DA+

Kurzbeitrag : Grenzen der Wahrnehmung operativer Aufgaben durch Datenschutzbeauftragte : aus der RDV 2/2024, Seite 98-102

Ergebnisse der europaweiten Prüfung des EDSA zur Stellung und Aufgaben von Datenschutzbeauftragten

Lesezeit 12 Min.

I. Koordinierte Durchsetzungsmaßnahme des EDSA zum Datenschutzbeauftragten

Im Januar dieses Jahres hat der Europäische Datenschutzausschuss (EDSA) einen Bericht über die Ergebnisse seiner zweiten koordinierten Durchsetzungsmaßnahme vorgelegt, welche sich auf die Benennung und Position von Datenschutzbeauftragten (Data Protection Officers, DPOs) konzentrierte.[1]Der Bericht listet Hindernisse auf, mit denen Datenschutzbeauftragte derzeit konfrontiert sind, sowie eine Reihe von Empfehlungen zur weiteren Stärkung ihrer Rolle, so Anu Talus, aktuelle Vorsitzende des Gremiums.

Bereits in der Vergangenheit haben die europäischen Aufsichtsbehörden die Bedeutung der Funktion betont, welche sie dem Datenschutzbeauftragten beimessen. Der Datenschutzbeauftragte sei eine „Schlüsselfigur“, welche die Einhaltung der Bestimmungen der DS-GVO erleichtert und als Mittler zwischen den maßgeblichen Interessenträgern, also Aufsichtsbehörden, betroffenen Personen und Unternehmensleitung, fungiert.[2]

Der vom EDSA vorgelegte Bericht kommt zu dem Ergebnis, dass trotz festgestellter Mängel und Bedenken die Umfrageergebnisse zum Datenschutzbeauftragten insgesamt als „ermutigend“ zu beurteilen seien. Zugleich wurde jedoch die aus Sicht der europäischen Aufsichtsbehörden bestehende Notwendigkeit betont, Rolle und Anerkennung von Datenschutzbeauftragten zu stärken sowie die Bedeutung der Rolle des Datenschutzbeauftragten weiterhin zu fördern. Herausforderungen, mit denen Datenschutzbeauftragte in der Praxis konfrontiert sein können, ergeben sich aus Sicht des EDSA u.a. mit Blick auf unzureichende Ressourcen für den Amtsinhaber sowie einer unabhängigen Amtsausübung entgegenstehende Interessenkonflikte.

II. Der Datenschutzbeauftragte nach der DS-GVO

Die interne Selbstkontrolle durch Datenschutzbeauftragte hat in Deutschland lange Tradition. Die Rolle des Datenschutzbeauftragten war bereits im ersten Bundesdatenschutzgesetz (BDSG) aus dem Jahr 1977 enthalten. Die konkrete gesetzliche Aufgabenbeschreibung des Datenschutzbeauftragten wurde über die Jahrzehnte angepasst, zuletzt mit dem BDSG 2001 dahingehend, dass der Datenschutzbeauftragte auf die Einhaltung der datenschutzrechtlichen Vorschriften hinzuwirken hatte (§ 4g Abs. 1 S. 1 BDSG a.F.). Dem Hinwirkungsauftrag nach dem BDSG a.F. war ein proaktives und operatives Element immanent und auch in der Praxis war treibende Kraft hinter der Datenschutzorganisation vielfach der Datenschutzbeauftragte.

Mit Geltung der DS-GVO hat allerdings die Rolle des Datenschutzbeauftragten insgesamt einen Wandel erfahren: Denn einerseits entfielen frühere operative Aufgaben wie die Mitarbeiterschulung, die Vorabkontrolle und die Bereitstellung des Verfahrensverzeichnisses für jedermann, andererseits wurde neben der Hervorhebung seiner Beratungsfunktion dem Datenschutzbeauftragten zudem die Überwachung der Einhaltung der Datenschutzstrategien des Verantwortlichen bzw. Auftragsverarbeiters übertragen und damit die Überwachungsfunktion des Datenschutzbeauftragten ausgeweitet.

