Was macht ein Datenschutzbeauftragter?

Der Datenschutzbeauftragte hatte bereits nach der alten Rechtslage eine zentrale Stellung für den Datenschutz im Unternehmen inne. Seine Bedeutung nimmt durch die DSGVO und das mit seiner Einführung am 25.05.2018 in neuer Fassung geltende Bundesdatenschutzgesetz (BDSG n.F.) weiter zu. Die Aufgabe des Datenschutzbeauftragten besteht allgemein in der Unterrichtung und Beratung des Verantwortlichen sowie der mit der Verarbeitung personenbezogener Daten beschäftigten Mitarbeiter in allen datenschutzrechtlichen Fragen nach dem BDSG und der DSGVO. Darüber hinaus überwacht er die Einhaltung der gesetzlichen Vorgaben und arbeitet mit den zuständigen Behörden zusammen.

Der Datenschutzbeauftragte soll beraten, unterstützen und Lösungen anbieten. Hierzu hat der Verantwortliche sicherzustellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängende Fragen eingebunden wird. Der Verantwortliche hat den Datenschutzbeauftragen zudem bei der Erfüllung seiner Aufgaben zu unterstützen und darüber hinaus sicherzustellen, dass der Datenschutzbeauftragte seine Aufgaben weisungsfrei erfüllen kann.  Damit soll gewährleistet werden, dass der Datenschutzbeauftragte seine Aufgaben frei und unabhängig wahrnehmen kann.

Die Bennennung des Datenschutzbeauftragten

Rechtsgrundlagen zur Benennung

Regelungen über die Benennung eines Datenschutzbeauftragten, seine Stellung sowie seine Aufgaben enthalten die Art. 37-39 DSGVO.

Art. 37 DSGVO enthält in seinem Absatz 4 eine sog. Öffnungsklausel, die es den Mitgliedsstaaten erlaubt, die Benennung eines Datenschutzbeauftragten unter erweiterten Voraussetzungen vorzuschreiben. Der deutsche Gesetzgeber hat hiervon in § 5 Abs. 1 BDSG (für öffentliche Stellen) und in § 38 Abs. 1 BDSG (für nicht-öffentliche Stellen) Gebrauch gemacht.

Wer muss einen Datenschutzbeauftragten benennen?

Bei den Voraussetzungen für die Verpflichtung zur Bestellung eines Datenschutzbeauftragten unterscheiden sowohl die DSGVO als auch das BDSG zwischen Behörden oder öffentlichen Stellen einerseits und Unternehmen und anderen nicht-öffentlichen Stellen andererseits.

Behörden und öffentliche Stellen

Nach Art. 37 Abs. 1 lit. a) DSGVO ist die Benennung eines Datenschutzbeauftragten immer dann verpflichtend, wenn die Datenverarbeitung von einer Behörde oder sonstigen öffentlichen Stelle durchgeführt wird. Ausdrücklich von der Pflicht zur Benennung eines Datenschutzbeauftragten ausgenommen sind nur die Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln.

§ 5 BDSG übernimmt die Regelung in Art. 37 Abs. 1 lit. a) DSGVO inhaltlich im Wesentlichen unverändert.

Unternehmen

Unternehmen sind zur Benennung eines Datenschutzbeauftragten verpflichtet, wenn die Voraussetzungen des Art. 37 Abs. 1 lit. b) und lit. c) DSGVO erfüllt sind. Danach ist ein Datenschutzbeauftragter zu benennen, wenn entweder

• die Kerntätigkeit des Verantwortlichen in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder
• die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z.B. Gesundheitsdaten, Daten über die Religionszugehörigkeit oder die sexuelle Orientierung) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht.

Auch wenn ein Unternehmen die vorstehend genannten Voraussetzungen für die Benennung eines Datenschutzbeauftragten nicht erfüllt, ist von Unternehmen mit Sitz in Deutschland die Öffnungsklausel in Art. 37 Abs. 4 Satz 1 DSGVO zu beachten. Diese Regelung erlaubt es den Mitgliedsstaaten, weitergehende Voraussetzungen für die Verpflichtung zur Benennung eines Datenschutzbeauftragten zu normieren. Der deutsche Gesetzgeber hat diesen Spielraum in § 38 BDSG genutzt, um eine größtmögliche inhaltliche Kontinuität zu § 4f BDSG a.F. zu erzielen.

