Als externer Datenschutzbeauftragter, der auf Immobilienverwaltungen spezialisiert ist, konnte ich feststellen, dass häufig die Pflicht zur Bestellung eines Datenschutzbeauftragten missachtet wird.
Die Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB)
Viele Verwalter wissen nicht, dass sie per Gesetz dazu verpflichtet sind, unter bestimmten Voraussetzungen einen Datenschutzbeauftragten (DSB) zu bestellen. Gemäß § 4f BGSG sind alle öffentlichen (Behörden) und nicht-öffentliche Stellen (u. a. Unternehmen, Vereine, Rechtsanwälte, Architekten, AGs) verpflichtet, einen Datenschutzbeauftragten zu bestellen. Voraussetzung dafür ist, dass sie mit Datenverarbeitungsanlagen (d. h. automatisiert mit PC oder nicht automatisiert z. B. mit Karteikarten) personenbezogene Daten verarbeiten, nutzen oder erheben.
Ein Datenschutzbeauftragter muss bestellt werden,
- wenn mehr als neun Personen ständig mit der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten in automatisierter Form beschäftigt sind.
- von Unternehmen, die mehr als 20 Personen beschäftigen, die personenbezogene Daten verarbeiten oder nutzen, jedoch in nichtautomatisierter Form.
Wie muss man sich so eine automatisierte Verarbeitung vorstellen?
Eine automatisierte Verarbeitung kann durch ein klassisches Verwaltersoftwareprogramm erfolgen. Sobald also ein Mitarbeiter Daten in ein Verwalterprogramm eingibt, verändert, speichert, löscht etc., handelt es sich um eine automatisierte Verarbeitung. Auch wenn ein Verwalter seine Kundendaten nur in Textverarbeitungs- und/oder Tabellenverarbeitungsprogrammen (z. B. Microsoft Word und/oder Microsoft Excel) bearbeitet, wird er von der Pflicht zur Bestellung eines Datenschutzbeauftragten nicht entbunden. Gerne vergessen werden auch Programme wie das klassische E-Mail-Programm. Auch hier werden personenbezogene Daten verarbeitet.
Welche Personen im Unternehmen zählen zu den verarbeitenden Personen?
Zu den Mitarbeitern müssen auch Auszubildende, Praktikanten und externe Mitarbeiter gerechnet werden. Nicht zu vergessen sind jene Personen, die nur über einen Heimarbeitsplatz mit dem Unternehmen verbunden sind. Ausgenommen ist die Geschäftsführung. Sie zählt grundsätzlich nicht zu den Personen, die personenbezogene Daten verarbeitet.
Wer darf Datenschutzbeauftragter sein und wer nicht?
Alle natürlichen Personen, die ein erforderliches Maß an Fachkunde und Zuverlässigkeit besitzen, dürfen Datenschutzbeauftragter werden. Darüber hinaus müssen sie über umfassende Kenntnisse im IT-Bereich, gute juristische Kenntnisse und Kenntnisse über Unternehmensabläufe und -organisation verfügen.
Zum Datenschutzbeauftragten können nicht bestellt werden:
- Angehörige der Unternehmensleitung
- Vorstände
- Inhaber
- Personalleiter
- EDV-Administratoren (intern oder extern)
- Leiter der IT-Abteilung
Viele Verwalter bestellen trotz ihrer Pflicht dazu keinen Datenschutzbeauftragten. Die Gründe dafür sind vielseitig. Sicher ist, dass eine Nichtbestellung für den Verwalter ziemlich teuer kommen kann. § 43 Absatz 1 Satz 2 BDSG verdeutlicht: „Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig […] entgegen § 4f Absatz 1 Satz 1 oder 2, jeweils auch in Verbindung mit Satz 3 und 6, einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt.” Weiter heißt es dann im Absatz 3 des § 43 BDSG: „Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis zu 50.000,00 € geahndet werden.”
Zählen Sie Ihre Mitarbeiter! Kommen Sie auf mehr als neun Personen, die ständig am PC sitzen und mit dem Verwalterprogramm arbeiten, sollten Sie schnellstens einen Datenschutzbeauftragten bestellen.
Reinold Okon
www.bvi-verwalter.de
Foto 2: storm/Fotolia