DA+

Kurzbeitrag : Aus den aktuellen Berichten und Informationen der Aufsichtsbehörden (49): Weitere Aussagen zum betrieblichen Datenschutzbeauftragten in den aktuellen Berichten der LDI NRW und des LfD Sachsen-Anhalt : aus der RDV 5/2020, Seite 255 bis 258

Zusammengestellt und erläutert von Prof. Peter Gola*

Lesezeit 11 Min.

Mit der Funktion und Aufgaben eines betrieblichen Datenschutzbeauftragten beschäftigen sich – u.a. auf Grund der Änderung des § 38 BDSG – neben anderen Aufsichtsbehörden (vgl. Bericht Nr. 42 in RDV 4/2019) auch die LDI NRW (25. TB) und der LfD Sachsen-Anhalt (XVI. TB) in ihren im Mai 2020 erschienen, das Jahr 2019 betreffenden Berichten.

Zur DSB-Bestellungspflicht

Die LDI NRW erläutert u.a. die durch das 2. Datenschutz-Anpassungs-und Umsetzungsgesetz EU erfolgten Änderungen bei der DSB-Benennungspflicht des § 38 Abs. 1 S. 1 BDSG (25. TB, S. 32 f). Die alte Regelung des § 38 BDSG sah vor, dass nichtöffentliche Stellen – wie etwa Unternehmen und Vereine – Datenschutzbeauftragte benennen müssen, soweit sie in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Mit der Gesetzesänderung ist diese Personengrenze von 10 auf 20 angehoben worden. Insbesondere für zahlreiche kleinere Stellen, soweit für sie nicht andere Tatbestände des Art. 37 DSGVO zutreffen, gibt es nunmehr keine Benennungspflicht von Datenschutzbeauftragten. Die Anhebung der Personengrenze wird von der LDI bedauert, da mit ihr in vielen Stellen nach wie vor notwendige datenschutzrechtliche Kompetenz verloren gehe (siehe auch Entschließung der Datenschutzkonferenz „Keine Abschaffung der Datenschutzbeauftragten“ vom 23. April 2019). Datenschutzbeauftragten seien Garanten für eine hohe interne Beratungsqualität, Vermeidung von Datenschutzverstößen durch interne Beratung und Kontrolle und infolgedessen für ein niedriges Sanktionsrisiko. Sie sorgt mit dafür, dass bei betroffenen Personen Vertrauen geschaffen werde. Dies sei in Zeiten der Digitalisierung ein wichtiger Faktor.

Daher sollte auf bereits benannte Datenschutzbeauftragte nicht verzichtet werden, weil ihre datenschutzrechtliche Kompetenz weiterhin wichtig bleibe. Denn die datenschutzrechtlichen Vorgaben müssten in jedem Fall von Verantwortlichen und Auftragsverarbeitern eingehalten werden, unabhängig davon, ob ein Datenschutzbeauftragter zu benennen sei.

Nach der LDI wäre es sinnvoller gewesen, wenn der Gesetzgeber eine – den Auffassungen der Aufsichtsbehörden entsprechende – gesetzliche Klarstellung der bei der Stichzahl 10 zu berücksichtigenden Personen vorgenommen hätte. Das Merkmal „ständig“ sei erfüllt, wenn die Tätigkeit auf Dauer angelegt ist und die betreffende Person immer dann tätig wird, wenn es notwendig ist, selbst wenn die Tätigkeit nur in zeitlichen Abständen (zum Beispiel monatlich) anfällt. Der Begriff sei also nicht so auszulegen, dass die Datenverarbeitung andauernd oder im Schwerpunkt erfolgen müsste. Dieses Verständnis entspricht der Begründung des Gesetzgebers.

Die sodann geforderte „automatisierte Verarbeitung von personenbezogenen Daten“ liege nur dann vor, wenn sie unter Einsatz von Datenverarbeitungsanlagen (beispielsweise Computer, Tablets, Smartphones) erfolgt. Personen, die nicht mit einer automatisierten Datenverarbeitung befasst sind, seien bei der Ermittlung der Personenzahl nicht mitzuzählen.

Schließlich spiele die Art des Beschäftigungsverhältnisses bei der Frage, welche Personen für die Datenverarbeitung zu berücksichtigen sind, keine Rolle. Sowohl die Leitung als auch angestellte Beschäftigte, Aushilfen, Auszubildende oder Leiharbeitskräfte seien gleichermaßen zu berücksichtigen, und zwar unabhängig davon, ob sie in Voll- oder Teilzeit arbeiten. Entscheidend sei, dass die Verarbeitung von personenbezogenen Daten Bestandteil der Tätigkeit, also in der Aufgabenbeschreibung bzw. Aufgabenzuweisung eingeschlossen sei. Als insoweit regelmäßig nicht in Betracht zu ziehende Personen werden dann Reinigungskräfte, Fahrer oder Gärtner genannt, wobei der Fahrer, wenn er ein digitales Fahrtenbuch führt, wieder mit dabei ist.

Die LDI empfiehlt, dass soweit keine Pflicht (mehr) zur Benennung von Datenschutzbeauftragten vorliegt, in vielen Fällen eine freiwillige Benennung sinnvoll und angezeigt sei (Vgl. die in gleiche Richtung gehenden Ausführungen des LfD Sachsen-Anhalt, XVI TB, Abschnitt 14.1). Im Falle einer freiwilligen Bestellung von Datenschutzbeauftragten unterliegen deren Benennung, Stellung und Aufgabenbereich den gleichen Anforderungen wie bei einer obligatorischen Benennung (Art. 37 bis 39 DS-GVO).

Der besondere Abberufungs- und Kündigungsschutz gilt für betriebliche Datenschutzbeauftragte jedoch nur, soweit deren Benennung verpflichtend ist (§ 38 Abs. 2 BDSG). Die BDSG-Regelungen zum Abberufungs- und Kündigungsschutz (§ 38 Abs. 2 in Verbindung mit § 6 Abs. 4 BDSG) stellen rein arbeitsrechtliche Regelungen dar, was bedeutet, dass sie auch individuell vereinbart werden können.

DSB in Jobcentern und ihre Kontaktdaten

Träger der Grundsicherung für Arbeitsuchende sind nach § 6 Abs. 1 SGB II einerseits die Bundesagentur für Arbeit und andererseits – ausnahmsweise – die als kommunale Träger zugelassenen kreisfreien Städte und Kreise, die jedoch die Aufgabe auf Gemeinden auslagern können. Die zugelassenen kommunalen Träger führen ebenso wie die ggf. zur einheitlichen Durchführung der Grundsicherung für Arbeitsuchende mit der Bundesagentur gebildeten gemeinsame Einrichtung nach § 44b die Bezeichnung Jobcenter (§ 6d SGB II). Die über 400 Jobcenter sind datenschutzrechtlich eigenständige Verantwortliche und unterliegen damit auch der Pflicht zur Benennung von Datenschutzbeauftragten. Für die große Mehrzahl der Jobcenter, nämlich 303 Einrichtungen, die als gemeinsame Einrichtungen von Kommunen und der Agentur für Arbeit betrieben werden, ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit als Aufsichtsbehörde zuständig. Für die kommunalen Einrichtungen ist Aufsichtsbehörde der/die jeweilige Landesdatenschutzbeauftragte.

Inwieweit die Jobcenter der Kommunen dieser Pflicht genügen, war Gegenstand einer Prüfaktion der LDI.

