Inhaltsverzeichnis

A.  Der Datenschutz  1

I.  Wozu Datenschutz?  1

II.  Der Begriff Datenschutz.  1

III.  Das Bundesdatenschutzgesetz.  2

1.  Historische Entwicklung  2

2.  Die Anwendung.  2

3.  Die Kontrollinstanzen  3

IV.  Die Landesdatenschutzgesetze  3

V.  Weitere Schutzgesetze  4

VI.  Gemeinsame Aufgaben der Schutzgesetze.  4

B.  Der betriebliche Datenschutzbeauftragte.  5

I.  Die Bestellung des Datenschutzbeauftragten  5

1.  Rechtsgrundlage und Anwendungsbereich  5

2.  Wann muss ein Datenschutzbeauftragter bestellt werden?  5

3.  Wer kann Datenschutzbeauftragter werden?  7

a)  Anforderung der Fachkunde.  7

b)  Anforderung der Zuverlässigkeit  8

4.  Wie ist der Datenschutzbeauftragte zu bestellen?  9

a)  Schriftliche Bestellung  9

b)  Beteiligung des Betriebsrates.  11

c)  Kommissarische Bestellung  11

II.  Stellung und Befugnisse.  11

1.  Stellung in der Hierarchie.  12

2.  Rechte und Grenzen in der Tätigkeit  12

3.  Verschwiegenheitspflicht.  13

4.  Zeugnisverweigerungsrecht  14

5.  Unterstützungspflicht der verantwortlichen Stellen  15

6.  Direktes Vorsprachrecht beim Beauftragten für Datenschutz  16

7.  Benachteiligungsverbot.  16

8.  Widerruf der Bestellung.  17

C.  Aufgaben des betrieblichen Datenschutzbeauftragten  19

I.  Beratung und Mitwirkung  19

I

1.  Sicherung der technischen und organisatorischen Maßnahmen  20

2.  Mitwirkung bei der Personalauswahl.  20

a)  Mitwirkung des betrieblichen Datenschutzbeauftragten bei der Personalauswahl  21

b)  Die Beteiligung beim Vorstellungsgespräch.  21

c)  Die Beteiligung des betrieblichen Datenschutzbeauftragten vor Ablauf der  

Probezeit   21

II.  Schulung  21

1.  Allgemeine Schulungsaufgaben.  21

2.  Verpflichtung auf das Datengeheimnis  23

III.  Kontrollaufgaben  23

1.  Vorabkontrolle  23

2.  Kontrolle und Überwachung.  24

3.  Überwachung im Bereich der Datenverarbeitung  25

V.  Verfahrensverzeichnis  25

VI.  Mitwirkung beim Audit.  26

D.  Spannungsfelder und Interessenkonflikte  28

I.  Probleme im Unternehmen und mit dem Personal  28

II.  Probleme mit dem Personal  28

III.  Probleme bei der Informationstechnik (IT)  29

IV.  Probleme mit dem Geheimschutzbeauftragten.  30

V.  Spannungsfeld zwischen Betriebsrat  30

VI.  Spannungsfeld zwischen Aufsichtsrat  31

E.  Formen der Institutionalisierung.  32

I.  Der interne Datenschutzbeauftragte.  32

II.  Der externe Datenschutzbeauftragte  33

IV.  Wirtschaftlichkeit - externer oder interner Datenschutzbeauftragter  34

IV.  Externer, als interner Beauftragter für Datenschutz.  35

F.  Fazit  37

Literatur  / Quellenverzeichnis  I

II

Abkürzungsverzeichnis

AG Aktiengesellschaft ArbG Arbeitsgericht BAG Bundesarbeitsgericht BGB Bürgerliches Gesetzbuch BGBl Bundesgesetzblatt BDSG Bundesdatenschutzgesetz BVerfG Bundesverfassungsgericht BVerfGE Bundesverfassungsgericht Entscheidung DB Der Betrieb DuD Datenschutz und Datensicherheit EDV Elektronische Datenverarbeitung EU-DSRL EU-Datenschutzrichtlinie GmbH Gesellschaft mit beschränkter Haftung IT Informationstechnik KG Kommanditgesellschaft LAG Landesarbeitsgericht LDSG Landesdatenschutzgesetz NJW Neue Juristische Wochenschrift NZA Neue Zeitschrift für Arbeitsrecht OHG Offene Handelsgesellschaft RDV Recht der Datenverarbeitung SGB Sozialgesetzbuch SKHG Saarländisches Krankenhausgesetz ZTR Zeitschrift für Tarifrecht

III

A. Der Datenschutz

I. Wozu Datenschutz?

Die Vernetzung von zentralen Servern, individuell nutzbaren Personal Computern und Datenbanken, durch Inter- oder Intranet bergen in den heutigen Betrieben und Unternehmen stets die Gefahr unkontrollierter Zugriffe auf fast alle in den Systemen befindlichen Daten. So wurde in jüngster Vergangenheit immer wieder festgestellt, dass die Vernetzung von Personal Computern mit Hilfe von Wireless-Lan ein besonderes erhebliches Sicherheitsrisiko darstellt, da sich Hacker in die oftmals unverschlüsselten oder schlecht verschlüsselten Systeme einloggen und Daten ausspionieren. Dem Eindringling steht so die Sicht auf Daten, wie die Auskunft über Zahlungsvorgänge, Produktionsabläufe, Forschungsergebnissen aber auch auf personelle Angelegenheiten zur Verfügung. ¹ Durch die machtvolle Datensammlung der Unternehmen steigt nicht nur das Risiko der Manipulierbarkeit der in dem System befindlichen Informationen. Hinzukommen Gefahren, wie Informationsdiebstahl, Datenspionage und Sabotage durch unbefugtes Eindringen in diese Datenbestände. ² Die Datenbestände in Unternehmen unterliegen also stets der Bedrohung durch Missbrauch, Verfälschungen, Diebstahl oder im schlimmsten Fall, der Zerstörung.

II. Der Begriff Datenschutz

Die Themengruppen Datensicherung und Datenschutz gewannen, mit dem oben genannten Einsatz des Computers in der Praxis und damit in den Fachbeiträgen eine immer größere Bedeutung. ³ In der Literatur hat sich daher als Definition des Terminus Datenschutz folgende Begriffsbestimmung etabliert.

„Datenschutz ist der Schutz aller Daten über schutzbedürftige Tatbestände bei manueller und maschineller Datenverarbeitung.“ 4

Der Datenschutz beschäftigt sich demnach mit der Frage, was geschützt werden soll. Dies darf jedoch nicht verwechselt werden, mit der Datensicherung, die der Frage nachgeht, wie geschützt werden soll. Rechtsdogmatisch betrachtet ist Datenschutz, Schutz des Rechtes einer natürlichen Person auf informationelle Selbstbestimmung, dass sich unter anderem aus dem verfassungsrechtlichen Gebot aus Art. 2 Abs. 1 GG in Verbindung mit Art 1 Abs. 1 GG ergibt. Um das Recht auf Selbstbestimmung bzw. das allgemeine Persönlichkeitsrecht, vom Betroffenen, also von dem Mensch, von dem die Daten handeln, zu gewährleisten, wurde in Deutschland das Bundesdatenschutzgesetz eingeführt.

¹ Poppe Karl, S. 1.

² siehe Fn. 1.

3 Peez Leonhard, S. 11.

4 Hermann, Günther, Lindemann, Peter, Nagel, Kurt, S. 760.

1

III. Das Bundesdatenschutzgesetz

1. Historische Entwicklung

Nicht nur mit Ausfertigung des „Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung“ (Bundesdatenschutzgesetz - BDSG) ⁵ am 27.Januar 1977, wurde die Sicherstellung einer unabhängigen Datenschutzkontrollinstanz für notwendig erachtet.

Der Problemkreis des Datenschutzes wurde bereits 1970 in Hessen erkannt. Dieses Bundesland war das Erste das ein Datenschutzgesetz, wenn auch nur auf Landesebene, erlassen hat. Grund für das Tätigwerden der gesetzgeberischen Gewalt war das Mirkozensus-Urteil. Gemäß diesem Urteil ist es mit der Menschenwürde nicht zu vereinbaren, wenn der Staat das Recht für sich in Anspruch nehmen könnte, den Menschen zwangsweise in seiner ganzen Persönlichkeit zu registrieren und zu katalogisieren, sei es auch in der Anonymität einer statistischen Erhebung. ⁶ Das BDSG wuchs daher indirekt aus dem hessischen Landesgesetz.

