Aufsatz : Regulierung des Datenschutzbeauftragten durch nationales Recht? Zur Vereinbarkeit mit der Datenschutz-Grundverordnung : aus der RDV 3/2021, Seite 135 bis 141
Zur Vereinbarkeit mit der Datenschutz-Grundverordnung
Der Datenschutzbeauftragte ist ein Kernelement der Datenschutz-Grundverordnung (DS-GVO).[1] Obwohl das EU-Recht die Benennung, die Stellung und die Aufgaben des Datenschutzbeauftragten mit unmittelbarer Geltung für die Mitgliedstaaten festlegt, enthält auch das Bundesdatenschutzgesetz (BDSG)[2] Regelungen über den Datenschutzbeauftragten. Der Beitrag untersucht anhand dieser Bestimmungen des BDSG und der Diskussion über die Anwendung des Rechtsdienstleistungsgesetzes die Reichweite der Regelungskompetenz der Mitgliedstaaten und die Implikationen der nationalen Vorschriften für den vom EU-Recht festgelegten einheitlichen Standard des Datenschutzbeauftragten.
I. Die Regelung des Datenschutzbeauftragten in der DS-GVO
Die DS-GVO hat für alle Mitgliedstaaten das Konzept des behördlichen und betrieblichen Datenschutzbeauftragten etabliert, der als Person mit Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren den für die Datenverarbeitung Verantwortlichen oder den Auftragsverarbeiter bei der Einhaltung der DS-GVO unterstützt.[3] Den Bestimmungen über die Benennung, die Stellung und die Aufgaben des Datenschutzbeauftragten in Art. 37, 38 und 39 DS-GVO[4] liegt ein einheitlicher Typus des Datenschutzbeauftragten sowohl im öffentlichen wie im nichtöffentlichen Bereich zugrunde. Die DS-GVO erfasst damit unterschiedliche Konstellationen: den obligatorischen Datenschutzbeauftragten (Art. 37 Abs. 1 DS-GVO), den fakultativen Datenschutzbeauftragten (Art. 37 Abs. 4 S. 1 DS-GVO), den internen und externen Datenschutzbeauftragten (Art. 37 Abs. 6 DS-GVO) oder den Datenschutzbeauftragten, der diese Funktion nicht in Vollzeit ausübt, sondern daneben noch andere Aufgaben und Pflichten wahrnimmt (Art. 38 Abs. 6 DS-GVO). Für eine Unternehmensgruppe und für den öffentlichen Bereich kann ein gemeinsamer Datenschutzbeauftragten benannt werden (Art. 37 Abs. 2 und 3 DS-GVO), ebenso für Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten (Art. 37 Abs. 4 S. 2 DS-GVO).
Aus der Natur der DS-GVO als unmittelbar geltendes EURecht (Art. 288 Abs. 2 AEUV) folgt, dass die Mitgliedstaaten nur dort, wo die DS-GVO sie ausdrücklich zur Spezifizierung, Präzisierung oder Konkretisierung einzelner ihrer Vorschriften verpflichtet oder ermächtigt, nationales Recht setzen können, wobei sie den Rahmen, der durch die Spezifizierungsklauseln der betreffenden Vorschriften gezogen ist, zu beachten haben.[5] Eine solche Spezifizierungsbefugnis für den nationalen Gesetzgeber sehen die Vorschriften der DSGVO über den Datenschutzbeauftragten zum einen in Art. 38 Abs. 5 DS-GVO vor, der hinsichtlich der Wahrung der Geheimhaltung und Vertraulichkeit auf das Recht der Union oder der Mitgliedstaaten verweist.[6] Zum andern gibt Art. 37 Abs. 4 S. 1 Halbs. 2 DS-GVO den Mitgliedstaaten die Befugnis, zusätzlich zu den in Art. 37 Abs. 1 DS-GVO genannten Fällen weitere Verarbeitungsbereiche festzulegen, in denen die Benennung eines Datenschutzbeauftragten verpflichtend ist.
Für alle Konstellationen des Datenschutzbeauftragten im Anwendungsbereich der DS-GVO sind die Vorgaben der Art. 37 bis 39 DS-GVO einzuhalten.[7] Damit gelten für alle Datenschutzbeauftragte identische Anforderungen für die berufliche Qualifikation und Fähigkeiten (Art. 37 Abs. 5 DSGVO), für seine Stellung (Art. 38 DS-GVO) als Voraussetzung für seine unabhängige Aufgabenerfüllung[8] sowie für die in dem Aufgabenkatalog des Art. 39 DS-GVO festgelegten Aufgaben, die von dem Datenschutzbeauftragten in jedem Fall zumindest zu erfüllen sind.[9] Dies gilt auch für den Datenschutzbeauftragten, dessen Benennung auf der Grundlage des Art. 37 Abs. 4 S. 1 Halbs. 2 DS-GVO durch nationales Recht festgelegt ist.[10] Im Hinblick auf den durch DS-GVO für alle Mitgliedstaaten verbindlich festgelegten einheitlichen Standard des Datenschutzbeauftragten stellt sich die Frage, ob und inwieweit die Vorschriften über den Datenschutzbeauftragten im BDSG damit vereinbar sind.
