Sie befinden sich hier:

Zugriffsbefugnisse des Datenschutzbeauftragten

Insbesondere in großen Unternehmen und Behörden kommt es immer wieder zum Streit darüber, welche Zugriffsbefugnisse der eigene Datenschutzbeauftragte besitzen muss. Während dieser häufig darauf drängt, einen automatischen Zugriff auf alle Datenbestände des Unternehmens bzw. der Behörde zu erhalten, möchte die Geschäfts- bzw. Behördenleitung diesen Zugriff auf das unbedingt erforderliche Mindestmaß beschränken.

Nach Art. 39 Abs. 1 Buchst. b der Europäischen Datenschutz-Grundverordnung (DSGVO) haben betriebliche oder behördliche Datenschutzbeauftragte pauschal die Aufgabe, die Einhaltung der Datenschutzgesetze und anderer Vorschriften über den Datenschutz zu überwachen. Zur Erfüllung dieser Aufgabe können sie die dazu notwendige Einsicht in Dateien und Akten der eigenen Stelle nehmen, soweit nicht gesetzliche Regelungen entgegenstehen.

Unterstützungspflicht des Arbeitgebers

Die öffentlichen und nicht-öffentlichen Stellen sind dazu verpflichtet, den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben aktiv zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, entsprechende Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Im Rahmen dieser Unterstützungspflicht sind dem Datenschutzbeauftragten zweifellos auch ein Zutrittsrecht zu Räumen, in denen eine personenbezogene Datenverarbeitung stattfindet, ein Einsichtsrecht in Geschäftsunterlagen und ein Zugriffsrecht auf personenbezogene Daten einzuräumen.

Die Dateneinsichtnahme muss zur Erfüllung der Aufgaben eines Datenschutzbeauftragten erforderlich sein

Nähere Aussagen – insbesondere zum Umfang des Zugriffsrechts der Datenschutzbeauftragten auf Dateien mit personenbezogenem Inhalt – beinhalten die Datenschutzgesetze nicht. Der einzige Gesetzesvorbehalt beruht damit darin, dass die Einsicht zur Erfüllung seiner Aufgaben erforderlich sein muss.

Doch was der Begriff „erforderlich“ in diesem Zusammenhang bedeutet ist nirgends definiert. Häufig wird damit argumentiert, „das hängt von den näheren Umständen ab“ – eine Aussage, die niemanden wirklich weiterhilft, auch wenn natürlich nicht verschwiegen werden soll, dass eine allgemein gültige Aussage nur schwer zu treffen ist. Letztendlich entscheidet in der Praxis meist die Unternehmens- bzw. Behördenleitung in eigener Verantwortung, auf welche Daten der eigene Datenschutzbeauftragter Zugriffsrechte erhält.

Versuchen, eine einvernehmliche Regelung zu finden

Es kann daher jedem Datenschutzbeauftragten nur empfohlen werden, seine Zugriffswünsche gut begründet der Firmen- bzw. Behördenleitung vorzulegen und zu versuchen, mit dieser eine einvernehmliche Regelung zu finden. Sollte sein Ansinnen trotzdem abgelehnt werden und es zu Beeinträchtigungen des Datenschutzes kommen, kann der Datenschutzbeauftragte zumindest darauf hinweisen, dass er die auf die Gefahr hingewiesen habe, seine Kompetenzen und Kontrollmöglichkeiten aber durch die verweigerte Dateneinsichtnahme beschränkt wurden. Die datenschutzrechtliche Verantwortung für die personenbezogene Datenverarbeitung trägt im Endeffekt sowieso immer die Behörden- bzw. Unternehmensleitung.

Der Datenschutzbeauftragte kann sich im Streitfall auch an die Aufsichtsbehörde wenden

Ohne entsprechende Zugriffsmöglichkeit auf personenbezogene Daten kann ein Datenschutzbeauftragter seinen Aufgaben sicherlich nicht gerecht werden. So könnte er beispielsweise keine Stichproben durchführen, ob die Verfahrensabwicklung im Rahmen der gesetzlichen Vorgaben geschieht (wozu im Regelfall auch eine Zugriffsnahme auf personenbezogene Daten erforderlich ist) und inwieweit die erforderlichen und vorgegebenen Sicherheitsmaßnahmen beachtet und umgesetzt werden.

Sollte einem Datenschutzbeauftragten eine dazu erforderliche Zugriffsberechtigung verweigert werden, hat er jederzeit die Möglichkeit, sich in dieser Angelegenheit – mit der Bitte um Klärung – an seine zuständige Datenschutzaufsichtsbehörde zu wenden. Diesen Schritt sollte der Datenschutzbeauftragte (z. B. aufgrund der Treupflicht aus dem Arbeitsverhältnis oder aufgrund einer Nebenpflicht aus dem Dienstvertrag eines externen Datenschutzbeauftragten) zuvor seiner Unternehmens- bzw. Behördenleitung ankündigen. Dadurch erhält zum einen der Arbeitgeber nochmals die Möglichkeit, seine Vorgehensweise zu überdenken und zum anderen kann damit unter Umständen eine schwerwiegende Verärgerung des Arbeitgebers vermieden werden.

Fazit

Zusammenfassend ist dem betrieblichen oder behördlichen Datenschutzbe-auftragten zwar kein genereller Zugriff auf alle Dateien eines Unternehmens oder einer Behörde, sehr wohl aber der Zugriff im konkreten Einzelfall zu ermöglichen. Aber auch dieses Recht muss er sich häufig erkämpfen, da nicht alle Unternehmen oder Behörden die Notwendigkeit des Datenschutzes erkennen und ihm positiv gegenüberstehen. Diese Einstellung zum Datenschutz kann der Datenschutzbeauftragte allerdings durch eine in der Sache zwar konsequente, aber ruhige und besonnene Handlungsweise beeinflussen.

nach oben