Auch das Bundesverfassungsgericht hat im sog. Volkszählungsurteil am 15. Dezember 1983 hervorgehoben, das gemäß des allgemeinen Persönlichkeitsrechts, grundsätzlich jeder Einzelne über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen kann. Einschränkungen dieses Rechts auf informationelle Selbstbestimmung sind nur im überwiegenden Allgemeininteresse zulässig und bedürfen einer verfassungsgemäßen gesetzlichen Grundlage, die dem rechtsstaatlichen Gebot der Normenklarheit entsprechen muss. ⁷ Diese Leitsatzentscheidung machte klar das die bisherigen Datenschutzgesetze nicht ausreichen. Es folgten sodann zahlreiche Novellierungen, mit Implementierungen der Richterentscheidungen in der Vergangenheit. Aber auch die Richtlinie 95/46/EG und das „Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“ (Konvention Nr. 108, sog. Datenschutzkonvention des Europarates) wurde in das Bundesdatenschutzgesetz übernommen.

2. Die Anwendung

Das in der aktuellen Fassung geltende BDSG ist eine gesetzliche Pflicht, die alle Unternehmen, gleicher Größenordnung oder Branche trifft. Eine Differenzierung oder Klassifizierung von Unternehmen gibt es nicht. Das Gesetz trifft jeden, „öffentliche Stellen“ und „nicht öffentliche Stellen“. Aber auch im privaten Bereich findet das BDSG seine Anwendung.

⁵ BDSG, BGBI I 1990, 2954, 2955, zuletzt geändert durch Art. 1 G vom 22.August 2006, BGBI I 2006, 1970.

⁶ BverfGE 27, 1.

⁷ BVerfG 65, 1.

2

Alle Bundesbehörden und solche Stellen, die dem Bund unterstehen aber keine bundeseigene Verwaltung sind, wie z. B. die Berufsgenossenschaften, Bundesagenturen für Arbeit zählen gemäß des BDSG zu den öffentlichen Stellen. Natürliche Personen, soweit sie sich wirtschaftlich betätigen (Einzelkaufleute, Handelsvertreter, u.a.), juristische Personen des Privatrechts (GmbH, AG, OHG, KG), öffentlich-rechtliche Wettbewerbsunternehmen (Bausparkassen) und öffentlich-rechtlich organisierte Kreditinstitute,

Versicherungsunternehmen und Krankenhäuser fallen unter den Oberbegriff „nicht öffentliche Stellen“ und gelten so zum privaten Bereich. ⁸ Obwohl die Bestellung eines internen Datenschutzbeauftragten durch die EU-Datenschutzrichtlinie (EU-DSRL) nicht zwingend vorgegeben ist, wurde dieses unumgängliche Kontrollorgan in das BDSG aufgenommen.

3. Die Kontrollinstanzen

Die EU-DSRL sieht, im Gegensatz zum BDSG, wie bereits erwähnt, den internen Datenschutzbeauftragten nicht als direkt nötiges Kontrollorgan vor. Diese Personalstelle wurde vielmehr auf deutschen Wunsch als eine von verschiedenen Kontrollalternativen etabliert. Das BDSG verfolgt mit der Einrichtung eines internen Datenschutzbeauftragten das primäre Ziel der Entlastung des Staates. Würde Datenschutz rein auf staatlicher Organisation beruhen, würde neben den kostenträchtigen Verwaltungsinstanzen auch jede Menge Bürokratie entstehen. 9

Um jedoch die hoheitliche Überwachungsaufgabe über den Datenschutz nicht gänzlich aus den staatlichen Händen zugeben, regeln §§ 22 ff. BDSG die Ernennung des Bundesbeauftragten für Datenschutz als oberste Aufsichtsbehörde.

IV. Die Landesdatenschutzgesetze

Neben dem bundesweit geltenden BDSG bestehen auch länderspezifische Gesetze zu diesem Thema. Die sog. Landesdatenschutzgesetze weisen eine starke Analogie zum BDSG auf. Ersichtlich wird dies, wenn man jeweils die §§ 1 und 2 des BDSG und LDSG vergleicht. Beide Paragrafen beinhalten die Themen Zweck, Geltungs- und Anwendungsbereich. Auch die in den §§ 3 genannten Definitionen der Begriffsbestimmungen sind gleich.