II. Die Regelung des Datenschutzbeauftragten im BDSG
Das zeitgleich mit dem Geltungsbeginn der DS-GVO am 25.5.2018 in Kraft getretene BDSG enthält in §§ 5, 6 und 7 Vorschriften über die Benennung, Stellung und Aufgaben des Datenschutzbeauftragten öffentlicher Stellen. Diese Vorschriften finden sich im 1. Teil des BDSG, der „gemeinsame Bestimmungen“ für den gesamten Anwendungsbereich des BDSG festlegt, also nicht nur für die Anpassung an die DS-GVO (Teil 2), sondern auch für die Umsetzung der Richtlinie (EU) 2016/680 für den Datenschutz im Bereich der Polizei und Strafjustiz[11] (Teil 3) sowie für die Bereiche außerhalb des EU-Rechts (Teil 4). Damit erfassen diese Vorgaben den Datenschutzbeauftragten im gesamten Bereich der Bundesverwaltung[12] und schaffen – über die Anpassung an die DS-GVO und die Umsetzung der Richtlinie (EU) 2016/680 hinaus – einen einheitlichen Bezugsrahmen für die Datenschutzbeauftragten öffentlicher Stellen des Bundes.[13] Für den nichtöffentlichen Bereich hat das BDSG zusätzlich zu den Fallgruppen der DS-GVO für die verpflichtende Benennung eines Datenschutzbeauftragten weitere obligatorische Fallgruppen eingeführt (§ 38 Abs. 1 BDSG).
Zudem konkretisiert das BDSG die Benennungspflicht auch für solche öffentliche Stellen, die am Wettbewerb teilnehmen (§ 5 Abs. 1 S. 2 BDSG), die Verschwiegenheitspflicht und das Zeugnisverweigerungsrecht (§ 6 Abs. 5 S. 2, Abs. 6, § 38 Abs. 2 BDSG).[14] Unterschiede bestehen bei der Formulierung, nicht aber dem Umfang des Aufgabenkatalogs des Datenschutzbeauftragten (§ 7 BDSG). Ferner finden sich Bestimmungen für die Abberufung und einen besonderen Kündigungsschutz des Datenschutzbeauftragten (§ 6 Abs. 4 BDSG), die allerdings nicht für den Fall gelten, dass ein Datenschutzbeauftragter benannt wird, ohne dass der Verantwortliche oder Auftragsverarbeiter durch die DS-GVO oder das BDSG dazu verpflichtet ist (§ 38 Abs. 2 BDSG).
Soweit die §§ 5, 6 und 7 BDSG lediglich den Inhalt der Art. 37, 38 und 39 DS-GVO wiederholen, ist dies bedingt durch den Aufbau des BDSG. Dadurch, dass §§ 5 bis 7 BDSG für den gesamten Anwendungsbereich des BDSG gelten, ergibt sich eine Gemengelage der spezifischen Anwendungsbereiche in jeweils ein- und derselben Vorschrift. Weil damit der unionsrechtliche Geltungsgrund und die Reichweite der Spezifizierungsbefugnis überdeckt wird, führt dies zur Unsicherheit, ob und inwieweit nationales Recht maßgeblich ist.[15]
III. Erweiterung der Benennungspflicht
Art. 37 Abs. 1 Buchst. a bis c DS-GVO legt drei Fallgruppen fest, in denen Verantwortliche und Auftragsverarbeiter zur Benennung eines Datenschutzbeauftragten verpflichtet sind. Die erste Fallgruppe betrifft alle Datenverarbeitungen, die von Behörden oder öffentlichen Stelle durchgeführt werden, mit Ausnahme von Gerichten im Rahmen ihrer justiziellen Tätigkeit (Art. 37 Abs. 1 Buchst. a DS-GVO), wobei sich der Begriff der „Behörde“ bzw. „öffentlichen Stelle“ nach der jeweiligen nationalen Rechtsordnung bestimmt. Dementsprechend sind die „öffentlichen Stellen“ des Bundes bzw. der Länder in § 2 Abs. 1 und 2 BDSG bzw. den Landesdatenschutzgesetzen definiert. Im nichtöffentlichen Bereich ist die Benennung obligatorisch, wenn die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in besonders risikobehafteten Verarbeitungen besteht. Das ist der Fall, wenn diese eine umfangreiche regelmäßige und systematische Überwachung betroffener Personen zum Gegenstand haben (Art. 37 Abs. 1 Buchst. b DS-GVO) oder die umfangreiche Verarbeitung besonders sensibler Daten gemäß Art. 9 und 10 DS-GVO (Art. 37 Abs. 1 Buchst. c DS-GVO). Diese Fallgruppen sind Ausdruck des risikobasierten Ansatzes der DS-GVO, der die datenschutzrechtlichen Anforderungen an Verantwortliche und Auftragsverarbeiter prägt.[16]