Gegenstand der Prüfaktion war die Frage, ob die Jobcenter in den Kommunen eigene Datenschutzbeauftragte benannt und deren Kontaktdaten an geeigneter Stelle veröffentlicht haben, sowie ob diese der LDI NRW gemäß Art. 37 Abs. 7 DSGVO gemeldet worden sind. Dazu hält die LDI unter Betonung der neuen Rolle der DSB nach der DS-GVO fest: „Durch die DS-GVO ist die Stellung von Datenschutzbeauftragten gestärkt worden. Sie nehmen nicht mehr nur eine interne Beratungs- und Kontrollfunktion wahr, sondern dienen nunmehr auch bei Behörden als direkter Ansprechpartner sowohl für die betroffenen Personen außerhalb der Behörde als auch für die Aufsichtsbehörde (vgl. Art. 38 Abs. 4, Art. 39 Abs. 1 lit. d, e DS-GVO). Um diese Funktion auch sinnvoll wahrnehmen zu können, müssen die Kontaktdaten von Datenschutzbeauftragten leicht auffindbar sein. Der LDI NRW müssen die Kontaktdaten mitgeteilt werden (Art. 37 Abs. 7 DS-GVO). Nach Art. 37 Abs. 1 lit. a DS-GVO benennen Verantwortliche und Auftragsverarbeiter auf jeden Fall Datenschutzbeauftragte, wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird. Für Behörden und öffentliche Stellen gilt nach der DS-GVO somit europaweit eine generelle Pflicht zur Benennung von Datenschutzbeauftragten.

Stellen mit Aufgaben nach dem Sozialgesetzbuch (SGB), wie etwa Jobcenter, stellen eigenständige Verantwortliche dar und sind insoweit von der Gemeinde als Verantwortliche im Sinne des Datenschutzgesetzes Nordrhein-Westfalen (DSG NRW) zu unterscheiden. Dies macht die Regelung des § 67 Abs. 4 Zehntes Buch Sozialgesetzbuch (SGB X) deutlich: „Werden Sozialdaten von einem Leistungsträger im Sinne von § 12 des Ersten Buches verarbeitet, ist der Verantwortliche der Leistungsträger. Ist der Leistungsträger eine Gebietskörperschaft, so sind der Verantwortliche die Organisationseinheiten, die eine Aufgabe nach einem der besonderen Teile dieses Gesetzbuches funktional durchführen.“

Als Datenschutzbeauftragte können geeignete Personen innerhalb oder außerhalb des Verantwortlichen bzw. des Auftragsverarbeiters benannt werden. Behörden oder öffentliche Stellen haben ferner die Möglichkeit, für mehrere Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe gemeinsame Datenschutzbeauftragte zu benennen (Art. 37 Abs. 3 DS-GVO). So ist beispielsweise denkbar, dass Datenschutzbeauftragte der Kommunen zugleich als Datenschutzbeauftragte für Jobcenter benannt werden können. Hierzu bedarf es allerdings eines gesonderten Benennungsaktes.

Der Bezug auf Organisationsstruktur und Größe bedeutet auch, dass Verantwortliche und Auftragsverarbeiter sicherstellen müssen, dass gemeinsame Datenschutzbeauftragte in der Lage sind, die Aufgaben zu erfüllen, welche ihnen in Bezug auf sämtliche Behörden oder öffentlichen Stellen übertragen wurden.“

Der Schwerpunkt der Prüfaktion der LDI lag bei der Frage, ob die Jobcenter ihre Pflicht zur Benennung von Datenschutzbeauftragten erfüllt haben. Die Prüfung hatte folgendes Ergebnis: „Die Jobcenter der kreisangehörigen Gemeinden sahen sich überwiegend nicht in der Pflicht, eigene Datenschutzbeauftragte zu benennen, sondern verwiesen auf die Datenschutzbeauftragten der jeweiligen Kreise. Ein ebenfalls großer Teil der Kommunen hielt den eigenen kommunalen Datenschutzbeauftragten automatisch auch für zuständig für die Jobcenter-Aufgaben, die von den Kreisen übertragen wurden. Bei einem Teil der kreisfreien Städte war nicht erkennbar, ob der gemeldete kommunale Datenschutzbeauftragte auch eigens für das jeweilige Jobcenter benannt wurde.“

Die LDI NRW hat die Jobcenter darauf hingewiesen, dass es nach § 67 Abs. 4 Satz 2 SGB X darauf ankommt, welche Organisationseinheit die Aufgabe funktional wahrnimmt. Nimmt der Kreis oder die kreisfreie Stadt die Aufgabe des Job-Centers wahr, ist die entsprechende Organisationseinheit des Kreises bzw. der kreisfreien Stadt der Verantwortliche. Ist die Aufgabe auf eine kreisangehörige Gemeinde ausgelagert, ist deren entsprechende Organisationseinheit der Verantwortliche. Das bedeutet, dass kommunale Datenschutzbeauftragte oder Datenschutzbeauftragte des Kreises, der die Aufgabe übertragen hat, nicht automatisch auch Datenschutzbeauftragte des Job-Centers sind.

In der Praxis muss demnach grundsätzlich das Jobcenter als Verantwortlicher einen Datenschutzbeauftragten benennen. Idealerweise geschieht dies auf schriftlichem Wege. Möglich ist auch, dass der Bürgermeister (im Fall der Auslagerung der Aufgabe des Jobcenters auf die kreisangehörige Gemeinde) bzw. der Landrat (im Fall, dass die Aufgabe des Jobcenters nicht auf die kreisangehörigen Gemeinden ausgelagert wurde) die Benennung von Datenschutzbeauftragten für Jobcenter vornimmt. Hierzu kann eine bereits für die Kommune bestehende Benennungsurkunde so ergänzt werden, dass die bzw. der Datenschutzbeauftragte auch für das Jobcenter benannt wird. Es handelt sich dann um gemeinsame Datenschutzbeauftragte.

DSB bei Angehörigen von Gesundheitsberufen

Der LfD Sachsen-Anhalt erörtert in dem diesjährigen Bericht, wann nach Art. 37 Abs. 1 lit. c DS-GVO bei Gesundheitsberufen ein Datenschutzbeauftragter zu benennen ist, was der Fall ist, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten nach Art. 9 DS-GVO besteht, wozu u.a. Gesundheitsdaten und genetische Daten gehören (XVI. TB, Ziff. 12.1.8). Nach ErwGr 91 Satz 4 soll die Verarbeitung personenbezogener Daten allerdings nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten betrifft und durch einen einzelnen Arzt oder sonstigen Angehörigen eines Gesundheitsberufes erfolgt.

Zur Auslegung dieser Vorgaben hatte sich bereits die DSK mit ihrer Entschließung vom 26. April 2018 geäußert. Demnach ist bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 37 Abs. 1 lit. c DSGVO auszugehen, weshalb sie keinen Datenschutzbeauftragten benötigen, und das auch dann nicht, wenn sie sich zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen oder ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben. Etwas anderes gilt nur dann, wenn:

  • bei ihren Datenverarbeitungen ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten und damit eine Datenschutz-Folgenabschätzung vorgeschrieben ist, z.B. beim Einsatz von neuen Technologien, die ein hohes Risiko mit sich bringen (vgl. Art. 37 Abs. 4 Satz 1 2. Halbsatz DS-GVO i.V.m. § 38 Abs. 1 Satz 2 1. Halbsatz BDSG), oder
  • mindestens zehn Personen (einschließlich der Angehörigen der Gesundheitsberufe selbst) in der Regel ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind, was sich aus Art. 37 Abs. 4 Satz 1 2. Halbsatz DS-GVO i.V.m. § 38 Abs. 1 Satz 1 BDSG in der ab 25. Mai 2018 anzuwendenden Fassung ableitete.

Mit Wirkung vom 26. November 2019 wurde § 38 Abs. 1 Satz 1 BDSG insoweit geändert, als nunmehr die Grenze, ab der jeder Verantwortliche einen Datenschutzbeauftragten zu benennen hat, bei 20 Personen liegt, die in der Regel ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Nach Auffassung des Landesbeauftragten führt dies jedoch keineswegs dazu, dass Ärzte, Apotheker oder sonstige Angehörige eines Gesundheitsberufs, die zwar mindestens zehn Personen, aber weniger als 20 Personen in der Regel ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, künftig keinen Datenschutzbeauftragen mehr benötigen. Vielmehr ist stets im Einzelfall zu prüfen, ob die Kerntätigkeit dieses Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien von Daten nach Art. 9 DS-GVO besteht oder wegen des hohen Risikos eine Datenschutz-Folgenabschätzung durchzuführen ist. Dies könne bei mindestens zehn datenverarbeitenden Personen durchaus häufig der Fall sein.

