DA+

Kurzbeitrag : Aus den aktuellen Berichten der Aufsichtsbehörden (37): Der DSB nach DS-GVO und neuem nationalem Datenschutzrecht : aus der RDV 5/2018, Seite 257 bis 260

Lesezeit 9 Min.

Die Landesdatenschutzbeauftragten der Länder Hessen (6. TB, 2017 v. 07.08.2018, Abschnitt 2.3) und Bremen 40. TB, 2017 v. 25.05.2018, Abschnitt 3 ff.)) widmen sich in ihren Tätigkeitsberichten ausführlich der Rolle und den Aufgaben, die betriebliche und behördliche Datenschutzbeauftragte nach dem 24.05.2018 wahrzunehmen haben. Bestimmt wird die Rechtslage durch die zentralen Regelungen zur Benennung, Stellung und zu den Aufgaben der Datenschutzbeauftragten in den Art. 37 bis 39 DS-GVO und den §§ 5 bis 7 und 38 BDSG nF und für behördliche DSB im Länderbereich durch die Regelungen der zwischenzeitlich auch novellierten Landesdatenschutzgesetze.

Ausführlich sind die Hinweise des Hessischen Landesdatenschutzbeauftragten, der, obwohl die in den Art. 37 bis 39 DS-GVO enthaltenen Regelungen sowie die ergänzenden Regelungen des BDSG nF die Rechtsfigur der oder des Datenschutzbeauftragten nicht neu kreieren, sondern an bereits bekannte und bewährte Regelungen anknüpfen, eine Handreichung erarbeitet hat, die in 12 – hier zusammengefasst wiedergegebenen – Kernpunkten die Voraussetzungen der Benennung, die persönlichen Anforderungen an Datenschutzbeauftragte, ihre Aufgaben, Pflichten und Stellung vor dem Hintergrund der neuen Regelungen beleuchtet (im Volltext abrufbar: https://www.datenschutz.hessen.de/download.php?download_ID=373&download_now=1).

I. Keine erleichterte Abberufung oder Kündigung bereits bestellter Datenschutzbeauftragter durch die Neuregelung

Grundsätzlich können bereits vor Inkrafttreten der DS-GVO bestellte Datenschutzbeauftragte nicht mit Verweis auf die neuen gesetzlichen Bestimmungen abberufen oder gekündigt werden. Um die Datenschutzbeauftragten mit der zukünftigen Rechtslage vertraut zu machen, müssen Arbeitgeber bzw. Dienstherren bereits bestellten Datenschutzbeauftragten ausreichend Ressourcen (d.h. Fortbildungsmaßnahmen, Lehrmaterial, Zeitschriften etc.) zur Verfügung stellen.

II. Benennungspflicht

Gemäß Art. 37 Abs. 1 lit. a DS-GVO und § 5 Abs. 1 BDSG nF müssen öffentliche Stellen grundsätzlich eine Datenschutz beauftragte bzw. einen Datenschutzbeauftragten benennen.

Neben den Tatbestandsvoraussetzungen der Benennung nach Art. 37 Abs. 1 lit. b und c DS-GVO für betriebliche Datenschutzbeauftragte gilt aufgrund der Öffnungsklausel des Art. 37 Abs. 4 Satz 1 DS-GVO auch weiterhin die quantitative Benennungspflicht bei ab zehn beschäftigten Personen, die ständig mit automatisierter Verarbeitung personenbezogener Daten befasst sind. Von der Möglichkeit der Öffnungsklausel des Art. 37 Abs. 4 Satz 1 DS-GVO hat der deutsche Gesetzgeber zudem für Stellen, die einer Datenschutz-Folgenabschätzung unterliegen oder die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Marktund Meinungsforschung nutzen, Gebrauch gemacht und in § 38 Abs. 1 BDSG nF in Ergänzung zu Art. 37 Abs. 1 DS-GVO die Pflicht zur Benennung einer oder eines Datenschutzbeauftragten näher normiert.