Von dem durch Art. 37 Abs. 1 Halbs. 2 DS-GVO für die Erweiterung der Benennungspflicht eröffneten Spielraum hat der Bundesgesetzgeber zum einen mit § 38 Abs. 1 S. 2 BDSG durch die Erweiterung der Benennungspflicht für die Fälle Gebrauch gemacht, dass die Verarbeitung einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegt oder die geschäftsmäßige Verarbeitung personenbezogener Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung zum Gegenstand hat. Während das Abstellen auf diese spezifischen Verarbeitungssituationen, die mit einem hohen Risiko verbunden sind, dem risikobasierten Ansatz der DS-GVO entspricht, normiert § 38 Abs. 2 S. 1 BDSG eine Benennungspflicht unabhängig von einer besonders risikobehafteten Verarbeitungssituation, wenn in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Diese ausschließlich an eine Personenzahl anknüpfende Regelung entspricht der Tradition des § 4 f. Abs. 1 S. 4 BDSG in der vor dem 25.5.2018 geltenden Fassung, jedoch nicht dem Ansatz der DS-GVO, die Verpflichtung zur Benennung eines Datenschutzbeauftragten an besonders risikobehaftete Verarbeitungen zu binden. Dementsprechend hat der Unionsgesetzgeber in den Gesetzesverhandlungen sowohl eine Bindung an eine bestimmte Beschäftigtenzahl[17] als auch an die Zahl der betroffenen Personen[18] abgelehnt. Zwar verpflichtet der Wortlaut des Art. 37 Abs. 4 S. 1 Halbs. 2 DS-GVO den nationalen Gesetzgeber nicht ausdrücklich auf den risikobasierten Ansatz. Jedoch betrifft die Benennungspflicht nach § 38 Abs. 1 S. 1 BDSG zunehmend kleine Unternehmen und Betriebe, da unter den Begriff der „automatisierten Verarbeitung“ jede rechnergestützte Datenverarbeitung fällt,[19] einschließlich der von „Personen, die Zahlungen mit EC-Karte oder Kreditkarte über entsprechende Geräte entgegen nehmen“, und zwar unabhängig davon, „ob es sich um mobile Geräte oder fest installierte Kassensysteme“ handelt.[20] Auch die Europäische Kommission hat in ihrem Evaluationsbericht vom 24.6.2020 auf den zusätzlichen Aufwand hingewiesen, der mit dieser ausschließlich auf ein quantitatives Kriterium gestützten obligatorischen Benennungspflicht für Unternehmen in Deutschland verbunden ist.[21]
IV. Kündigungsschutz und Abberufungsverbot
1. Kündigungsschutz für das Grundverhältnis
Art. 38 Abs. 3 S. 2 DS-GVO legt fest, dass der Datenschutzbeauftragte von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden darf, ohne dass diese Vorschrift selbst einen Kündigungsschutz regelt oder den Mitgliedstaaten eine Spezifizierungsbefugnis einräumt. § 6 Abs. 4 S. 2 und 3 BDSG garantiert dem Datenschutzbeauftragten den Schutz vor der Kündigung seines Arbeitsverhältnisses sowohl während seiner Tätigkeit als auch innerhalb eines Jahres nach deren Ende, es sei denn, dass Gründe für eine Kündigung aus wichtigem Grund vorliegen. Mangels einer ausdrücklichen Spezifizierungsbefugnis in der DS-GVO ist eine solche nationale Regelung aber nur dann zulässig, wenn sie einen Regelungsbereich betrifft, der nicht von den Vorschriften der DS-GVO erfasst wird.
Die Funktion als Datenschutzbeauftragter, die die DS-GVO regelt, ist davon abhängig, dass ein Beschäftigungs- oder Dienstleistungsverhältnis besteht. Bei einem internen Datenschutzbeauftragten ist zu unterscheiden zwischen dem arbeitsrechtlichen Grundverhältnis als Arbeitnehmer und der Benennung als Datenschutzbeauftragter, durch die dem Beschäftigten diese Funktion übertragen wird.[22] Die DS-GVO gewährleistet insbesondere durch das Abberufungs- und Benachteiligungsverbot den Schutz des Datenschutzbeauftragten zur Erfüllung seiner Aufgaben, regelt aber nicht die arbeitsrechtliche Ausgestaltung dieses Grundverhältnisses und dessen Beendigung, soweit dadurch nicht die Stellung und der Schutz in seiner Funktion als Datenschutzbeauftragter berührt wird. Deshalb geht auch die überwiegende Meinung davon aus, dass die Regelung eines besonderen Kündigungsschutzes das arbeitsrechtliche Beschäftigungsverhältnis betrifft.[23] § 6 Abs. 4 S. 2 und 3 BDSG spezifiziert dann nicht Art. 38 Abs. 3 S. 2 DS-GVO, sondern bezieht sich auf dieses durch die Verordnung nicht geregelte Grundverhältnis. Dieser Sonderkündigungsschutz fällt auch nicht in den Anwendungsbereich der Spezifizierungsklausel des Art. 88 Abs. 1 DS-GVO, da sich diese auf die Verarbeitung personenbezogener Daten bezieht, und nicht allgemein auf die Gestaltung eines arbeitsrechtlichen Beschäftigungsverhältnisses.