Die DS-GVO geht im Grundsatz von einer Datenschutzorganisation aus, die auch ohne den Datenschutzbeauftragten funktionsfähig zu sein hat. Dies muss deshalb so sein, weil nach Art. 37 Abs. 1 DS-GVO europaweit nur ein geringer Teil der nichtöffentlichen Stellen zur Benennung verpflichtet sein wird, bei weitem nicht alle Stellen also über einen Datenschutzbeauftragten verfügen. In Deutschland ist dies nur deshalb anders, weil der nationale Gesetzgeber in § 38 Abs. 1 BDSG eine im Verhältnis zur DS-GVO erweiterte Pflicht zur Benennung von Datenschutzbeauftragten vorgesehen hat. Ist ein Datenschutzbeauftragter benannt, berät dieser im Hinblick auf die Organisation des Datenschutzes bzw. überwacht die Funktionsfähigkeit bestehender Abläufe.

Der Überwachungsauftrag des Datenschutzbeauftragten bezieht sich darauf, ob die verantwortliche Stelle in ihrer Gesamtheit ihren Pflichten zur Umsetzung und Sicherstellung des Datenschutzes gerecht wird.[3] Der Datenschutzbeauftragte hat nicht die Funktion und hätte auch nicht die Kapazitäten, um jede stattfindende Datenverarbeitung auf Datenschutzkonformität zu prüfen. Gemäß Art. 39 Abs. 2 DS-GVO trägt der Datenschutzbeauftragte bei Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung (Prinzip der risikoorientierten Aufgabenwahrnehmung).

Nach der DS-GVO ist die Rolle des Datenschutzbeauftragten fokussiert auf Beratung und Überwachung. Vor diesem Hintergrund ist auch die nachfolgende Aussage der niederländischen Aufsichtsbehörde zum Datenschutzbeauftragten zu verstehen: „Dies sehen wir insbesondere bei Datenschutzbeauftragten, die sich (zu Recht) aus der Umsetzung zurückziehen und sich stärker auf eine beratende und überwachende Rolle konzentrieren.“[4]

Allerdings wurde bislang ausschließlich die durch die DS-GVO angelegte gesetzliche Rolle des Datenschutzbeauftragten beschrieben. Die DS-GVO selbst besagt aber in Art. 38 Abs. 6 explizit, dass der Beauftragte neben den Aufgaben nach Art. 39 DS-GVO sonstige Aufgaben und Pflichten wahrnehmen darf, sofern sichergestellt ist, dass diese nicht zu einem Interessenkonflikt führen. Das Erfordernis, Interessenkonflikte zu vermeiden, wird auch seitens des EDSA[5] und des BayLDA[6] betont.

Die Ergebnisse der koordinierten Durchsetzungsmaßnahme zeigten das Risiko möglicher Interessenkonflikte, so der EDSA.[7]

Geplant sei, auf Grundlage der Ergebnisse die bestehenden Leitlinien für Datenschutzbeauftragte (WP 243rev.01) weiterzuentwickeln, wobei man auch die neuen Rollen berücksichtigen wolle, die Datenschutzbeauftragte zum Teil im Rahmen der neuen EU-Rechtsvorschriften im digitalen Bereich übernehmen.[8]

III. Keine Interessenkonflikte des Datenschutzbeauftragten

Ein Interessenkonflikt des Datenschutzbeauftragten ergibt sich regelmäßig, wenn dieser im Rahmen seiner sonstigen Tätigkeit für die gleiche Organisation Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt[9] und sich insofern selbst überwachen müsste. Ob ein Interessenkonflikt i.S.v. Art.  38 Abs. 6 DS-GVO vorliegt, ist nach dem EuGH im Einzelfall auf der Grundlage einer Würdigung aller relevanten Umstände, insbesondere der Organisationsstruktur des Verantwortlichen oder seines Auftragsverarbeiters, und im Licht aller anwendbaren Rechtsvorschriften, einschließlich etwaiger interner Vorschriften des Verantwortlichen oder des Auftragsverarbeiters, festzustellen.[10]

