An Fachhändler und Systemhäuser wird von Kunden immer wieder die Frage herangetragen, ob diese als externe Datenschutzbeauftragte tätig werden können. Dabei stellt sich in der Praxis die Frage, ob ein Fachhändler oder ein Systemhaus, das einen Kunden betreut, für den gleichen Kunden als Datenschutzbeauftragter tätig sein darf.
§ 4 f Bundesdatenschutzgesetz (BDSG) regelt zunächst, dass eine natürliche Person als Da-tenschutzbeauftragter benannt wird. Juristische Personen, wie beispielsweise Systemhäuser, Fachhändler oder Unternehmensberatungsge-sellschaften, können nicht als betriebliche Datenschutzbeauftragte die gesetzlichen Aufgaben übernehmen. Da das Gesetz von dem Datenschutzbeauftragten eine zur Erfüllung sei-ner Aufgaben erforderliche Fachkunde- und eine entsprechende Zuverlässigkeit verlangt, lässt sich aus diesen Anforderungen schließen, dass der Beauftragte eine persönliche Verantwortung übernehmen soll. Auch aus dem Hinweis des Gesetzes, dass der Datenschutzbeauftragte dem Leiter der öffentlichen oder nicht öffentlichen Stelle unmittelbar zu unterstellen ist, lässt sich herleiten, dass nur eine natürliche Person in Frage kommt. Insoweit kann ein qualifizierter Mitarbeiter eines Systemhauses oder eines Fachhändlers entspre-chend als betrieblicher Datenschutzbeauftragter bestellt werden. Er muss dann namentlich benannt werden und ist für die gesetzlichen Anforderungen persönlich verantwortlich.
Der Vorteil für externe Datenschutzbeauftragte ist, dass sie aufgrund der Mehrfachtätigkeit zumeist vertiefte Fachkenntnisse und eine höhere Fachkunde haben. Insoweit entstehen Synergieeffekte, die bei einem internen Datenschutzbeauftragten so nicht auftreten.
Auf der anderen Seite wird häufig von den Unternehmen davon ausgegangen, dass ein externer Datenschutzbeauftragter „billiger“ als ein interner Datenschutzbeauftragter ist. Dabei wird aber übersehen, dass ein externer Beauftragter zum einen die komplexen und vielschichtigen Strukturen in der elektronischen Datenverarbeitung erst einmal kennen lernen muss, zum anderen muss auch der externe Be-auftragte die erforderliche Arbeitszeit investieren, um den gesetzlichen Anforderungen gerecht zu werden. Hier gilt es in der Praxis, Kunden deutlich zu machen, dass die Beauf-tragung eines externen Datenschutzbeauftrag-ten zumeist eine höhere Qualität, aber nicht unbedingt eine erhebliche Kosteneinsparung mit sich bringt.
Anforderungen an interne Datenschutzbeauftragte
Wenn ein Beschäftigter des jeweiligen Unter-nehmens als Datenschutzbeauftragter zusätzlich zu seiner sonstigen Tätigkeit beauftragt wird, so ist in der Praxis zu prüfen, ob eine eventuelle Interessenkollision vorliegt. Mit der Bestellung des Beauftragten soll eine qualifizierte Eigenkontrolle sichergestellt werden. Daraus wird in der Praxis abgeleitet, dass bestimmte Personen, unabhängig von ihrer Fachkunde und Zuverlässigkeit, nicht als Datenschutzbeauftragte bestellt werden dürfen. Dies gilt ohne Ausnahmen für die jeweiligen Geschäftsinhaber, Vorstände oder Geschäftsführer. Daneben wird regelmäßig der Leiter der EDV-Abteilung oder auch der Personalleiter nicht als Datenschutzbeauftragter bestellt werden dürfen. Allerdings ist eine Bestellung des EDV-Leiters nicht generell unzulässig. Es mag bei kleineren Einheiten insoweit durchaus Ausnahmen geben. Das Arbeitsgericht Offenbach hat in einer Entscheidung Hinweise zu der erforderlichen Arbeitszeit eines Datenschutzbeauftragten gegeben. Bei einem Betrieb mit weniger als 300 Beschäftigten ging das Gericht davon aus, dass die Position als Datenschutzbeauftragter in der Regel weniger als 20 % der Tätigkeit in Anspruch nimmt. Dies ist zumindest ein Anhaltspunkt (ArbG Offenbach RDV 1993/83).
Bei einem externen Datenschutzbeauftragten, der Mitarbeiter eines Systemhauses oder eines Fachhändlers ist, ist ebenfalls sicherzustellen, dass die Anforderungen des § 4 f Abs. 3 BDSG erfüllt sind. Der Datenschutzbeauftragte ist dem Leiter der nicht öffentlichen Stelle unmittelbar zu unterstellen. Er ist in der Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Dies muss so-wohl vertraglich als auch organisatorisch sichergestellt werden. Daneben darf er wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden.
In der Praxis führt dies zu einer faktischen Unkündbarkeit des internen hauptamtlichen Datenschutzbeauftragten. Eine solche Unkündbarkeit gibt es bei einem externen Datenschutzbeauftragten, zumindest nach herrschender Meinung, nicht. Allerdings sind einige Stimmen in der juristischen Literatur anderer Auffassung und bestreiten, dass der Vertrag mit einem externen Beauftragten fristgemäß gekündigt werden kann, wenn eine Laufzeitbefristung besteht. Insoweit sollte für eine Unternehmensleitung eine Kündbarkeit kein Entscheidungskriterium dafür sein, ob ein externer oder interner Datenschutzbeauftragter bestellt wird.
Steckbrief des Autors: Thomas Feil arbeitet als Rechtsanwalt in Hannover und hat sich auf Themen der IT-Branche spezialisiert. Kontakt und weitere Informationen: www.recht-freundlich.de