Wenn aber die DS-GVO nicht in die materiell-rechtliche Ausgestaltung des Arbeitsverhältnisses des internen Datenschutzbeauftragten eingreift, kommt es auch nicht auf die Abgrenzung der primärrechtlichen Rechtsgrundlagen für den Datenschutz in Art. 16 Abs. 2 AEUV einerseits und für Arbeitsbedingungen in Art. 153 AEUV[24] bzw. der Rechtsangleichung in Art. 114 Abs. 1 AEUV andererseits an.[25] Klarheit, ob der in § 6 Abs. 4 S. 2 i.V.m. § 38 BDSG geregelte besondere Kündigungsschutz als materielle arbeitsrechtliche Regelung unionsrechtlich nicht zu beanstanden ist, ist allerdings erst von der Entscheidung des EuGH zu der vom BAG im Vorabentscheidungsverfahren vorgelegten Frage zu erwarten.[26]
2. Spezifizierung des Abberufungsverbots
Anders verhält es sich jedoch mit § 6 Abs. 4 S. 1, § 38 Abs. 2 BDSG, wonach die Abberufung des Datenschutzbeauftragten nur in Anwendung des § 626 BGB zulässig ist. Das BDSG normiert damit Bedingungen für die Abberufung, die als „actus contrarius“ zur Benennung unmittelbar die Funktion des Datenschutzbeauftragten betreffen.[27] Art. 38 Abs. 3 S. 2 DS-GVO steht dabei im systematischen Zusammenhang mit der Garantie der Weisungsfreiheit und dem von der Unternehmenshierarchie unabhängigen Zugang zur obersten Managementebene in Satz 1 und 3 dieser Vorschrift, die der Gewährleistung der „vollständigen Unabhängigkeit“ des Datenschutzbeauftragten dienen.[28] Durch die Abberufung wird auch – anders als bei einer Kündigung – das arbeitsrechtliche Grundverhältnis nicht beendet.[29] Bei § 6 Abs. 4 S. 1, § 38 Abs. 2 BDSG handelt es sich deshalb „im Kern“ nicht um eine arbeitsrechtliche Regelung,[30] sondern um eine datenschutzrechtliche Regelung, die wesentlich für die Stellung des internen wie externen Datenschutzbeauftragten ist. Für eine Ausgestaltung der Voraussetzungen für die Abberufung durch den Verantwortlichen oder Auftragsverarbeiter fehlt jedoch eine Regelungsbefugnis des nationalen Gesetzgebers.[31]
3. Benachteiligung des fakultativen Datenschutzbeauftragten
Eine weitere Problematik ergibt sich in Bezug auf § 38 Abs. 2 Halbs. 2 BDSG, der die Vorschriften des § 6 Abs. 4 BDSG über den Kündigungsschutz und die Abberufung nur im Fall des obligatorischen Datenschutzbeauftragten für anwendbar erklärt. Da der fakultative Datenschutzbeauftragte, dessen Benennung weder durch Art. 37 Abs. 1 DS-GVO noch durch nationales Recht auf der Grundlage des Art. 37 Abs. 4 S. 1 Halbs. 2 DS-GVO verpflichtend vorgeschrieben ist, ebenfalls den Anforderungen der Art. 37 bis 39 DS-GVO für die Benennung, Stellung und den Aufgabenbereich wie bei einer obligatorischen Benennung unterliegt,[32] besteht auch für den freiwillig benannten Datenschutzbeauftragten keine „Gestaltungsfreiheit“ in dem Sinne, dass von den Bedingungen für die Benennung und den Vorschriften über seine Stellung und seine Aufgaben von den unionsrechtlichen Vorschriften abgewichen werden könnte.[33]
§ 38 Abs. 2 Halbs. 2 BDSG schafft jedoch durch die Herausnahme des fakultativen Datenschutzbeauftragten von dem besonderen Kündigungsschutzes des § 6 Abs. 4 S. 2 und 3 BDSG unterschiedliche Schutzstandards in Bezug auf die arbeitsrechtliche Stellung des Datenschutzbeauftragten, je nachdem, ob die Benennung verpflichtend ist oder durch die nichtöffentliche Stelle freiwillig erfolgt. Da das Benachteiligungsverbot des Art. 38 Abs. 3 S. 2 DS-GVO nicht nur Sanktionen wegen der Erfüllung seiner Aufgaben verbietet, sondern ebenso den Ausschluss des Datenschutzbeauftragten von Vergünstigungen,[34] ist es schon im Hinblick auf das identische Aufgabenfeld nicht gerechtfertigt, den fakultativen Datenschutzbeauftragten von einer dem obligatorischen Datenschutzbeauftragten gewährten arbeitsrechtlichen Privilegierung auszunehmen. Zudem erweckt die Unterscheidung bei der Anwendbarkeit des § 6 Abs. 4 S. 1 BDSG den Eindruck, dass insoweit der Verantwortliche oder Auftragsverarbeiter mehr Möglichkeiten für die Abberufung des fakultativen Datenschutzbeauftragten hat, als dies bei dem obligatorischen Datenschutzbeauftragten der Fall ist.
V. Der Datenschutzbeauftragte als Rechtsdienstleister?
1. Anwendbarkeit des Rechtsdienstleistungsgesetzes?
Für die Diskussion der Frage einer Regulierung des Datenschutzbeauftragten durch das Rechtsdienstleistungsgesetz (RDG)[35] ist darauf hinzuweisen, dass das Erfordernis einer Erlaubnis nach § 3 RDG einen rechtlichen Regelungsspielraum der Mitgliedstaaten voraussetzt, der den nationalen Gesetzgeber befugen würde, zusätzliche Bedingungen für die Benennung des Datenschutzbeauftragten zu stellen.
Art. 37 Abs. 5 DS-GVO erfordert als Grundlage für die Benennung sowohl des internen wie des externen Datenschutzbeauftragten berufliche Qualifikation und insbesondere Fachwissen, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie die Fähigkeit zur Erfüllung der in Art. 39 DS-GVO genannten Aufgaben. Diese Vorschrift sieht weder selbst weitere spezifische Kriterien vor noch eine Befugnis zur Konkretisierung oder Ergänzung dieser Voraussetzungen durch die Mitgliedstaaten. Aus dem Umstand, dass der EU-Gesetzgeber den Vorschlag der Europäischen Kommission, durch einen delegierten Rechtsakt Kriterien für die dafür erforderliche berufliche Qualifikation festzulegen,[36] nicht aufgegriffen hat, ergibt sich mangels Spezifizierungsklausel keine „ergänzende“ Regelungsbefugnis für den nationalen Gesetzgeber, solche Kriterien und Bedingungen aufzustellen.
Da die Anforderungen an die berufliche Qualifikation des Datenschutzbeauftragten nicht mit einer Spezifikationsbefugnis verbunden und damit abschließend sind, ist es aus unionsrechtlicher Sicht nicht zulässig, die Tätigkeit des Datenschutzbeauftragten von einer solchen Erlaubnis nach nationalem Recht abhängig zu machen. Dabei besteht auch für die Fallgruppen des § 38 Abs. 1 BDSG kein erweiterter Gestaltungsraum für den nationalen Gesetzgeber, da es sich dabei um keine „überschießende“ nationale Regelung handelt, durch die EU-Recht auf nationale Sachverhalte außerhalb des EU-Rechts erstreckt würde,[37] sondern um die Ausfüllung der Rechtsetzungsbefugnis des Art. 37 Abs. 4 S. 1 Halbs. 2 DSGVO, die auf die Festlegung zusätzlicher Benennungspflichten beschränkt ist und im Übrigen keinen Spielraum für Abweichungen von oder Ergänzungen der Regelungen der DS-GVO lässt. Hingegen erfasst die DS-GVO nicht Tätigkeiten, die der Datenschutzbeauftragte neben dieser Funktion als Anwalt oder sonst mit Rechtsdienstleistungen außerhalb der durch Art. 39 DS-GVO festgelegten Aufgaben erbringt. Nach den Grundsätzen der unionsrechtskonformen Auslegung muss deshalb das RDG notfalls unangewendet bleiben, soweit dies den Datenschutzbeauftragten für seinen Aufgabenbereich einer Erlaubnispflicht unterwerfen würde.[38]
Abgesehen davon umfasst der durch Art. 39 Abs. 1 DSGVO festgelegte und sowohl für den internen wie den externen Datenschutzbeauftragten verbindliche und identische Aufgabenkatalog[39] zwar ausdrücklich datenschutzrechtliche Beratungsaufgaben. Fachwissen und Erfahrung im Datenschutzrecht sind insbesondere für die Wahrnehmung der Aufgaben der Unterrichtung und Beratung des Verantwortlichen oder Auftragsverarbeiters und deren Beschäftigten über deren datenschutzrechtlichen Pflichten erforderlich (Art. 39 Abs. 1 Buchst. a DS-GVO), ohne dass dies aber eine juristische Ausbildung und Erfahrung in einem juristischen Beruf voraussetzt. Der Aufgabenkatalog des Art. 39 DS-GVO ist jedoch nicht auf die Beratung in datenschutzrechtlichen Fragen fokussiert. Der Datenschutzbeauftragte muss nicht nur durch seine Beratung darauf hinwirken, sondern auch überwachen und überprüfen, dass durch technische und organisatorische Maßnahmen die Einhaltung der DS-GVO gewährleistet ist.[40] Dazu gehört die Überwachung der Einhaltung des Datenschutzrechts sowie der – als „Strategien“ bezeichneten – internen Vorgaben zur Umsetzung datenschutzrechtlichen Anforderungen in der konkreten Geschäftspolitik (Art. 39 Abs. 1 Buchst. b DS-GVO), die Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung, die Zusammenarbeit mit der Aufsichtsbehörde und seine Funktion als deren Anlaufstelle (Art. 39 Abs. 1 Buchst. c, d und e DS-GVO), ebenso wie in der Kommunikation mit betroffenen Personen innerhalb und außerhalb der Organisation (Art. 38 Abs. 4 DS-GVO). Die Überprüfung und Überwachung darf sich auch nicht nur auf Einzelaspekte der Verarbeitung beziehen, sondern umfassend auf die Handhabung der personenbezogenen Daten, von deren Erheben und Erfassen und Verwendung über die Organisation, Speicherung und Verknüpfung bis zu deren Löschung und Vernichtung.[41]