Nach § 38 BDSG besteht eine Verpflichtung zur Benennung eines Datenschutzbeauftragten, wenn entweder

• in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
• bei besonders gefahrgeneigten Verarbeitungen auch unabhängig von der Anzahl der mit der automatisierten Datenverarbeitung befassten Personen.

Für die Bestimmung der Anzahl der relevanten Beschäftigten ist es unerheblich, ob es sich um Voll- oder Teilzeitbeschäftigte, um Auszubildende, freie Mitarbeiter, Leiharbeitnehmer oder Praktikanten handelt. Es ist außerdem nicht erforderlich, dass die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zur Kernaufgabe der beschäftigten Personen zählt.

Wann muss der Datenschutzbeauftragte benannt werden?

Weder die DSGVO noch das BDSG enthalten Fristen für die Benennung des Datenschutzbeauftragten. Daher hat die Benennung unverzüglich zu erfolgen, wenn die dafür normierten Voraussetzungen vorliegen.

Interner oder externer Datenschutzbeauftragter?

Die gesetzlichen Vorschriften lassen sowohl die Benennung eines externen wie auch eines internen Datenschutzbeauftragten zu, vgl. Art 38 Abs. 6 Satz 1 DSGVO.

Für einen internen Datenschutzbeauftragten spricht, dass er die internen Unternehmensstrukturen und -prozesse bereits gut kennt. Allerdings ist sicherzustellen, dass es nicht zu Interessenkonflikten kommt. Daher scheiden Leitungsorgane sowie leitende Mitarbeiter in der Regel als Datenschutzbeauftragte aus, weil sie sich andernfalls selbst beraten und kontrollieren müssten. Nicht zu empfehlen ist auch die Benennung von Mitgliedern des Betriebsrates zu Datenschutzbeauftragten, weil diese primär bereits andere Interessen zu vertreten haben und daher Konzessionsentscheidungen nicht ausgeschlossen werden können. Schließlich ist bei jeder internen Lösung sicherzustellen, dass der grundsätzlich weisungsabhängige Mitarbeiter bei der Wahrnehmung seiner Aufgaben als Datenschutzbeauftragter auch tatsächlich weisungsfrei handeln kann.

Ein externer Datenschutzbeauftragter bietet sich insbesondere dann an, wenn in dem Unternehmen selbst kein ausreichend qualifizierter Mitarbeiter beschäftigt ist. Große Vorteile bringt insbesondere das große Fachwissen mit sich, über das ein externer Datenschutzbeauftragter verfügt.

Sie haben Fragen zur Ernennung eines Datenschutzbeauftragten in Ihrem Unternehmen. Lassen Sie sich von unserem Team aus erfahrenen Rechtsanwälten im Datenschutzrecht beraten. Rufen Sie uns unter 0221 / 951 563 0 (Beratung bundesweit) an.

Welche Form muss bei der Benennung eingehalten werden?

Eine bestimmte Form der Benennung ist nicht vorgeschrieben. Da jedoch sowohl für das Unternehmen als auch den Datenschutzbeauftragten selbst an die Benennung Rechtsfolgen geknüpft sind, das Unternehmen zudem Nachweispflichten gegenüber der zuständigen Aufsichtsbehörde zu erfüllen hat, empfiehlt sich eine schriftliche Benennung.

Formell wird die Benennung gemäß Art. 37 Abs. 7 DSGVO durch die Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten und die Mitteilung an die Aufsichtsbehörden vollzogen.

Konzernprivileg – gemeinsamer Datenschutzbeauftragter

Gemäß Art. 37 Abs. 2 DSGVO können Unternehmensgruppen im Sinne des Art. 4 Nr. 19 DSGVO einen gemeinsamen Datenschutzbeauftragten benennen, sofern dieser von jeder Niederlassung aus leicht erreichbar ist. Die leichte Erreichbarkeit beinhalten drei Komponenten, eine

• räumliche,
• sprachliche und
• zeitliche.

Die räumliche Komponente erfordert, dass ein persönliches Treffen mit dem Datenschutzbeauftragten mit geringem Aufwand möglich ist.