Im Hinblick auf mögliche Interessenkonflikte von Datenschutzbeauftragten führt der BayLDA in seiner Pressemitteilung zur gemeinsamen Prüfaktion der Europäischen Datenschutzaufsichtsbehörden aus: „Die bisherigen Untersuchungen weisen darauf hin, dass Verantwortliche vermehrt Datenschutzbeauftragte ohne hinreichendes Problembewusstsein mit Zusatzaufgaben etwa im Compliance-Bereich betrauen. Auf Grundlage der neueren Rechtsprechung des EuGH und des Bundesarbeitsgerichts zu Betriebsratsvorsitzenden als Datenschutzbeauftragten prüfen wir kritisch, ob Verantwortliche mit solchen Zusatzaufgaben für Datenschutzbeauftragte strukturelle Interessenkonflikte in Kauf nehmen, etwa auch dann, wenn sie externe Datenschutzbeauftragte einsetzen, die zugleich für eigene Auftragsverarbeiter tätig sind. Genauso werden wir weiterhin hinterfragen, wenn Datenschutzbeauftragte schon im Organigramm erkennbar Funktionen oder Ebenen zugewiesen werden, die den direkten Informationsaustausch mit der obersten Führungsebene behindern.“

Nach dem Bericht des EDSA zur koordinierten Durchsetzungsmaßnahme soll ein Interessenkonflikt etwa bestehen, wenn Datenschutzbeauftragte Managementaufgaben wahrnehmen oder externe Datenschutzbeauftragte sowohl den Verantwortlichen als auch den Auftragsverarbeiter vertreten.[11]

Relevant sind in diesem Zusammenhang insbes. die Antworten auf Frage 17 der im Rahmen der koordinierten Umsetzungsmaßnahme gestellten Fragen:

Eine Verantwortung für die Rechtmäßigkeit der personenbezogenen Datenverarbeitung und/oder eine Entscheidung über die Datenverarbeitung sind mit der Stellung als Datenschutzbeauftragter regelmäßig unvereinbar.

Nicht im Detail vom EDSA problematisiert wird ein anderer praxisrelevanter Punkt im Zusammenhang mit den Antworten auf die Frage 17, nämlich, dass eine große Zahl der Datenschutzbeauftragten angibt, zusätzlich mit den folgenden Aufgaben befasst zu sein, die nicht zum originären Aufgabenspektrum des Datenschutzbeauftragten nach der DS-GVO gehören:

  • Ausarbeitung und/oder Aushandlung von Verträgen (45,1%),
  • Bearbeitung der Betroffenenrechte (50,9%),
  • Entwerfen und/oder Durchführung von DatenschutzFolgenabschätzungen (36,1%)
  • Entwicklung von Datenschutzprozessen (45,2%).

Insofern stellt sich die praxisrelevante Frage nach der Zulässigkeit der Einbindung des Datenschutzbeauftragten in die operative Umsetzung der Datenschutzvorgaben bei der benennenden Stelle.

IV. „Operative Einbindung“ des Datenschutzbeauftragten und ihre Grenzen: Wie operativ darf ein Datenschutzbeauftragter tätig sein?

Zwar ist die Rolle des Datenschutzbeauftragten, wie dargestellt,[12] nach der DS-GVO nicht operativ angelegt, es ist gleichwohl nicht ausgeschlossen, dass zusätzlich operative Datenschutzaufgaben übernommen werden, solange die Grenzen beachtet werden, welche aus den Artt. 37 ff. DS-GVO resultieren. Bedeutung erlangt in diesem Zusammenhang insbes. Art. 38 Abs. 6 DS-GVO, wonach der Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen kann, die benennende Stelle aber sicherzustellen hat, dass diese nicht zu einem Interessenkonflikt führen. Zusätzliche Aufgaben, welche zu einem Interessenkonflikt führen, können dabei einerseits aus der sonstigen Tätigkeit des Amtsinhabers für die benennende Stelle resultieren. Andererseits können sie aber auch aus der Übernahme zusätzlicher Datenschutzaufgaben entstehen, die über den Aufgabenkatalog des Art.  39 Abs.  1 DS-GVO hinausgehen. Entscheidend für die operative Einbindung des Datenschutzbeauftragten und ihre Grenzen ist, ob eine Inkompatibilität im letzteren Sinne anzunehmen ist.