Diese Aufgaben erfordern sowohl für den internen wie den externen Datenschutzbeauftragten auch betriebsspezifische Kenntnisse der Verfahren und Techniken der Datenverarbeitung sowie des Datenschutz- und Risikomanagements und der relevanten organisatorischen, technischen und wirtschaftlichen Praktiken und Verfahren, die notwendig sind, um die Datenverarbeitung und die damit verbundenen Risiken in dem konkreten Unternehmen oder Organisation einzuschätzen.[42] Die Expertise in datenschutzrechtlichen Fragen ist damit ein Element des Profils des Datenschutzbeauftragten, wobei ihm die DS-GVO jedoch nicht zumutet, neue und/oder komplexe datenschutzrechtliche Fragen im Alleingang zu lösen. Art. 39 Abs. 1 Buchst. e DS-GVO befugt ihn ausdrücklich, gegebenenfalls die Beratung durch die Datenschutzaufsichtsbehörde in Anspruch zu nehmen. Entsprechend verpflichtet § 40 Abs. 6 S. 1 BDSG die Aufsichtsbehörden, den Datenschutzbeauftragten zu beraten und zu unterstützen. Diese Beratung und Unterstützung ist für den Datenschutzbeauftragten unentgeltlich (Art. 57 Abs. 3 DS-GVO).
Auch bei einem externen Datenschutzbeauftragten kann deshalb die datenschutzrechtliche Beratung und Prüfung nicht isoliert von der Einbindung in seine umfassende Beratungs- und Überwachungsaufgabe der auf den Datenschutz bezogenen technischen und organisatorischen Maßnahmen betrachtet werden.[43] Deshalb würde es sich selbst dann, wenn der nationale Gesetzgeber befugt wäre, außerhalb des Datenschutzrechts zusätzliche Bedingungen an die Benennung zu stellen und die datenschutzrechtlichen Beratungsaufgaben im Rahmen des Art. 39 DS-GVO als Rechtsdienstleistung nach § 2 Abs. 1 RDG angesehen würden, bei diesen datenschutzrechtlichen Aufgaben allenfalls um eine „Nebenleistung“ zu seinem Berufs- und Tätigkeitsbild i.S.d. § 5 Abs. 1 RDG handeln, die keiner Erlaubnis nach § 3 RDG bed.[44]
2. Keine anwaltliche Tätigkeit
Erst recht ist die Funktion des Datenschutzbeauftragten als solche keine anwaltliche Tätigkeit. Auch der BGH stützte in seinem Urteil vom 15.10.2018[45] die Qualifizierung als anwaltliche Tätigkeit nicht nur auf die Tätigkeit der Antragstellerin als interne betriebliche Datenschutzbeauftragte, sondern auf die gleichzeitige Wahrnehmung von Aufgaben „anwaltlicher Prägung“ und – in Personalunion bzw. „Doppelfunktion“ – von Aufgaben der Datenschutzaufsicht an der Stelle des Landesbeauftragten für den Datenschutz. Dementsprechend betrifft diese Rechtsprechung eine Fallgestaltung, bei der „die Antragstellerin zu 70 bis 80 Prozent gar nicht unmittelbar als Datenschutzbeauftragte tätig wurde, sondern sonstige datenschutzrechtliche Aufgaben anwaltlicher Prägung wahrnahm“ und deshalb „schon die sonstige Tätigkeit der Antragstellerin genügte, um von einer anwaltlichen Prägung auszugehen“.[46] Die – unter der DS-GVO nicht zulässige – Konstellation der Funktion als Datenschutzbeauftragte des Verantwortlichen oder Auftragsverarbeiters und gleichzeitiger Wahrnehmung der Aufgaben einer unabhängigen Datenschutzaufsicht, die der vom BGH entschiedenen Fallgestaltung zugrunde lag, ist durch die Anpassung des WDR-Gesetzes an die DS-GVO beseitigt worden. Danach ist nun neben dem WDR-Rundfunkdatenschutzbeauftragten als zuständige Aufsichtsbehörde i.S.d. Art. 51 DS-GVO für den WDR eine weitere Person zum betrieblichen Datenschutzbeauftragten gemäß Art. 37 DS-GVO zu benennen.[47]
VI. Fazit
Als Fazit ist festzuhalten, dass die DS-GVO von einem einheitlichen Typus des Datenschutzbeauftragten ausgeht, unabhängig davon, ob dessen Benennung für Verantwortliche und Auftragsverarbeiter obligatorisch ist, oder ob die Benennung freiwillig erfolgt, ob diese Aufgabe von einem Beschäftigten des Verantwortlichen oder Auftragsverarbeiter in Vollzeit oder Teilzeit als interner Datenschutzbeauftragter wahrgenommen wird, oder von einem externen Datenschutzbeauftragten auf der Grundlage eines Dienstleistungsvertrages. Im Anwendungsbereich der DS-GVO ist der nationalen Gesetzgeber nur zu solchen Regelungen befugt, die ausdrücklich von Bestimmungen der DS-GVO gefordert oder zugelassen werden. Das ist bei dem Datenschutzbeauftragten der Fall hinsichtlich der Festlegung zusätzlicher Fallgruppen für die Benennung eines Datenschutzbeauftragten und zur Spezifizierung der Pflichten zur Geheimhaltung und Vertraulichkeit. Unionsrechtliche Bedenken ergeben sich hingegen aus der weitgehenden Wiederholung des Verordnungstexts in den allgemeinen Vorschriften des BDSG und aus der Spezifizierung des Abberufungsverbots in § 6 Abs. 4 S. 1 BDSG.
