Der betriebliche Datenschutzbeauftragte (Art. 37-39 DS-GVO, § 38 BDSG-NEU)

In Zusammenhang mit der EU Datenschutz-Grundverordnung (DS-GVO) wird an uns öfters die Frage herangetragen an welchen Voraussetzungen die Bestellpflicht des Datenschutzbeauftragten geknüpft ist, welche Stellung der Datenschutzbeauftragte im Unternehmen hat, welche Qualifikationen erforderlich sind und wie es um die Aufgaben und Verantwortlichkeit des Datenschutzbeauftragten bestellt ist.

Bislang waren im BDSG in den §§ 4 f und 4 g die zentralen Regelungen zum betrieblichen Datenschutzbeauftragten zu finden. In der DS-GVO wird dies in Art. 37 – 39 geregelt, wobei durch Öffnungsklauseln den EU Mitgliedsstaaten ein Gestaltungsspielraum eingeräumt wurde. In Deutschland ist dies im Wesentlichen in den §§ 6 und 38 BDSG-NEU geregelt.

1 Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten

1.1 DS-GVO – BDSG-NEU

Im Art. 37 DS-GVO ist die Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten wie folgt geregelt:

„(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn …
b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“

Bei Unternehmen besteht somit die Bestellpflicht dann, wenn dir Kerntätigkeit (Haupttätigkeit) eine umfangreiche regelmäßige und systematische Überwachung von Personen erfordert oder die Kerntätigkeit eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DS-GVO) betrifft. Als Beispiele können hier Krankenhäuser, Auskunfteien und Detekteien mit Scoring-Maßnahmen, Unternehmen mit individualisierten Marketingstrategien, Versicherungsunternehmen u.v.m. genannt werden.

Der Art. 37 Abs. 4 Satz 1 (DS-GVO) bietet eine Öffnungsklausel, die der deutsche Gesetzgeber im BDSG-NEU in den §§ 6 und 38 genutzt hat:

„(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nimmt der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.“ (§ 38 BDSG-NEU)

Es ist unschwer zu erkennen, dass die bisherige Regelung vom Gesetzgeber übernommen worden ist.  Eine Frage nach der Kerntätigkeit des Unternehmens, wie dies in der DS-GVO gestellt wird, erübrigt sich damit. Sind weniger als zehn Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt, besteht trotzdem eine Pflicht zur Ernennung, wenn das Unternehmen einer Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) unterliegt. Dies trifft auch zu, wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. Die Pflicht zu Bestellung trifft für die verantwortliche Stelle aus auch für den Auftragsverarbeiter zu.

1.2 Zeitpunkt, Schriftformerforderns und Veröffentlichungspflicht

Die Benennung hat unverzüglich zu erfolgen. Eine schriftliche Bestellung ist zwar nicht mehr erforderlich, jedoch zu empfehlen. Die Kontaktdaten des Datenschutzbeauftragten sind der zuständigen Aufsichtsbehörde mitzuteilen. Für Mitarbeiter und weitere Betroffene (Kunden, Interessenten) des Unternehmens sind die Kontaktdaten (E-Mail, Intranet, Organigramm, Web-Site)  …) zu veröffentlichen um die Kontaktaufnahme zu ermöglichen.

1.3 Konzernprivileg

Die DSGVO gestattet die Benennung eines Datenschutzbeauftragten für eine Unternehmensgruppe. Somit sind die bisherigen separaten Einzelbestellungen nicht mehr länger erforderlich. Hierzu muss der Datenschutzbeauftragte für Betroffene und Aufsichtsbehörden persönlich als Ansprechpartner zur Verfügung stehen.

1.4 Datenschutzorganisation

Zum betrieblichen Datenschutzbeauftragten kann ein Beschäftigter oder aber ein externer Datenschutzbeauftragter auf Grundlage eines Dienstvertrages bestellt werden. Bei größeren Unternehmen erscheint es sinnvoll noch weitere Personen als Datenschutzkoordinatoren zu ernennen, die dem Datenschutzbeauftragten bei seiner Arbeit unterstützen können.

1.5 Freiwillige Benennung

Unternehmen können auch Verpflichtung zur Benennung einen Datenschutzbeauftragten ernennen. Hier ist es wichtig zur beachten, dass die im BDSG-NEU verankerten Privilegien (Kündigungsschutz, Verschwiegenheit und Zeugnisverweigerungsrecht) bei einer freiwilligen Bestellung nicht gelten (§ 38 Abs. 2 BDSG-NEU).

2 Voraussetzungen des Datenschutzbeauftragten

DS-GVO und BDSG-NEU sehen für die Positionen des Datenschutzbeauftragten folgende zwei Voraussetzungen als wesentlich an:

2.1 Berufliche Qualifikation und Fachwissen

Kenntnisse des nationalen und europäischen Datenschutzrechts werden als wichtig erachtet. Zudem werden vertiefte organisatorische und technische Kenntnisse angeführt, ohne dies genauer zu konkretisiere

2.2 Fähigkeit zur Erfüllung der Aufgaben

Hier werden persönliche Integrität und Berufsethik angeführt, die der Datenschutzbeauftragte zwingend mitbringen muss.

3 Aufgaben und Pflichten

Folgende Kernaufgaben des Datenschutzbeauftragten lassen sich aus der DS-GVO und dem BDSG-NEU ableiten:

3.1 Unterrichtung und Beratung (Art. 39 Abs. 1 lit. a DS-GVO)

Der Datenschutzbeauftragte hat das Unternehmen, Leitungsebene und Beschäftigte, über Datenschutzvorschriften zu informieren und darüber hinaus Lösungen für auftretende datenschutzrechtliche vorschlagen.