Die sprachliche Komponente verlangt, dass der Datenschutzbeauftragte die Sprache der Niederlassung fließend beherrscht.

Die zeitliche Komponente bedeutet, dass der Datenschutzbeauftragte tatsächlich kurzfristig erreichbar ist und er alle Unternehmen, für die er verantwortlich ist, tatsächlich ausreichend betreuen kann.

Qualifikation und Zuverlässigkeit des Datenschutzbeauftragten

Gemäß Art. 37 Nr. 5 DSGVO ist der Datenschutzbeauftragte auf der Grundlage folgender Voraussetzungen zu benennen:

• seine berufliche Qualifikation,
• sein Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis,
• seine Fähigkeit zur Erfüllung der in Art. 39 DSGVO sowie im BDSG normierten Aufgaben eines Datenschutzbeauftragten.

Im Rahmen der beruflichen Qualifikation sollte der Datenschutzbeauftragte über ausreichende Kenntnisse und/oder Berufserfahrung im Tätigkeitsbereich des Unternehmens verfügen und in der Lage sein, die verschiedenen Verarbeitungsprozesse zu erfassen. Er muss darüber hinaus über Kenntnisse des nationalen und Europäischen Datenschutzrechts, insbesondere über ein vertieftes Verständnis der DSGVO verfügen.

Das erforderliche Niveau des Fachwissens eines Datenschutzbeauftragten orientiert sich an der Komplexität und dem Umfang der durchgeführten Verarbeitungsvorgänge sowie dem erforderlichen Schutz für die personenbezogenen Daten, die der Verantwortliche verarbeitet.

Zu Voraussetzungen der persönlichen Zuverlässigkeit des Datenschutzbeauftragten enthalten die gesetzlichen Vorschriften keine Vorgaben, obwohl die Fähigkeit zur Erfüllung der in Art. 39 DS-GVO genannten Aufgaben ein hohes Maß an persönlicher Integrität und Berufsethik voraussetzt. Daher kommen Personen, die bereits Verstöße gegen datenschutzrechtliche Vorschriften oder gegen Verschwiegenheitspflichten begangen haben, als Datenschutzbeauftragte nicht in Frage.   

Stellung des Datenschutzbeauftragten

Um eine wirkungsvolle und nachhaltige Tätigkeit des Datenschutzbeauftragten zu gewährleisten, ist eine unabhängige, insbesondere weisungsfreie und zudem herausgehobene Stellung im Unternehmen des Verantwortlichen von besonderer Bedeutung.

Daher enthält insbesondere Art. 38 DSGVO Regelungen, die die organisatorische Stellung des Datenschutzbeauftragten betreffen und ihm verschiedene Privilegien einräumen. Diese Regelungsbereiche lassen sich im Überblick wie folgt zusammenfassen:

• frühzeitige Einbindung des Datenschutzbeauftragten;
• Unterstützung durch den Verantwortlichen;
• Bereitstellung der erforderlichen Ressourcen;
• Sicherstellung der Weisungsfreiheit und Unabhängigkeit des Datenschutzbeauftragten und Verhinderung von Nachteilen durch die Ausübung der Funktion;
• Eröffnung eines unmittelbaren Berichtsweges zur obersten Führungsebene;
• Anrufungsrecht der Betroffenen
• Verpflichtung zur Geheimhaltung und Verschwiegenheit
• Vermeidung von Interessenskonflikten

Aufgaben und Pflichten des Datenschutzbeauftragten

Die Aufgaben und Pflichten des Datenschutzbeauftragten sind in Art. 39 DS-GVO geregelt und lassen sich wie folgt zusammenfassen:

• Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten;
• Überwachung und Einhaltung der gesetzlichen Regelungen sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten;
• Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter;
• Zusammenarbeit mit der Aufsichtsbehörde;
• Tätigkeit als Anlaufstelle für die Aufsichtsbehörde.

Unterrichtung und Beratung des Verantwortlichen und den Beschäftigten

Die Pflicht zur Beratung bezieht sich auf das gesamte anwendbare Datenschutzrecht. Der Datenschutzbeauftragte ist zu dieser Beratung auch unabhängig von einer entsprechenden Anfrage des Verantwortlichen verpflichtet. Er muss mithin proaktiv auf der Grundlage seiner umfassenden Kenntnis und Einbeziehung tätig werden.

