Kurzbeschreibung
Vertragliche Vereinbarung mit einem Mitarbeiter zur Übertragung der Aufgaben des Datenschutzbeauftragten im Betrieb.
Das regelt der Vertrag (Vertragszweck)
Ausgangssituation:
Öffentliche und nicht öffentliche Stellen (private Arbeitgeber), die personenbezogene Daten automatisiert verarbeiten, haben nach dem Bundesdatenschutzgesetz (BDSG) einen Beauftragten für den Datenschutz (Datenschutzbeauftragten – DSB) zu bestellen, wenn insbesondere die Verarbeitung automatisiert erfolgt (EDV) und damit in der Regel mindestens zehn Arbeitnehmer ständig beschäftigt sind. Durch dieses Muster als Zusatzvereinbarung zum Arbeitsvertrag erfolgt die Bestellung des Datenschutzbeauftragten.
Nicht geeignet ist dieses Muster für folgende Situationen:
- Es sollen nach dem Arbeitssicherheitsgesetz (ArbSichG) Betriebsärzte und Fachkräfte für Arbeitssicherheit bestellt werden, die den Arbeitgeber beim Arbeitsschutz und bei der Unfallverhütung unterstützen.
- Es sollen Mitarbeiter oder Dritte auf das Datengeheimnis verpflichtet werden, die mit personenbezogenen Daten in Berührung kommen – siehe hierzu "Datenschutzverpflichtung, Mitarbeiter"bzw. "Datenschutzverpflichtung, Dritte".
- Ein Arbeitnehmer soll eine Einwilligung nach erklären zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch den Arbeitgeber im Rahmen des Arbeitsvertrags.
- Ein Arbeitnehmer soll verpflichtet werden, über betriebliche Angelegenheiten vertraulicher Art, insbesondere über Geschäfts- und Betriebsgeheimnisse, Stillschweigen zu bewahren. Eine solche Verschwiegenheitsklausel wird üblicherweise in den Arbeitsvertrag aufgenommen.
Rechtlicher Hintergrund
Die ab dem 25.5.2018 geltende Datenschutzgrundverordnung (DSGVO) schreibt fest, wann ein Datenschutzbeauftragter zu benennen ist und welche Stellung und Aufgaben er besitzt. Weil die Verordnung unmittelbar in allen EU-Mitgliedstaaten zur Anwendung kommt (und anders als eine Richtlinie nicht erst in nationales Recht umzusetzen ist), wurde die Position des betrieblichen und behördlichen Datenschutzbeauftragten generell auf europäischer Ebene eingeführt. Die Benennung, Stellung und Aufgaben des Datenschutzbeauftragten richten sich nach den Art. 37, 38 und 39 DSGVO. Für Stellen in Deutschland gilt zusätzlich das Bundesdatenschutzgesetz in novellierter Form. Darin werden die Öffnungsklauseln genutzt, welche die DSGVO einräumt. Die Aufgaben des Beauftragten sind abschließend in der DSGVO aufgezählt.
Bei nichtöffentlichen Stellen benennen der Verantwortliche und der Auftragsverarbeiter eine/n Datenschutzbeauftragte/n, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen (§ 38 Abs. 1 Satz 1 BDSG): Nehmen sie Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine/n Datenschutzbeauftragte/n zu benennen.
Die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht für die Privatwirtschaft zwingend, wenn die Datenverarbeitung zur "Kerntätigkeit" gehört (Art. 37 Abs. 1 b) und c) DSGVO). Kerntätigkeit meint dabei eine Datenverarbeitung, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen bzw. besonders sensibler Daten (Art. 9 DSGVO) erfordert
Gemäß Art. 39 DSGVO ist der Datenschutzbeauftragte zuständig für
- die Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
- Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
- Beratung - auf Anfrage - im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung;
- Zusammenarbeit mit der Aufsichtsbehörde;
- Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen.
Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters (Art. 38 Abs. 3 DSGVO). Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen. Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält.
Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen ...