Laut § 4f Abs. 1 BDSG muss jedes Unternehmen, welches personenbezogene Daten automatisiert verarbeitet, einen Datenschutzbeauftragten bestellen. Das gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit i.d.R. mindestens 20 Personen beschäftigt sind. Die Bestellung hat innerhalb eines Monats nach Aufnahme der Tätigkeit zu erfolgen. Dies gilt nicht, wenn i.d.R. nicht mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unternehmen, welche automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung automatisiert verarbeiten, haben unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.
Der letzte Satz ist der wichtigste und interessanteste. Hierin steht beschrieben, dass bei einer notwendigen Vorabkontrolle auf jeden Fall ein Datenschutzbeauftragter zu bestellen ist. Aber was ist eine Vorabkontrolle und wann ist sie notwendig?
Eine Vorabkontrolle ist eine Prüfung sämtlicher für die Verarbeitung personenbezogener Daten notwendigen Anlagen durch den Datenschutzbeauftragten. Notwendig ist eine Vorabkontrolle immer dann, wenn sensitive personenbezogene Daten erhoben, verarbeitet oder genutzt werden. Hierbei handelt es sich um personenbezogene Daten, welche nicht unbedingt öffentlich verfügbar sind. Dies fängt aber bereits bei der Telefonnummer an, denn jeder Mensch kann frei entscheiden, ob seine Telefonnummer in Verzeichnisse wie z.B. das Telefonbuch gelistet werden soll. Das BDSG unterscheidet jedoch in 5 Schutzstufen:
- Stufe A: Frei zugängliche Daten.
- Stufe B: Pers. bez. Daten, deren Missbrauch keine besondere Beeinträchtigung erwarten lässt.
- Stufe C: Pers. bez. Daten, welche die gesellschaftliche Stellung oder wirtschaftliche Verhältnisse betreffen.
- Stufe D: Pers. bez. Daten, welche bei Missbrauch die Existenz im gesellschaftlichen oder wirtschaftlichen Sinne gefährden.
- Stufe E: Daten, deren Missbrauch Gesundheit, Leben oder Freiheit beeinträchtigen können.
Kontaktdaten zu Ansprechpartnern von Kunden und Lieferanten gehören bereits zu Stufe C, während die Daten der Personalabteilung zu Mitarbeitern zur Stufe D gehören. Ein Beispiel für Daten der Stufe E wäre die Identität eines verdeckten Ermittlers.
Das sog. Outsourcing von Tätigkeiten (z.B. Lohn- und Gehaltsbuchhaltung an ein Lohnbüro) befreit nicht von der Pflicht, einen Datenschutzbeauftragten zu bestellen.
Sofern die Vorabkontrolle nicht bereits vor Aufnahme der Tätigkeit durchgeführt wurde, ist sie schnellstmöglich nachzuholen.
Aus diesen Vorgaben lässt sich ableiten, dass (fast) jedes Unternehmen einen Datenschutzbeauftragten benötigt.