Die Übernahme operativer datenschutzrelevanter Aufgaben durch den Datenschutzbeauftragten wird praktisch umso eher erforderlich, je kleiner eine Organisation ist und je weniger Kapazitäten in der Organisation bspw. für Datenschutzmanager oder -koordinatoren zur Verfügung stehen, um das tägliche Datenschutzgeschäft am Laufen zu halten.[13] Operative Tätigkeit meint im vorliegenden Zusammenhang die unmittelbare Umsetzung der Datenschutzvorgaben, z.B. durch Vorgabe von internen Richtlinien oder Prozessabläufen.

Dass auch der EDSA davon ausgeht, dass der Datenschutzbeauftragten die operative Umsetzung des Datenschutzes unterstützen darf, ergibt sich etwa aus dessen Ausführungen zur Datenschutz-Folgenabschätzung (DSFA). So darf nach Aussage des EDSA der Datenschutzbeauftragte „erheblich“ an der Ausarbeitung einer DSFA beteiligt sein, solange er noch über die ausreichende Unabhängigkeit verfügt, um die DSFA und ihre Ergebnisse zu bewerten.[14] Die konkreten Grenzen der zulässigen Unterstützung der DSFA durch den Datenschutzbeauftragten bleiben im Rahmen der Ausführungen des EDSA allerdings unklar.

Nach Ansicht der Verfasser dieses Beitrags darf der Datenschutzbeauftragte nicht nur Vorschläge für die Datenschutzorganisation oder die Ausgestaltung von Datenschutzprozessen machen, sondern allgemein die Prozesse beim Verantwortlichen mit Hinweisen zu möglichen datenschutzkonformen Ausgestaltungen unterstützen. Festhalten lässt sich außerdem, dass der Datenschutzbeauftragte zwar nicht über die personenbezogene Datenverarbeitung entscheiden darf, er aber die Entscheidungsfindung durch die Fachverantwortlichen nicht nur unterstützen darf, sondern sogar unterstützen sollte im Rahmen seines Beratungsauftrags (Art. 39 Abs. 1 lit. a) DS-GVO).

Auch bei der Erfüllung der Betroffenenrechte, der Bearbeitung von Meldungen von Datenschutzverletzungen nach Artt. 33 f. DS-GVO und der Erfüllung datenschutzrechtlicher Dokumentationspflichten darf der Datenschutzbeauftragte im Rahmen seiner zeitlichen Kapazitäten aktiv unterstützen. Wichtig ist, dass die in der DS-GVO vorgesehene Verantwortungsverteilung nicht unterlaufen wird. Verantwortlich für die Sicherstellung des Datenschutzes ist die Unternehmensleitung bzw. der jeweilige Fachverantwortliche, nicht der Datenschutzbeauftragte. Entsprechend betont auch der EDSA in seinem Bericht, dass eine klare Unterscheidung zwischen dem Verantwortlichen bzw. Auftragsverarbeiter und dem Datenschutzbeauftragten zu erfolgen hat und der Datenschutzbeauftragte nicht mit Aufgaben belastet werden darf, die der Verantwortliche zu erfüllen hat.

Konkret bedeutet dies etwa bezogen auf die Informationspflichten bei Datenschutzverletzungen (Artt.  33 f. DS-GVO), dass der Datenschutzbeauftragte z.B. folgende Aufgaben übernehmen kann:

  • Vorschläge zur Gestaltung des Melde-/Benachrichtigungsprozesses unterbreiten,
  • Beratung zur Risikoeinschätzung bei Datenschutzvorfällen,
  • ggf. auch Prozesskoordination.