3.2 Überwachung und Einhaltung der DS-GVO und weitere Datenschutzgesetzen

Der Datenschutzbeauftragte ist für die Kontrolle bei der Umsetzung der Datenschutzgesetze verantwortlich. Dies umfasst neben der DS-GVO auch nationale Datenschutzvorschriften und mitgeltende Gesetze. Darunter fallen auch Betriebsvereinbarungen, Dienstanweisungen …).

3.3 Beratung bei der Datenschutz-Folgenabschätzung

Auf „Anfrage“ hat der Datenschutzbeauftragte die verantwortliche Stelle bei der Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) zu beraten. In der Praxis ist eine Hinzuziehung des Datenschutzbeauftragten zu empfehlen. Dies sollte bereits bei der Frage der Notwendigkeit der Datenschutz-Folgenabschätzung erfolgen.

3.4 Sensibilisierung und Schulung der Mitarbeiter

Diese wichtige Aufgabe der Mitarbeiter Sensibilisierung ist im Art. 39 Abs. 1 lit. b DS-GVO und im § 7 Abs. 1 Satz 1 Nr.2 BDSG-NEU geregelt. Der Umfang und Inhalt ist abhängig von der Verarbeitung personenbezogener Daten im Unternehmen und sollte von den Inhalten möglichst praxisnah gestaltet sein. Bei größeren Unternehmen empfiehlt sich die Inhalte zielgruppengerecht zu vermitteln. Dem Datenschutzbeauftragten obliegt die Überwachung der entsprechenden Schulungs- und Sensibilisierungsmaßnahmen. In der Praxis kann es angebracht sein, dass der Datenschutzbeauftragte den Inhalt festlegt und eventuell auch die Schulungen selbst durchführt. Die Sensibilisierungsmaßnahmen sind entsprechend zu protokollieren.

3.5 Zusammenarbeit mit der Aufsichtsbehörde

Der Datenschutzbeauftragte ist zur Zusammenarbeit mit der zuständigen Aufsichtsbehörde verpflichtet. Er ist die Anlaufstelle für die Aufsichtsbehörde bei Fragen im Bereich Datenschutz. Ebenso kann sich der Datenschutzbeauftragte an die Aufsichtsbehörde wenden um Rat zu datenschutzrechtlichen Aufgabenstellungen einzuholen.

3.6 Risikoorientierte Aufgabenerfüllung

Im Art. 39 Abs. 2 wird speziell auf die risikoorientierte Aufgabenerfüllung abgezielt. Der Datenschutzbeauftragte hat die mit den Verarbeitungen einhergehenden Risiken gebührend Rechnung zu tragen. Es handelt sich hier um Abwägungsentscheidungen mit dem Ziel den Betroffenen zu schützen. Die getroffenen Entscheidungen sind entsprechend zu dokumentieren.

3.7 Weiteren Aufgaben

Neben den in der DS-GVO und im BDSG-NEU angeführten Pflichtaufgaben können in der Praxis noch eine Reihe weiteren Aufgaben vereinbart werden. Speziell bei externen Datenschutzbeauftragten wären dies noch folgende Aufgaben, die in der Regel bei der Beauftragung mit übernommen werden, als Bestandteil der im Dienstvertrag vereinbarten Arbeiten:

  • Erstellung und Führung des Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 DS-GVO)
  • Durchführung von Schulungsmaßnahmen
  • Jährliche Datenschutzaudits
  • Beantwortung von Auskunfts- und Löschgesuchen
  • Erstellung der Verträge zur Auftragsverarbeitung (Art. 28 DS-GVO)

4 Stellung im Unternehmen

Der betriebliche Datenschutzbeauftragte muss zur effektiven Erfüllung seiner Aufgaben unabhängig sein und im Unternehmen eine entsprechende Stellung in der Organisation einnehmen. Ohne diese privilegierte Position können die beschriebenen Aufgaben und Pflichten nicht umgesetzt werden (vgl. Art. 38 DS-GVO). Folgende Punkte spielen eine hierbei eine besondere Rolle:

  • Ordnungsgemäße frühzeitige Einbindung in Datenschutz relevante Bereiche (IT-Projekte, Führungskreis, Abstimmung mit den Abteilungen)
  • Bereitstellung erforderlichen Ressourcen
  • Weisungsfreiheit und Unabhängigkeit
  • Benachteiligungsverbot (Abberufung/Kündigung)
  • Unmittelbarer Unterstellung und Berichtsweg zur höchsten Leitungsebene
  • Anlaufstelle für Betroffene
  • Geheimhaltung, Vertraulichkeit und Zeugnisverweigerungsrecht
  • Vermeidung von Interessenskonflikten
  • Zusammenarbeit mit der Aufsichtsbehörde

5 Sanktionen und Haftung

Verstöße gegen die angeführten Bestimmungen zum Datenschutzbeauftragten können von den Aufsichtsbehörden mit Geldbußen bis zu 10 Millionen Euro oder bis zu 2% des Weltjahres-Gesamtumsatz des Unternehmens bzw. Unternehmensgruppe verhängt werden, je nachdem welcher Betrag höher ist (Art. 83 Abs. 4 lit. a DS-GVO).

Der Aufgabenkatalog des Datenschutzbeauftragten ist durch die DS-GVO und das BDSG-NEU erheblich erweitert worden. Umso wichtiger gilt es festzustellen, dass die Einhaltung der Datenschutzgesetze zuerst die Pflicht der verantwortlichen Stelle ist und nicht die des Datenschutzbeauftragten. Bei Vernachlässigung der erforderlichen Arbeiten bzw. durch eine Falschberatung kann unter Umständen eine persönliche Haftung des Datenschutzbeauftragten in Frage kommen.