Der Konzerndatenschutzbeauftragte

Die modernen IuK-Techniken haben nachhaltige Konsequenzen für den Fluss personenbezogener Daten innerhalb und zwischen wirtschaftenden Unternehmenseinheiten. Für den Schutz dieser Daten im Unternehmensverbund wird vielfach ein Konzerndatenschutzbeauftragter bestellt. Diese Rechtsfigur ist bisher jedoch gesetzlich nicht geregelt und in der Literatur kaum diskutiert. Sebastian Braun-Lüdicke untersucht die Umsetzbarkeit einer gesetzlichen Regelung des Konzerndatenschutzbeauftragten in einem rechtstheoretischen, einem rechtspraktischen und einem empirischen Teil. Er erläutert zunächst die gefahrenabwehrrechtliche Bedeutung und die Stellung des Konzerndatenschutzbeauftragten im Betriebsbeauftragtensystem. Dem folgt die in der Literatur erstmalige, umfassende Darstellung des Rechtsinstituts des Konzerndatenschutzbeauftragten, basierend auf den Normen zum einfachen Datenschutzbeauftragten. Der Autor zeigt dabei die rechtlichen und praktischen Probleme der fehlenden Rechtsgrundlage auf. Interviews mit Experten verschiedener deutscher Großkonzerne bilden die Grundlage für die Analyse bestehender Probleme aus unternehmenspraktischer Sicht und einen Lösungsansatz in Form eines Normierungsvorschlags.
Gegenstand der Arbeit ist die in der Praxis sich vollziehende Entwicklung zur Institutiona- sierung von Konzerndatenschutzbeauftragten, die im deutschen und europäischen Recht aber – noch – keine gesetzliche Anerkennung gefunden hat. Nach der europäischen Datenschutzrichtlinie können die Mitgliedstaaten regeln, dass die v- antwortlichen Stellen Datenschutzbeauftragte bestellen, die auf die Umsetzung des Dat- schutzrechts hinwirken. In diesem Fall kann auf die Vorlage eines Verfahrensverzeichnisses gegenüber den Aufsichtsbehörden verzichtet werden. Von dieser Möglichkeit haben neben der Bundesrepublik Deutschland Frankreich, Luxemburg, Schweden und die Niederlande Gebrauch gemacht. In der Bundesrepublik ist sogar in § 4f BDSG geregelt, dass jede nic- öffentliche Stelle, in der zehn Beschäftigte mit der automatisierten Verarbeitung personen- zogener Daten beschäftigt sind, einen Datenschutzbeauftragten bestellen muss. Die Kontrolle des Datenschutzes in der verantwortlichen Stelle durch einen selbst ernannten Datenschutzbeauftragten ist eine moderne Form der Selbstkontrolle. Sie entlastet den Staat und weist der verantwortlichen Stelle ein hohes Maß an Eigenverantwortung zu. Die Funktion des Datenschutzbeauftragten ist es, diese Verantwortung gepaart mit den erforderlichen Kenntnissen und Fähigkeiten an einer Stelle im Unternehmen zu bündeln, ohne damit die samtverantwortung der Unternehmensführung für den Datenschutz zu nehmen. Aufgaben des Datenschutzbeauftragten sind, auf die Umsetzung des Datenschutzes hinzuwirken und sie zu kontrollieren, die Beschäftigten zu schulen, über Datenschutzfragen im Unternehmen zu kommunizieren und an der datenschutzgerechten Gestaltung von Informationstechniksys- men mitzuwirken.