Sachverhaltsaufklärung sowie Außenkommunikation im Hinblick auf den Vorfall obliegen dagegen der Leitung des Verantwortlichen bzw. Personen, die von dieser entsprechend beauftragt bzw. bevollmächtigt sind. Dies schließt insbesondere für kleinere und mittlere Unternehmen nicht aus, dass der Datenschutzbeauftragte die Meldung von Datenschutzverletzungen an die Aufsichtsbehörde als „Bote“ für die Leitung übernehmen kann.

Im Hinblick auf Auskunftsersuchen nach Art.  15 DS-GVO kann der Datenschutzbeauftragte neben seiner originären beratenden und überwachenden Aufgabe auch koordinierende Tätigkeiten wahrnehmen. Vollständigkeit und Richtigkeit der Auskunft müssen hingegen die Fachverantwortlichen sicherstellen. Auch die Informationen zu den konkret stattfindenden Datenverarbeitungen zu liefern, die Basis für die Erfüllung der Transparenzpflichten (Artt.  13 f. DS-GVO) oder das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DS-GVO) sind, bleibt stets Zuständigkeit des Fachbereichs. Dies gilt insbes. für die Bestimmung der mit einer Verarbeitung konkret verfolgten Zwecke. Bei der Aufbereitung der Informationen für die Außendarstellung kann der Datenschutzbeauftragte auf Basis seiner Fachkunde mit eigenen Vorschlägen unterstützen.

Nicht Aufgabe des Datenschutzbeauftragten ist es, Prozessfreigaben zu erteilen. Vom Datenschutzbeauftragten kann allerdings eine Bestätigung darüber verlangt werden, dass er über einen neuen Prozess bzw. Prozessänderungen mit Datenschutzbezug entsprechend informiert wurde.

Die Grenzen der Einbeziehung des Datenschutzbeauftragten im Zusammenhang mit der operativen Umsetzung von Datenschutzvorgaben sind aus Sicht der Verfasser zu ziehen, wenn einer der nachfolgenden Punkte erfüllt ist:

  • Operative (Zusatz-)Aufgaben führen dazu, dass der Amtsinhaber nicht mehr über ausreichende Kapazitäten für die Erfüllung seiner originären Aufgaben der Beratung und Überwachung verfügt.
  • Der Datenschutzbeauftragte kommt in die Rolle, Verantwortung zu übernehmen bzw. Entscheidungen zu treffen.
  • Der Datenschutzbeauftragte kann Arbeitsergebnisse nicht mehr neutral und unabhängig überwachen, weil sie von ihm selbst produziert wurden.

Im Hinblick auf den letzten Gesichtspunkt dürfte dem Datenschutzbeauftragten selbst eine gewisse Einschätzungsprärogative zuzuerkennen sein.

Die besondere praktische Bedeutung des ersten Gesichtspunktes zeigt sich an den Antworten, die der EDSA auf die Frage 19 der Erhebung erhalten hat: „Wie viel seiner Arbeitszeit kann ein Vollzeit-DSB für die Aufgaben und Pflichten als Datenschutzbeauftragter aufwenden?“

Angesichts der geringen zeitlichen Kapazitäten, die den befragten Datenschutzbeauftragten nach eigenen Angaben für ihre Aufgaben zur Verfügung stehen, liegt die Schlussfolgerung nahe, dass die gemäß den Antworten auf Frage 17 in der Praxis häufig übernommenen operativen Zusatzaufgaben vielfach auf Kosten der eigentlichen Kernaufgaben des Datenschutzbeauftragten wahrgenommen werden, nämlich der Pflicht zur Beratung bzw. Überwachung (Art.  39 Abs.  1 lit. a) bzw. b) DS-GVO).