Am Beispiel einer konzernangehörigen Firma macht die Landesbeauftragte von Bremen deutlich, dass die Auslagerung der Personalverwaltung und des Rechnungswesens an die Konzernzentrale zumeist keineswegs zur Befreiung von der Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragen führt, da gleichwohl im Vorfeld umfangreich automatisiert personenbezogene Daten zum Beispiel zu Urlaubsanträgen, zur Auszahlung der Gehälter, zur Arbeitszeiterfassung und zu Erkrankungen der Mitarbeiterinnen und Mitarbeiter erhoben, gespeichert und an die Muttergesellschaft zur weiteren Bearbeitung übermittelt werden. Im Bereich des Einkaufs des Unternehmens werden personenbezogene Lieferantendaten und Kundendaten erhoben, gespeichert und zur Erfüllung der Aufgaben des Rechnungswesens an die Muttergesellschaft übermittelt. Darüber hinaus wurden im Technikbereich des Unternehmens personenbezogene Daten der Mitarbeiterinnen und Mitarbeiter zum Beispiel für arbeitsorganisatorische Zwecke verarbeitet. Die Ermittlung der Anzahl der bei den festgestellten unterschiedlichen Verarbeitungsaktivitäten mit der Verarbeitung personenbezogener Daten beschäftigten Personen führte zu dem Ergebnis, dass diese deutlich mehr als neun beträgt und somit eine betriebliche Datenschutzbeauftragte oder ein betrieblicher Datenschutzbeauftragter zu bestellen war.

III. Benennungspflicht für Verantwortliche und Auftragsverarbeiter

Sowohl Verantwortliche als auch Auftragsverarbeiter müssen nach Art. 37 Abs. 1 DS-GVO und § 38 Abs. 1 BDSG nF eine oder einen Datenschutzbeauftragten benennen. Aus deutscher Sicht handelt es sich mithin um eine Erweiterung der bisher bestehenden Bestellpflicht, da bisheriger Normadressat des BDSG nur die verantwortliche Stelle war.

IV. Veröffentlichungs- und Mitteilungspflicht

Nach Art. 37 Abs. 7 DS-GVO sind die Kontaktdaten der bzw. des Datenschutzbeauftragten durch die Verantwortlichen und die Auftragsverarbeiter zu veröffentlichen und der Aufsichtsbehörde mitzuteilen (vgl. zum Verfahren Ziff. 2.4. des Berichts).

V. „Konzernprivileg“ für Benennung

Die DS-GVO schafft in Art. 37 Abs. 2, Abs. 3 DS-GVO und § 5 Abs. 2 BDSG nF für Verantwortliche und Auftragsverarbeiter die Möglichkeit der Benennung einer oder eines Datenschutzbeauftragten für eine Unternehmensgruppe, vorausgesetzt diese bzw. dieser kann von jeder Niederlassung leicht erreicht werden. Zukünftig ist daher eine separate Benennung für jedes einzelne Konzernunternehmen nicht mehr zwingend erforderlich. Im Verhältnis zur bisherigen Regelung des BDSG handelt es sich somit um eine Erleichterung der formalen Anforderungen.

Unter dem Begriff der leichten Erreichbarkeit ist zum einen die Sicherstellung der persönlichen Kommunikation durch ausreichend verfügbare Kontaktmöglichkeiten, z.B. die Einrichtung eines Kontaktformulars auf der Webseite, Bereitstellung einer Telefonnummer und/oder E-Mail-Adresse, regelmäßige Sprechstunden für Beschäftigte zu verstehen, zum anderen müssen Datenschutzbeauftragte in der Lage sein, mit Aufsichtsbehörden und Betroffenen sprachlich zu kommunizieren.

VI. Interne oder externe Benennung möglich

Datenschutzbeauftragte können sowohl Beschäftigte benennpflichtiger Unternehmen sein als auch auf der Grundlage von Dienstleistungsverträgen tätig werden. Diese Wahlfreiheit wird für öffentliche Stellen durch die Vorschriften Art. 37 Abs. 6 DS-GVO und § 5 Abs. 4 BDSG nF eingeführt, für Unternehmen war dies aktuell bereits gegeben (vergleiche § 4f Abs. 2 Satz 3 und 4 BDSG).

VII. Datenschutzteam und Benennung juristischer Personen

Neben der Benennung einer einzelnen Person als Datenschutzbeauftragte bzw. Datenschutzbeauftragter ist es auch möglich, dass mehrere Personen gemeinsam die Aufgaben der bzw. des Datenschutzbeauftragten wahrnehmen. Auch die Benennung einer juristischen Person zum Datenschutzbeauftragten ist nach Ansicht der WP 29 zulässig. Diese hat hierzu im Dezember 2016 das Working Paper 243 „Guidelines on Data Protection Officers (‘DPOs’)“ veröffentlicht. Aktuell vertreten die deutschen Aufsichtsbehörden hierzu noch unterschiedliche Auffassungen. Nach dem HessLDSB ist eine solche Gestaltung der Position der bzw. des Datenschutzbeauftragten denkbar, sofern eine solche Konstruktion allen Anforderungen genügt.

