Häufige Fragen zum Datenschutzrecht

Die Aufgaben des Datenschutzbeauftragten sind in § 4g BDSG genannt:

• Der Datenschutzbeauftragte muss auf die Befolgung der Vorschriften über den Datenschutz hinwirken,
• die ordnungsmäßige Anwendung von Datenverarbeitungsprogrammen überwachen,
• die bei der Verarbeitung von personenbezogener Daten tätigen Personen schulen,
• das Verfahrensverzeichniss bekanntmachen und
• die Vorabkontrolle durchführen.

Wie und in welchem Umfang die vorgenannten Aufgaben vom Datenschutzbeauftragten erfüllt werden, hängt vom jeweiligen Einzelfall ab. Der Datenschutzbeauftragte hat bei der Entscheidung über die erforderlichen Maßnahmen einen Ermessensspielraum. Idealerweise stimmt er sich dabei mit seinem jeweiligen Auftraggeber ab.

Hier darf man nicht der Gefahr erliegen, aus dem Begriff „Datenschutzrecht“ das Schutzgut „Daten“ zu schlussfolgern. Das Datenschutzrecht schützt nicht Daten vor Verarbeitung, sondern Nutzer vor Daten! Primärer Schutzgegenstand des Datenschutzrechts ist folglich zu allererst das allgemeine Persönlichkeitsrecht der Betroffenen in Ausgesaltung des Rechts an der informationellen Selbstbestimmung.

Auftragsdatenverarbeitung liegt vor, wenn personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden, § 11 Abs. 1 BDSG. Aufträge zur Datenverarbeitung müssen zwingend folgende Voraussetzungen beachten:

Der Auftrag ist gem § 11 Abs. 2 S. 2 BDSG

1. schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:
2. der Gegenstand und die Dauer des Auftrags,
3. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
4. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
5. die Berichtigung, Löschung und Sperrung von Daten,die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Bei Missachtung dieser zwingenden Vorschriften kann ein Bußgeld bis zu 50.000 EUR verhängt werden. Ist der durch die Auftragsdatenverarbeitung wirtschaftliche Vorteil größer als dieser Betrag, kann auch ein erhöhtes Bußgeld verhängt werden.

Für die Überwachung des E-Mailverkehrs am Arbeitsplatz ist es - wie immer bei der Kommunikationsüberwachung - entscheidend, ob die Privatnutzung erlaubt oder verboten ist. Hat der Arbeitgeber diese untersagt, kann er sich auf ein beruflich motiviertes Interesse stützen. Hat der Arbeitgeber eine private E-Mail Nutzung hingegen nicht ausdrücklich untersagt, unterliegt der Zugriff deutlich höheren Anforderungen.

Die Vorabkontrolle wird von dem Datenschutzbeauftragten durchgeführt. Ein solches Kontrollverfahren ist immer dann erforderlich, wenn durch die Datenerhebung besondere Risiken für den Betroffenen bestehen. Beispielsweise bei:

• personenbezogenen Daten. Hierbei handelt es sich um besonders sensible Daten des Betroffenen, wie der Sexualität, der religiösen Überzeugung oder der ethnischen Herkunft,
• bei Daten die dazu geeignet sind den Betroffenen hinsichtlich seiner Leistung, Fähigkeit oder seines Verhaltens zu bewerten

Diese im Gesetz normierten Beispiele (§ 4d Abs.5 S.2 BDSG) sind jedoch nicht abschließend gedacht. Vielmehr muss der Datenschutzbeauftragte für den Einzelfall prüfen, ob besondere Risiken für die Rechte oder Freiheiten der Betroffenen vorliegen.

Ein Vorabkontrollverfahren entfällt hingegen, wenn:

1. eine gesetzliche Verpflichtung zur Erhebung, Verarbeitung oder Nutzung besteht,
2. eine Einwilligung des Betroffenen vorliegt,
3. die Erhebung, Verarbeitung oder Nutzung von Daten für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses erforderlich ist.