Jedoch findet gemäß § 2 Absatz 1 LDSG eine Anwendung nur auf öffentliche Stellen statt. Eine Einbeziehung der nicht-öffentlichen Stellen wie der § 1 Absatz 2 Nr. 3 BDSG gibt es

⁸ Poppe Karl, S. 24; Duhr, Naujok, ,Danker, Seiffert, DuD 2003, 5, 8.

⁹ Gola, Schomerus, S. 216; Weber, S. 698.

3

nicht. ¹⁰ Der direkte Schutz von Betroffenen ergibt sich daher, soweit es sich um nicht öffentliche Stellen handelt, in der Regel immer aus den Bundesdatenschutzgesetzen.

V. Weitere Schutzgesetze

Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten kann sich jedoch nicht nur aus dem BDSG für private und öffentliche Stellen, sondern auch aus „bereichsspezifischen Datenschutzvorschriften“ ergeben. So ist z. B. der Sozialleistungsträger zur Bestellung eines Datenschutzbeauftragten gemäß §§ 81 Abs. 4 SGB X und 35 SGB I verpflichtet. Weitere Sondervorschriften ergeben sich unter anderem aus § 13 Abs. 1 i. V. m. Abs. 9 SKHG, welches den Patientendatenschutz im Saarland regelt oder für kirchliche Einrichtungen z. B. aus §§ 19 - 21 DSG-EKD. ¹¹ .

VI. Gemeinsame Aufgaben der Schutzgesetze

Obwohl es eine Vielzahl unterschiedlicher Gesetze gibt, die eine Bestellung des Datenschutzbeauftragten vorschreiben, verweisen diese jedoch im Detail immer auf das BDSG oder auf die Datenschutzgesetze der Länder, welche starke Parallelen zum BSDG aufweisen. Gerade im Bereich der Rechtsstellung und Modalitäten der

Aufgabenwahrnehmung des Datenschutzbeauftragten gibt es oftmals keine Unterschiede. Die Hauptaufgabe des BDSG oder der Sondervorschriften in anderen Spezialgesetzen ist die Schaffung eines unabhängigen Kontrollorgans innerhalb einer behördlichen Einrichtung oder eines Unternehmens, mit dem Ziel des Schutzes des allgemeinen Persönlichkeitsrechts und dem hiermit verbundenen Recht auf informationelle Selbstbestimmung.

¹⁰ LDSG Rheinland-Pfalz, GVBI 1994, S. 293, vom 5. Juli 1994, zuletzt geändert durch Gesetz vom 8. Mai 2002, GVBI

2002, S. 177.

¹¹ Claessen, S. 122 ff.

4

B. Der betriebliche Datenschutzbeauftragte

I. Die Bestellung des Datenschutzbeauftragten

Eine immer wichtiger werdende Kontrollinstanz ist der Datenschutzbeauftragte, diese vom BDSG erschaffene Rechtsfigur, verkörpert das Prinzip der innerbetrieblichen bzw. innerbehördlichen Selbst- bzw. Eigenkontrolle, welches zur Fremdkontrolle in Form von Aufsichtsbehörde, Bundes- und Landesdatenschutzbeauftragten komplementär ist. In der Privatwirtschaft wird der Datenschutzbeauftragte der verantwortlichen Stelle oftmals betrieblicher Datenschutzbeauftragter genannt; genauer wäre jedoch die Bezeichnung „Datenschutzbeauftragter des Unternehmens“. ¹² Die Bestellung eines solchen Datenschutzbeauftragten trifft grundsätzlich den Unternehmensinhaber bzw. die Leitung der juristischen Person, der das Unternehmen gehört. Auf einen sog. Konzernbeauftragten, der „uno actu“ ¹³ durch die Konzernleitung für alle konzernangehörige Firmen bestellt wird, hat der Gesetzgeber bewusst abgesehen.

1. Rechtsgrundlage und Anwendungsbereich

Bei Unternehmen, als nicht öffentliche Stellen, ist die Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten weiterhin an einen Mindestumfang der Datenverarbeitung und damit an ein bestimmtes Gefährdungspotenzial geknüpft. Die Voraussetzungen werden durch die §§ 4 f BDSG ff. festgelegt.