VIII. Freiwillige Benennung

Im Falle der freiwilligen Benennung betrieblicher Datenschutzbeauftragter gelten sämtliche Vorschriften des vierten Abschnitts der DS-GVO. Zu beachten ist aber, dass der zur DS-GVO hinzutretende Abberufungs- und Kündigungsschutz nach dem Wortlaut des § 38 Abs. 2 BDSG-neu nur bei der verpflichtenden Benennung zur Anwendung gelangt. Sofern der Abberufungs- und Kündigungsschutz dennoch zur Anwendung gelangen sollen, bedarf es einer entsprechenden Regelung zwischen den Parteien.

IX. Persönliche Anforderungen an den Datenschutzbeauftragten

Sowohl die DS-GVO als auch das BDSG nF verlangen, dass die Auswahl und Benennung von Datenschutzbeauftragten auf der Grundlage folgender drei Voraussetzungen erfolgt:

  • berufliche Qualifikation,
  • Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis,
  • Fähigkeit zur Erfüllung der in der DS-GVO bzw. BDSG nF genannten Aufgaben.

Zu fordern sind hiernach jedenfalls Kenntnisse des nationalen und europäischen Datenschutzrechts und ein vertieftes Verständnis der DS-GVO, wobei sich das konkret zu fordernde Fachwissen an der Sensitivität, Komplexität und dem Umfang der Verarbeitungsvorgänge orientieren sollte. Auch das Betätigungsfeld verantwortlicher Stellen oder Auftragsverarbeiter und die hiermit verbundenen Datenverarbeitungsvorgänge (z.B. Gesundheitsdatenschutz, Beschäftigtendatenschutz oder Kundendatenschutz) können bei der Frage des erforderlichen Fachwissens der Datenschutzbeauftragten eine besondere Rolle spielen.

Über die berufliche und fachliche Qualifikation hinaus verlangt die WP 29 im Zusammenhang mit der Fähigkeit zur Erfüllung der in der DS-GVO genannten Aufgaben, dass Datenschutzbeauftragte ein hohes Maß an persönlicher Integrität und Berufsethik aufweisen (Working Paper 243, Seite 12).

X. Aufgaben und Pflichten

Bei einer Gesamtschau der Regelungen der DS-GVO sowie des BDSG nF sieht der Hessische LDSB folgenden Kernaufgaben für Datenschutzbeauftragte:

  • Unterrichtung und Beratung,
  • Überwachung der Einhaltung der DS-GVO und anderer Datenschutzvorschriften der Union bzw. der Mitgliedsstaaten (oder des BDSG und sonstiger Vorschriften über den Datenschutz)/Zuweisung von Zuständigkeiten,
  • Sensibilisierung und Schulung,
  • Beratung und Überwachung im Zusammenhang mit der Datenschutz-Folgenabschätzung,
  • Zusammenarbeit mit der Aufsichtsbehörde,
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde.

Die DS-GVO bzw. das BDSG nF seien zudem nicht nur ein beschreibender Aufgabenkatalog, sondern gäben Datenschutzbeauftragten auch gleich die Maxime mit, bei der Erfüllung ihrer Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung zu tragen, wobei sie dabei die Art und den Umfang, die Umstände und Zwecke der Verarbeitung zu berücksichtigen haben.

Überdies stehe es Behörden und Unternehmen frei, die Rolle der Datenschutzbeauftragten strategischer und proaktiver auszugestalten, als dies in der DS-GVO und dem BDSGneu vorgesehen ist, da die Vorschriften keine abschließende Aufgabenzuweisung enthalten.

XI. Stellung des Datenschutzbeauftragten

Von ausschlaggebender Bedeutung für eine wirkungsvolle Tätigkeit ist die unabhängige und organisatorisch herausgehobene Stellung der Datenschutzbeauftragten, da sie andernfalls den zuvor beschriebenen Aufgaben und Pflichten nur schwerlich gerecht werden können. Der HessLDSB stellt zusammengefasst folgende Themenkreise heraus.

