauftragten geschult werden.
  • Datenschutz-Handbuch erstellen
    Diese umfangreiche Dokumentation enthält alles, was der Kunde vorort benötigt, um seinen Datenschutz dokumentieren zu können. Von allgemeinen Einleitungen über das Verfahrensverzeichnis bis hin zu den Jahresberichten des Datenschutzbeauftragten.
  • Bestandsaufnahme durchführen
    Der Datenschutzbeauftragte muss das Unternehmen kennenlernen. Hierfür gibt es viele Fragen zu stellen, da personenbezogene Daten an verschiedensten Stellen genutzt werden: Von der Personalabteilung bis hin zur Internetpräsenz. Ungefähr 1.000 Fragen müssen gestellt werden.

Die folgenden Beispiele sind “wiederkehrende Prozesse” des Datenschutzbeauftragten.

  • Mitarbeiterschulung mit Schulungsbestätigung
    Viele Kunden wünschen eine wiederkehrende Schulung der Mitarbeiter. Hierfür bieten wir eine automatisierte Schulungseinladung mit automatisierter Schulungsbestätigung.
  • Jahresbericht erstellen
    Am Ende eines Vertragsjahres erstellt der Datenschutzbeauftragte einen Jahresbericht. Hierfür liefern wir die notwendige Checkliste und die entsprechende Vorlage, die nur noch auf den Kunden angepasst werden muss.
  • Pflege des Verfahrensverzeichnisses
    Die Dokumentation der automatisierten Verarbeitungen wird erstmals im Zuge des Datenschutz-Handbuchs erstellt (siehe oben). Im Laufe der Monate und Jahre ändern sich diese Prozesse. Darauf muss der Datenschutzbeauftragte reagieren. Wir haben Mechanismen entwickelt, wie Änderungen (halbautomatisiert) festgestellt werden können.
  • Feststellungen formulieren und auf deren Abhilfe hinwirken
    Falls Sie als Datenschutzbeauftragter feststellen, dass es wichtigen Optimierungsbedarf beim Kunden gibt, so werden Sie dies in Form von “Feststellungen” kommunizieren und aktiv darauf hinwirken, dass (z.B. die von Ihnen formulierten Abhilfen) realisiert werden.
  • Datenschutzvereinbarungen formulieren
    Sobald Ihr Kunde die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten an ein anderes Unternehmen auslagert, stellt sich die Frage, ob dies rechtlich zulässig ist und welche Formalitäten notwendig sind. Hierfür geben wir Ihnen die notwendigen Checklisten und Vertragsvorlagen an die Hand.