Überwachung

Gemäß Art. 39 Abs. 1 lit. b) DSGVO hat der Datenschutzbeauftragte umfassende Überwachungspflichten zu erfüllen. Das geht über das „Hinwirken“ auf die Einhaltung des Gesetzes nach § 4g Abs. 1 Satz 1 BDSG a.F. weit hinaus.

Zu überwachen hat der Datenschutzbeauftragte neben der Einhaltung des gesamten anwendbaren Datenschutzrechts auch die Einhaltung der vom Verantwortlichen entwickelten Datenschutzstrategie. Überwachung umfasst auch Überprüfung. Daher ist der Datenschutzbeauftragte verpflichtet, die Einhaltung und Umsetzung datenschutzrechtlicher Pflichten des Verantwortlichen durch geeignete Maßnahmen zu kontrollieren.

Sensibilisierung und Schulung

Verstöße gegen datenschutzrechtliche Vorschriften sind häufig auf mangelndes Bewusstsein der handelnden Mitarbeiter zurückzuführen. Die Schulung und Sensibilisierung der Mitarbeiter in und für Fragen des Datenschutzes hat daher besondere Bedeutung. Vor diesem Hintergrund verpflichtet Art. 39 Abs. 1 lit. b) DSGVO den Datenschutzbeauftragten ausdrücklich zur Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter sowie zur Überprüfung seiner diesbezüglichen Maßnahmen.

Die konkreten Anforderungen an die erforderliche Sensibilisierung sowie die Geeignetheit der Schulungsmaßnahmen richtet sich nach den Umständen des Einzelfalles.

Zusammenarbeit mit und Tätigkeit als Anlaufstelle für die Aufsichtsbehörde

Art. 39 Abs. 1 lit. d) und e) DS-GVO normieren eine umfassende Verpflichtung des Datenschutzbeauftragten zur Zusammenarbeit mit der zuständigen Aufsichtsbehörde. Dies geht weit über das bisherige Recht des Datenschutzbeauftragten nach Art. 4g BDSG a.F. hinaus, sich in Zweifelsfällen an die Aufsichtsbehörde zu wenden. Nach der DS-GVO hat der Datenschutzbeauftragte eine aktive Pflicht zur Zusammenarbeit mit der Aufsichtsbehörde.

Seine Funktion als Anlaufstelle für die Aufsichtsbehörde weitet diese Kooperationspflicht noch aus. Danach soll der Datenschutzbeauftragte auch die Beratung durch die Aufsichtsbehörde in Anspruch nehmen. Das bedeutet z.B., dass der Datenschutzbeauftragte die Aufsichtsbehörde auch bei Meinungsverschiedenheiten mit dem Verantwortlichen unterrichten und hinzuziehen soll.

Abberufungs- und Kündigungsschutz des Datenschutzbeauftragten

Art. 38 Abs. 5 DS-GVO enthält eine weitere Öffnungsklausel für die Normierung weitergehender Bestimmungen durch den nationalen Gesetzgeber. Hiervon hat der deutsche Gesetzgeber in Sachen Abberufungs- und Kündigungsschutz mit der Vorschrift des § 38 Abs. 2 BDSG und die dortige Verweisung auf § 6 Abs. 4 BDSG Gebrauch gemacht.

§ 6 Abs. 4 BDSG normiert arbeitsrechtliche Regelungen zum Kündigungsschutz sowie spezifisch datenschutzrechtliche Regelungen zur Abberufung des Datenschutzbeauftragten.

Abberufung

§ 6 Abs. 4 BDSG beschränkt die Abberufung des Datenschutzbeauftragten auf Fälle, in denen eine fristlose Kündigung aus wichtigem Grund gemäß § 626 BGB zulässig wäre. Für die Abberufung muss also ein wichtiger Grund vorliegen, der es dem Verantwortlichen unter Berücksichtigung aller Umstände des Einzelfalls sowie der Interessen beider Beteiligten unzumutbar macht, den Datenschutzbeauftragten auch nur bis zum Ablauf der ordentlichen Kündigungsfrist weiterhin einzusetzen. Eine ordentliche Abberufung ist daher bei nicht befristet benannten Datenschutzbeauftragten nicht möglich, so dass für die Interessenabwägung in diesem Fall entscheidend ist, ob dem Verantwortlichen eine unbefristete Fortsetzung der Benennung zumutbar ist.