Hinsichtlich des Sonderkündigungsschutzes für den Datenschutzbeauftragten ist eine Klärung des nationalen Gesetzgebungsspielraums durch das beim EuGH anhängigen Vorabentscheidungsverfahren zu erwarten. Die Privilegierung des obligatorischen Datenschutzbeauftragten gegenüber dem fakultativen Datenschutzbeauftragten durch den besonderen Kündigungsschutz ist nicht mit der von der DS-GVO festgelegten einheitlichen Stellung des Datenschutzbeauftragten vereinbar. Das umfassende Aufgabenprofil des Datenschutzbeauftragten steht einer Reduzierung auf die Qualifikation seiner Funktion als Rechtsdienstleister und damit einer Erlaubnispflicht nach dem RDG entgegen. Die Wahrnehmung der Aufgaben des Datenschutzbeauftragten ist als solche auch keine anwaltliche Tätigkeit.
In jedem Falle sollten die Mitgliedstaaten auch bei dem Gebrauch von Spezifikationsbefugnissen eine Fragmentierung vermeiden, die den Ansatz eines europaweit einheitlichen Typus des Datenschutzbeauftragten in Frage stellt.[48]
Dr. Horst Heberlein Dr. Horst Heberlein war als Beamter der Generaldirektion Justiz und Verbraucher der Europäischen Kommission an der Vorbereitung und Verhandlung der DS-GVO beteiligt. Er vertritt hier seine persönliche Meinung.
[1] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016 L 119, S. 1; ber. ABl. 2016 L 314 S. 82, ABl. 2018 L 127 S. 2 und AbI. 2021 L 74 S. 35)
[2] Bundesdatenschutzgesetz v. 30.06.2017 (BGBl. I S. 2097), geänd. durch Art. 12 des Gesetzes v. 20.11.2019 (BGBl. I S. 1626).
[3] EG 97 S. 1 der DS-GVO.
[4] Vgl. den Überblick von Klug, ZD 2016, 315.
[5] Dazu Selmayr/Ehmann, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Einf. Rn. 75 ff.
[6] Jaspers/Reif, RDV 2016, 61 (65).
[7] Art.-29-Datenschutzgruppe, Leitlinien in Bezug auf Datenschutzbeauftragte i.d.F. v. 05.04.2017 (WP 243 rev.01), S. 6; Bergmann/Möhrle/ Herb, Datenschutzrecht, Stand: August 2020, Art. 37 DS-GVO, Rn. 63.
[8] Vgl. EG 97 S. 4 DS-GVO.
[9] Drewes, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, Art. 39 Rn. 1
[10] Paal, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl. 2021, Art. 37 DS-GVO Rn. 12a; Jaspers/Reif, RDV 2016, 61 (62).
[11] Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rats v. 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. 2016 L 119 S. 89, ber. ABl. 2018 L 127 S. 9 und ABI 2021 L 74 S. 36.
[12] Vgl. die Gesetzesbegr. BT-Drs. 18/11325, S. 82.
[13] Dazu Heberlein, BayVBl. 2019, 622 (625 ff.).
[14] Dazu Klug, in: Gola, DS-GVO, 2. Aufl. 2018, Art. 38, Rn. 13 und 14.
[15] Dazu Heberlein, in: Ehmann/Selmayr, Art. 37 Rn 51 ff.; Mayer, in: Giersch mann/Schlender/Stentzel/Veil, DS-GVO, 2018, Art. 37 Rn. 106; vgl. auch die Stellungnahme des DAV zur Evaluierung des BDSG, ZDAktuell 2021, 05029.
[16] Dazu Klug, in: Gola, DS-GVO, 2. Aufl. 2018, Art. 37, Rn. 8 ff.
[17] Vgl. Art. 35 Abs. 1 Buchst. b des Verordnungsvorschlags der EU-Kommission KOM(2012)11 endg.