Auch wenn im Einzelfall die Benennung eines Datenschutzbeauftragten nicht zwingend ist oder ein Grenzfall vorliegt, sollten Verantwortliche aus dem Gesundheitsbereich prüfen, ob sie freiwillig einen Datenschutzbeauftragten benennen (vgl. Art. 37 Abs. 4 Satz 1 1. Halbs. DS-GVO). Denn unabhängig von der Benennungspflicht müssen sie sicherstellen, dass ausreichend datenschutzrechtlicher Sachverstand vorhanden ist, um der besonderen Sensibilität von Gesundheitsdaten gerecht zu werden (vgl. auch § 22 Abs. 2 Satz 2 Nr. 4 BDSG)

Beratung durch Aufsichtsbehörden als sekundäre Hilfe

Der LfD Sachsen-Anhalt stellt ferner fest, dass mit Anwendung der DS-GVO Anfragen von Mitarbeitern von Kommunen und von Eigenbetrieben oder Zweckverbänden bemerkenswert zunehmen. In vielen Fällen erreichen den Landesbeauftragten per E-Mail Schilderungen eines kurzen Sachverhaltes mit der Bitte um eine datenschutzrechtliche Bewertung oder mit der Bitte, dem Anfragenden zu sagen, wie Verfahren datenschutzgerecht umgesetzt werden können. Dies betrifft z.B. den Fall, dass durch eine Videokamera ein Gebäude oder ein Marktplatz oder ein Denkmal einer Stadt vor ständiger Beschmutzung oder Zerstörung geschützt werden soll oder die Einführung neuer Technik zur Datenerhebung in einer Stadt oder in deren Eigenbetrieb für die Berechnung von Gebühren.

Für die Beantwortung dieser Frage sieht der LfD jedoch zunächst den Datenschutzbeauftragten der Kommune in der Pflicht. Die Aufgaben des Datenschutzbeauftragten sind in Art. 39 DS-GVO näher benannt, und diese umfassen auch die Beratung der verantwortlichen Stelle und die Beratung der Beschäftigten hinsichtlich ihrer Pflichten im Umgang mit personenbezogenen Daten. Auch die Zusammenarbeit mit der Aufsichtsbehörde zählt zu den Aufgaben des DSB. Er ist also vom Verantwortlichen vor der Anfrage bei der Aufsichtsbehörde einzuschalten. Vor diesem Hintergrund ist stets vor der Anfrage an den Landesbeauftragten die Stellungnahme des Datenschutzbeauftragten der Kommune oder des Eigenbetriebes oder Zweckverbandes einzuholen und in die eigene vorläufige Bewertung einzubeziehen. Der behördliche Datenschutzbeauftragte kenne die lokalen Gegebenheiten, und es werde umständlicher und zeitlich intensiver Schriftverkehr vermieden. Viele Fragen können auch vom behördlichen Datenschutzbeauftragten vor Ort zeitnah beantwortet werden und müssen dann nicht mehr an den Landesbeauftragten weitergeleitet werden.

Der Landesbeauftragte habe zudem in erster Linie die Aufgaben gemäß Art. 57 DS-GVO zu erfüllen. Hierunter fällt z.B. die Überwachung der Einhaltung der DS-GVO, die Sensibilisierung der Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten, die Befassung mit und Aufklärung von Beschwerden von Betroffenen, die Zusammenarbeit mit anderen Aufsichtsbehörden, die Begleitung von Gesetzesvorhaben und vieles mehr. Insofern sei der Landesbeauftragte auch gegenüber den Kommunen gefordert, rechtliche Hinweise zur datenschutzgerechten Gestaltung von einzelnen Prozessen zu geben und die Kommunen zu beraten.

* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.