(openPR) Der Arbeitskreis EDV&Recht beschäftigte sich diesmal mit dem Datenschutz in Behörden und Unternehmen. Zum Thema „Der betriebliche Datenschutzbeauftragte – Status Quo in Recht und Praxis“ referierten am 14.11.2012 Gerald Spyra, LL.M., Rechtsanwalt und externer betrieblicher Datenschutzbeauftragter, sowie Olaf Nilgens, Sachverständiger bei StreitzConsult in Brühl, ebenfalls externer betrieblicher Datenschutzbeauftragter bei mehreren Unternehmen.
Gerald Spyra erläuterte zunächst den rechtlichen Hintergrund der Bestellung und Tätigkeit des Datenschutzbeauftragten. Dabei ging er ausführlich auf § 4 f I BDSG ein, der die Pflicht zur Bestellung eines Datenschutzbeauftragten regelt, und die Bedeutung und Auslegung der einzelnen Begriffe der Vorschrift. Ferner äußerte er sich zu dem Unterschied zwischen dem internen und dem externen Datenschutzbeauftragten, zu Besonderheiten im Zusammenhang mit Behörden und Kirchen (z.B. der Bedeutung des Beichtgeheimnisses) und zu allgemeinen Aufgaben, Rechten und Pflichten des Datenschutzbeauftragten, wie z.B. seine Eigenschaft als Geheimnisträger. Anschließend wurde darauf hingewiesen, dass Rechtsverstöße im Zusammenhang mit der Bestellung des Datenschutzbeauftragten mit Geldbußen bis zu 300.000€ pro Verstoß geahndet würden.
Olaf Nilgens beleuchtete die praktische Tätigkeit des Datenschutzbeauftragten. Er wies darauf hin, dass nicht nur bewusste Datenweitergabe datenschutzrechtliche Relevanz besitze. Vielmehr fiele auch das Ausspähen von Daten durch Cyberkriminelle, z.B. durch den Einsatz von Trojanern und Keyloggern, unter die datenschutzrechtliche Problematik. Deshalb habe der Datenschutzbeauftragte insbesondere auch die Sicherheit der im Unternehmen eingesetzten IT zu überprüfen. Im Übrigen solle er sich in erster Linie einen Einblick in Strukturen und Systematik des Unternehmens verschaffen, anstatt sich in Details zu verlieren. Er müsse wissen, wo Daten zu finden sind (Systeme, Speicher, Clouds, mobile Geräte, BYOD, Archiv) und sich ein Bild von der Effektivität von Datenlöschungen verschaffen. Sehr wichtig sei bei all dem auch eine gut funktionierende Kommunikation zwischen dem Datenschutzbeauftragten und dem Unternehmen.
In der anschließenden Diskussion wurde die Haftung des Datenschutzbeauftragten angesprochen. In Betracht komme insbesondere beim externen Datenschutzbeauftragten die Haftung aus dem Vertrag mit dem Unternehmen. Ein Beispiel für eine Pflichtverletzung durch den Datenschutzbeauftragten wäre die Empfehlung einer unsicheren Software. Der Datenschutzbeauftragte sollte daher von konkreten technischen Empfehlungen absehen und nur Kriterien für die vom IT-Leiter auszuwählende Software aufstellen.
Im Übrigen, so die Diskussion, würden sanktionierende Vorschriften für den Fall der Nichtbestellung eines Datenschutzbeauftragten selten relevant. Datenschutzrechtlich relevante Vorfälle innerhalb des Unternehmens würden häufig „totgeschwiegen“. Anders sei die Situation bei Datenlecks. Diese kämen schnell ans Tageslicht und würden entsprechend verfolgt.
(Bericht: Julia Nikolaeva)