Als wichtige Gründe für eine Abberufung in Betracht kommen in erster Linie solche, die mit der Funktion und Tätigkeit des Datenschutzbeauftragten zusammenhängen und eine weitere Ausübung dieser Tätigkeit unmöglich machen oder sie zumindest erheblich gefährdet. Das dürfte z.B. bei einem Verstoß gegen Verschwiegenheitspflichten oder der dauerhaften Verletzung von Kontrollpflichten zu bejahen sein.

Kündigung

§ 6 Abs. 4 Satz 2 und 3 BDSG gewähren dem Datenschutzbeauftragten – allerdings nur, soweit es sich um einen internen Datenschutzbeauftragten handelt – einen starken Schutz vor Kündigung des Arbeitsverhältnisses.

Während der Amtszeit und bis ein Jahr nach deren Ablauf ist eine Kündigung des Arbeitsverhältnisses nur zulässig, wenn der Arbeitgeber zur fristlosen Kündigung berechtigt wäre.

Bei externen Datenschutzbeauftragten sind die vertraglichen Vereinbarungen maßgebend. Darüber hinaus kann das Vertragsverhältnis mit einem externen Datenschutzbeauftragten bei Vorliegen eines wichtigen Grundes fristlos beendet werden.

Haftung des Datenschutzbeauftragten

Zunächst ist darauf hinzuweisen, dass der Datenschutzbeauftragte keinerlei Weisungs- oder Entscheidungsbefugnisse gegenüber dem Verantwortlichen hat und damit keine Erfolgsverantwortung trägt.

Haftung gegenüber betroffenen Personen

Der Datenschutzbeauftragte ist Teil der Stelle, für die er zum Datenschutzbeauftragten bestellt ist. Eine eigene Haftung gegenüber betroffenen Personen als Verantwortlicher scheidet daher aus.

Der Datenschutzbeauftragte hat auch keine vertraglichen Schutzpflichten zu Gunsten betroffener Personen als Dritte zu erfüllen.

Haftung gegenüber dem Verantwortlichen

Gegenüber dem Verantwortlichen kann der Datenschutzbeauftragte sich wegen Verletzung seiner vertraglichen Pflichten gemäß den §§ 280 ff. BGB schadenersatzpflichtig machen. In diesem Zusammenhang ist darauf hinzuweisen, dass der Datenschutzbeauftragte die konkrete Aufgabe der „Überwachung“ zu erfüllen hat. Nicht ausreichende Überwachung kann daher ein Mitverschulden des Datenschutzbeauftragten begründen. Soweit ein Arbeitnehmer als – interner – Datenschutzbeauftragter benannt ist, gelten die Grundsätze der beschränkten Arbeitnehmerhaftung.

In besonderen Fällen kann der Datenschutzbeauftragte auch deliktisch haften, z.B. bei einem Verstoß gegen Verschwiegenheitspflichten, bewusster Falschberatung oder dem Unterlassen von Überwachungsmaßnahmen, die bei dem Verantwortlichen zu einem Schaden führen.

Sie haben Fragen zum Datenschutzbeauftragten? Wir helfen Ihnen

Die Risiken eines Datenschutzbeauftragten sind nicht unbeachtlich – ebenso allerdings die für das Unternehmens, wenn hier Fehler gemacht werden. Daher ist es sinnvoll, sich bei der Ernennung eines Datenschutzbeauftragten von erfahrenen Rechtsanwälten für Datenschutz begleiten zu lassen.

Auch in anderen datenschutzrechtlichen Fragen entwickeln wir für Sie ein maßgeschneidertes Datenschutzkonzept. 

Das Expertenteam im Datenschutzrecht steht Ihnen gerne Rede und Antwort für Ihre Fragen.

Rufen Sie uns unter 0221 / 951 563 0 (Beratung bundesweit) an.