V. Fazit

Der Bericht des EDSA enthält eine Vielzahl an praxisrelevanten Daten rund um Stellung und Aufgaben von Datenschutzbeauftragten in der EU, von denen der vorliegende Beitrag nur einige spezifische Punkte gezielt aufgreift. Teilweise liefert der Bericht allerdings im Wesentlichen nur Zahlen, ohne dass eine Wertung seitens des EDSA erfolgt, so wie dargestellt zu dem Punkt der Übernahme operativer Datenschutzaufgaben durch den Datenschutzbeauftragten. Mit Spannung zu erwarten ist insoweit die vom EDSA angekündigte Überarbeitung des WP 243rev.01 zum Datenschutzbeauftragten, in der der EDSA einzelne Punkte zur Rolle und zu den Aufgaben des Datenschutzbeauftragten – auf Basis der im Rahmen der koordinierten Durchsetzungsmaßnahme erhobenen Daten – noch einmal detaillierter aufbereiten dürfte.

Nach den Ankündigungen des EDSA sollen dabei auch die Veränderungen durch die neuen EU-Rechtsvorschriften im digitalen Bereich berücksichtigt werden, wie die KI-Verordnung, der Digital Services Act, der Digital Market Act und der Data Act. Es scheine, so der EDSA, dass Datenschutzbeauftragte einiger Organisationen im Rahmen dieser Gesetze intern Schlüsselrollen übernehmen. Diese neuen Rollen könnten bestehende Bedenken verstärken, so das Risiko von Interessenkonflikten oder die unzureichenden Ressourcen, die Datenschutzbeauftragten zur Verfügung stehen.

* Uwe Bargmann ist Berater für Datenschutzmanagement, Thomas Müthlein ist Geschäftsführer der DMC Datenschutz Management & Consulting GmbH & Co. KG und GDD-Vorstand, Rechtsanwältin Yvette Reif, LL.M. ist stellvertretende Geschäftsführerin der GDD.

[1] EDSA, 2023 Coordinated Enforcement Action – Designation and Position of Data Protection Officers, 16.01.2024; abrufbar unter https://edpb.europa.eu/news/news/2024/edpb-identifies-areas-improvement-promote-role-andrecognition-dpos_en (zuletzt abgerufen am 12.02.2024).

[2] Art.-29-Datenschutzgruppe WP 243 rev. 01, S. 4 f., bestätigt durch den EDSA am 25.05.2018.

[3] Herweg/Müthlein, Die Überwachungsaufgabe des Datenschutzbeauftragten nach der DS-GVO, 1. Aufl. 2020, S. 11 f.

[4] Autoriteit Persoonsgegevens, Newsletter für Datenschutzbeauftragte v. 24.01.2024.

[5] EDSA, 2023 Coordinated Enforcement Action – Designation and Position of Data Protection Officers, 16.01.2024, S. 3.

[6] Pressemitteilung v. 22.01.2024 „Europaweite Prüfung zu Stellung und Aufgaben von Datenschutzbeauftragten ergibt gemischte Bilanz“.

[7] EDSA, 2023 Coordinated Enforcement Action – Designation and Position of Data Protection Officers, 16.01.2024, S. 3

[8] EDSA, a.a.O

[9] Art.-29-Datenschutzgruppe WP 243 rev. 01, S. 19, bestätigt durch den EDSA am 25.05.2018. EuGH v. 09.02.2023 – C-453/21 Rn. 45.

[10] EDSA, 2023 Coordinated Enforcement Action – Designation and Position of Data Protection Officers, 16.01.2024, S. 24 f.

[11] EDSA-Bericht, S. 25.

[12] Zu den typischen Aufgaben von Datenschutzmanagern oder -koordinatoren vgl. im Einzelnen GDD, Praxishilfe DS-GVO: Verantwortlichkeiten und Aufgaben nach der Datenschutz-Grundverordnung inkl. Synopse, Vers. 2.0, Stand: August 2021

[13] EDSA, 2023 Coordinated Enforcement Action – Designation and Position of Data Protection Officers, 16.01.2024, S. 20.

[14] EDSA, 2023 Coordinated Enforcement Action – Designation and Position of Data Protection Officers, 16.01.2024, S. 20