Auftragsverarbeitung und weitere Verfahren

Ein Datenschutzbeauftragter ist zentraler Bestandteil des Datenschutzrechts. Er wirkt auf die Einhaltung aller relevanten Datenschutz-Vorschriften hin. Dabei besteht für Unternehmen ab zehn Mitarbeitern in der Regel die Pflicht, einen Datenschutzbeauftragten schriftlich zu bestellen, Art. 37 ff. DSGVO, §§ 5 ff., 38 BDSG. Als Datenschutzbeauftragter kommen Personen in Betracht, die fachkundig und zuverlässig sind. Sie können aus dem Unternehmen selbst oder von außerhalb stammen.

Die Aufgaben des Datenschutzbeauftragten sind nur teilweise ausdrücklich im Gesetz geregelt. § 4g BDSG spricht allgemein davon, dass der Datenschutzbeauftragte auf die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz hinwirkt. Hierzu gehören auch die Überwachung der ordnungsgemäßen Datenverarbeitung, die Schulung von Mitarbeitern und die Erstellung eines Verfahrensverzeichnisses. In jedem Fall ist für den jeweiligen Einzelfall zu ermitteln, welche gesetzlichen Regelungen etc. individuell anzuwenden sind.

Auftragsverarbeitung liegt regelmäßig dann vor, wenn Dritte in einen Datenverarbeitungsvorgang eingeschaltet werden (z.B. beim Outsourcing). Diese Dritte sind sorgfältig auszuwählen. Der Auftrag ist dem Dritten zwingend schriftlich zu erteilen. Er muss eine Vielzahl gesetzlich genau vorgegebener Angaben beinhalten. Verstöße gegen die zwingenden gesetzlichen Vorschriften können zu Bußgeldern führen.

Der Datenschutzbeauftragte ist verantwortlich für die ordnungsgemäße Dokumentation des Umgangs mit den relevanten Daten. Hierzu erstellt der Datenschutzbeauftragte ein Verfahrensverzeichnis (auch Verfahrensübersicht genannt). Man unterscheidet zwischen dem internen Verfahrensverzeichnis und dem öffentlichen Verfahrensverzeichnis. Die Inhalte des Verfahrensverzeichnisses sind in § 4e BDSG genannt.

Der Schutz des Grundrechts auf informationelle Selbstbestimmung erfordert besondere Kontrollverfahren. Besondere Risiken für das allgemeine Persönlichkeitsrecht bestehen, wenn Daten nicht bloß im Einzelfall, sondern automatisiert erhoben werden. Der Vorbeugung dieser Gefahren dient die europäische Datenschutzrichtlinie, deren Vorgaben in § 4d Abs. 5 BDSG umgesetz wurden.