[18] Art. 35 Abs. 1 Buchst. b des Standpunkts des Europäischen Parlaments vom 12.03.2014, P7_TC1-COD(2012)0011.
[19] Zerdick, in: Ehmann/Selmayr, Art. 2 Rn. 3.
[20] Bergmann/Möhrle/Herb, Art. 37 DS-GVO Rn. 106.
[21] Begleitunterlage SWD(2020) 115 final zur Mitteilung der EU-Kommission v. 24.06.2020 COM(2020) 264 final, S. 23.
[22] Dazu Heberlein, in: Ehmann/Selmayr, Art. 37 Rn. 14
[23] LAG Nürnberg, ZD 2020, 418 mit Anm. Blasek, Rn. 62 (nicht rechtskr.); Paal, in: Paal/Pauly, Art. 38 DS-GVO Rn. 10 b; Bergt, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl. 2020, Art. 38 DS-GVO Rn. 33; Drewes, in: Simitis/Hornung/Spiecker gen. Döhmann, Art. 37 Rn. 58; Bergmann/ Möhrle/Herb, Art. 38 DS-GVO Rn. 55; zurückhaltend Klug, in: Gola, Art. 38 Rn. 11; a.A. Härting, DS-GVO, Rn. 16.
[24] Dazu LAG Nürnberg ZD 2020, 418, Rn. 60.
[25] Vgl. BAG, EuGH-Vorlage vom 30.07.2020 – 2 AZR 225/20, Rn. 31.
[26] BAG, EuGH-Vorlage vom 30.07.2020 – 2 AZR 225/20; beim EuGH anhängig unter C-534/20.
[27] Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, 2. Aufl. 2019, § 6 Rn. 37.
[28] EG 97 S. 4 DS-GVO.
[29] Bergt, in: Kühling/Buchner, Art. 37 Rn. 47.
[30] So jedoch LAG Nürnberg, ZD 2020, 418, Rn. 66; vgl. auch die Gesetzesbegr. BT-Drs. 18/11325, 82.
[31] Ebenso Laue/Kremer, § 6 Rn. 37; Kühling/Sackmann, in: Kühling/Buchner, § 38 BDSG Rn. 20; Drewes, in: Simitis/Hornung/Spiecker gen. Döhmann, Art. 37 Rn. 58; a.A. LAG Nürnberg, ZD 2020, 418, Rn. 67; LAG Sachsen, ZD 2020, 163, Rn. 51.
[32] Art.-29-Datenschutzgruppe, Leitlinien in Bezug auf Datenschutzbeauftragte i.d.F. vom 05.04.2017 (WP 243 rev.01), S. 6; Paal, in: Paal/ Pauly, Art. 37 Rn. 12a; Jaspers/Reif, RDV 2016, 61 (62).
[33] Ebenso Bergmann/Möhrle/Herb, Art. 37 DS-GVO Rn. 63.
[34] Art.-29-Datenschutzgruppe, WP 243 rev.01, S. 18.
[35] Rechtsdienstleistungsgesetz v. 12.12.2007 (BGBl. I S. 2840), zuletzt geänd. durch Art. 1 des Gesetzes v. 22.12.2020 (BGBl. I S. 3320).
[36] Art. 35 Abs. 11 des Verordnungsvorschlags der EU-Kommission KOM(2012)11 endg.
[37] So jedoch Baumert, AnwBl Online 2019, 749 (754).
[38] Vgl. EuGH, Urt. vom 13.07.2016 – C-187/15 – Pöpperl, Rn. 43-45; EuGH, Urt. vom 11.11.2015 – C-505/14 – Klausner Holz, Rn. 34; EuGH, Urt. vom 18.12.2007 – C-357/06 – Frigerio Luigi & C, Rn. 28.
[39] Baumert, AnwBl Online 2019, 749; Drewes, in: Simitis/Hornung/Spiecker gen. Döhmann, Art. 39 Rn. 1.
[40] Vgl. Art. 24 Abs. 1 DS-GVO.
[41] Vgl. die Begriffsbestimmung in Art. 4 Nr. 2 DS-GVO.
[42] Vgl. Klug, in: Gola, Art. 37 Rn. 18.
[43] Ebenso Baumert, AnwBl Online 2019, 749 (753 f.).
[44] Ebenso Paal, in: Paal/Pauly, Art. 37 Rn 13a; Paal/Nabulsi, NJW 2019, 3673 (3678); Baumert, AnwBl Online 2019, 749 (750, 754); a.A. Bergt, in: Kühling/Buchner, Art. 37 DS-GVO, Rn. 59-62.
[45] BGH, Urt. v. 15.10.2018 – AnwZ (Brfg) 20/18.
[46] Remmert, AnwBl Online 2020, 96 (100).
[47] § 49 Abs. 1 und 4 WDR-Gesetz i.d.F. v. 08.05.2018 GV NRW S. 214; zuletzt geänd. durch Gesetz vom 03.04.2020, GV NRW S. 284.
[48] Vgl. EU-Kommission, Mitteilung vom 24.06.2020 COM(2020) 264 final, S. 18.