2. Wann muss ein Datenschutzbeauftragter bestellt werden?

Wie bereits ausgeführt, müssen die Behörden und sonstige öffentliche Stellen im Anwendungsbereich des BDSG einen Beauftragten für den Datenschutz bestellen. Nicht öffentliche Stellen wie juristische Personen, Personengesellschaften auch nicht rechtsfähige Vereine ebenso wie natürliche Personen können nach dem BDSG grundsätzlich verpflichtet sein, Datenschutzbeauftragte zu bestellen.

Um jedoch Kleingewerbetreibende vor der teilweise kostenintensiven Stelle eines Datenschutzbeauftragten zu bewahren, regelt § 4f BDSG die Voraussetzungen, wann ein betrieblicher Datenschutzbeauftragter eingestellt werden muss.

Der Unternehmensinhaber bzw. die Leitung einer juristischen Person ist zur Bestellung eines betrieblichen Datenschutzbeauftragten gem. § 4f Absatz 1 Satz 1 nur gezwungen, wenn sie personenbezogene Daten automatisiert oder in anderer Weise verarbeiten. Zu einer

¹² Wohlgemuth, Gerloff, S. 145.

¹³ „ein Tätiger“; Gola, Schomerus, S. 218.

5

automatisierten Datenverarbeitung zählen alle programmgesteuerten EDV-Anlagen. Unbeachtet ist dabei ob es sich um einen stand-alone oder vernetzten Computer handelt. ¹⁴ Folgende Arbeitsplätze oder Arbeitstätigkeiten zählen zur automatisierten Datenverarbeitung:

- Operator(in) von EDV-Anlagen und Terminals

- Programmierung

- EDV-Organisation

- EDV-Arbeitsvorbereitung u. -nachbereitung

- Sachbearbeitung mithilfe eines PCs

- Bedienung von automatisierten Kassensystemen

- etc. 15

Nicht zu einer automatisierten Datenverarbeitung gehören jedoch herkömmliche Tischrechner und Buchungsautomaten. 16

Das Datenschutzgesetz knüpft die Erfordernis einen Datenschutzbeauftragten zu benennen daran an, dass 9 Arbeitnehmer beim automatisierten Umgang mit personenbezogenen Daten beschäftigt sind (§ 4f Absatz 1 Satz 2 u. 3 BDSG), oder 20 Personen in nicht automatisierter Weise mit personenbezogenen Daten umgehen. Erst wenn diese Vorgaben erreicht werden, muss ein betrieblicher Datenschutzbeauftragter bestellt werden. Unter dem Begriff beschäftigt, versteht der Gesetzgeber alle Personen, die regelmäßig und üblicherweise in der Datenverarbeitung arbeiten bzw. mit der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten umgehen. So genügt es z. B., wenn ein Arbeitnehmer wiederkehrende Listenausdrucke mit personenbezogenen Daten erhält, ohne im Übrigen mit der Erhebung oder Verarbeitung der ausgedruckten Daten zu tun zu haben. Dazu zählen auch temporär befristete Beschäftigungsverhältnisse aufgrund

außergewöhnlichen Arbeitsanfalls wie Weihnachtsgeschäft oder Terminprojekte. ¹⁷ Ein Schwellenwert muss jedoch nicht erfüllt werden, wenn eine automatisierte Verarbeitung vorliegt, die eine Vorabkontrolle nach § 4d Absatz 5 BDSG erfordert oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung (§§ 29 u. 30 BDSG) verwendet werden. Unter einer Vorabkontrolle fallen auch die immer mehr an Bedeutung gewinnenden Scoring-Verfahren. Immer mehr Firmen erstellen Konsumentenprofile, wonach Kunden nach ihrer wirtschaftlichen Leistungsfähigkeit benotet werden. Da die Unternehmer i.d.R. keinen Einblick auf den Herstellungsprozess solcher Konsumentenprofile erteilen und keine Begründung geben, warum ein Score gut oder schlecht ausfällt, ist die Vereinbarkeit zum

¹⁴ Schaffland, Wiltfang, § 36, Rn. 7.

¹⁵ vgl. dies., §36 Rn. 10.

¹⁶ Schaffland, Wiltfang, § 36, Rn. 6.

¹⁷ Wohlgemuth, Gerloff, S. 146; Poppe Karl, S. 109.

6