  • ordnungsgemäße und frühzeitige Einbindung der Datenschutzbeauftragten,
  • Bereitstellung erforderlicher Ressourcen,
  • Weisungsfreiheit und Unabhängigkeit,
  • keine Benachteiligung: Abberufungs- und Kündigungsschutz,
  • unmittelbarer Berichtsweg zur höchsten Führungsebene,
  • Anrufungsrecht der Betroffenen,
  • kein Interessenkonflikt,
  • Zusammenarbeit mit der Aufsichtsbehörde.

Kernstück der Unabhängigkeit der Datenschutzbeauftragten ist die Weisungsfreiheit. Sie ist nach der DS-GVO und dem BDSG nF auf solche Handlungen beschränkt, die sich auf die Ausübung der Aufgaben der Datenschutzbeauftragten beziehen. Unternehmen und Behörden dürfen Datenschutzbeauftragten gegenüber somit keine Weisungen in ihrer Funktion als Datenschutzbeauftragte erteilen. Aus diesem Grund sind z.B. Vorgaben zur Erreichung eines bestimmten Ziels, zur Art und Weise der Bearbeitung von Beschwerden oder zum Austausch mit Aufsichtsbehörden unzulässig.

Der deutsche Gesetzgeber hat sich für eine Stärkung der Unabhängigkeit der Datenschutzbeauftragten entschieden. Das BDSG nF enthält daher die Regelung, dass eine Abberufung nur in entsprechender Anwendung des § 626 BGB möglich und Kündigungen nur aus wichtigem Grund zulässig sind. Darüber hinaus ist nach dem BDSG nF eine Kündigung des Arbeitsverhältnisses nach dem Ende der Tätigkeit als Datenschutzbeauftragte oder als Datenschutzbeauftragter innerhalb eines Jahres nach der Abberufung unzulässig, es sei denn, die kündigende Stelle ist zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt. Die bereits aus dem BDSG aF bekannten Privilegierungen bleiben somit bestehen.

XII. Sanktionen und Haftung

Verstöße gegen die gesetzlichen Regelungen zu Datenschutzbeauftragten können zukünftig mit Geldbußen von bis zu 10.000.000 EUR oder im Falle eines Unternehmens bis zu 2% seines gesamten, weltweit erzielten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist. Verglichen mit den aktuell anzuwendenden Bußgeldtatbeständen des BDSG zeigt sich, dass sich mit der Neuregelung des Art. 83 DS-GVO eine erhebliche Sanktionsverschärfung für Verantwortliche und Auftragsverarbeiter ergibt.

Aufgrund des zukünftigen Aufgabenkatalogs, d.h. der deutlich erweiterten Kontroll-, Hinweis- und Beratungspflichten der Datenschutzbeauftragten, wurde in den vergangenen Monaten vermehrt diskutiert, ob hiermit auch eine weitergehende Haftung und Verantwortlichkeit der Datenschutzbeauftragen einhergeht. Die WP 29 hat sich hierzu bereits im Working Paper 243 positioniert und führt aus, dass Überwachung der Einhaltung der gesetzlichen Bestimmungen nicht bedeute, dass Datenschutzbeauftragte automatisch auch persönlich verantwortlich seien, wenn ein Verstoß gegen datenschutzrechtliche Bestimmungen festgestellt werde. Die Einhaltung des Datenschutzes sei vielmehr die unternehmerische Pflicht der Verantwortlichen / Auftragsverarbeiter und nicht der Datenschutzbeauftragten. Verantwortlich bleiben daher in erster Linie die Verantwortlichen oder Auftragsverarbeiter.

Soweit Datenschutzbeauftragte jedoch die ihnen von der DS-GVO und dem BDSG nF unmittelbar übertragenen Aufgaben nicht erfüllen, kann, ganz unabhängig von der Umsetzungsverantwortung, unter Umständen auch eine persönliche Haftung der Datenschutzbeauftragten in Betracht kommen. Es wird daher den Datenschutzbeauftragten dringend empfohlen, eigenständig die Beratungs- und Überwachungsmaßnahmen zu dokumentieren, um nachweisen zu können, dass sie die ihnen obliegenden Aufgaben ordnungsgemäß erfüllen.

* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.