Der Datenschutzbeauftragte

Die Verarbeitung von personenbezogenen Daten nimmt heutzutage immer mehr zu. Unternehmen und Öffentliche Stellen sind darauf angewiesen, unsere Daten zu speichern und zu verarbeiten. Um die Einhaltung des Datenschutzes zu gewährleisten, hat der Gesetzgeber derzeit im Bundesdatenschutzgesetz (BDSG) und nun auch in der ab Mai 2018 geltenden EU-DSGVO festgelegt, dass in bestimmten Unternehmen und öffentlichen Stellen zwingend ein Datenschutzbeauftragter zu bestellen ist. Wer unter diese Regelung fällt und was die Anforderungen und Aufgaben eines Datenschutzbeauftragten sind, soll im folgendem umrissen werden.

Bedeutung des Datenschutzbeauftragten

Ein Datenschutzbeauftragter ist für die Einhaltung der datenschutzrechtlichen Standards in Unternehmen zuständig. Er kontrolliert die zur Datenverarbeitung eingesetzten Programme und beschäftigten Mitarbeiter. Dabei fungiert er zum einen als eine Art Aufsichtsperson und zum anderen als Ansprechpartner für alle datenschutzrelevanten Fragen. Mithin sorgt ein Datenschutzbeauftragter dafür, dass die Datenverarbeitung in einem Unternehmen ordnungsgemäß abläuft.

Das Erfordernis eines Datenschutzbeauftragten ist nicht nur gesetzlich verankert, sondern entspricht auch den Interessen aller Beteiligten: Unternehmen sind an einer korrekten Datenverarbeitung interessiert, um Datenlecks, Hacks oder einfach nur Nachlässigkeit und Schlamperei zu verhindern. Das wiederum ist dem Interesse ihrer Kunden an einem vertrauenswürdigen Umgang mit den eigenen Daten geschuldet.

Im Rahmen seiner Tätigkeit ist der Datenschutzbeauftragte direkt der Unternehmensleitung unterstellt und ansonsten vollkommen weisungsfrei. Auf diese Weise soll die Unabhängigkeit des Datenschutzbeauftragten gewährleistet werden. Damit er in seinen Aufgaben nicht eingeschränkt oder beeinflusst werden kann, sieht das Gesetz ein Benachteiligungsverbot und ein Unterstützungsgebot vor.

Folglich fungiert der Datenschutzbeauftragte als separate Instanz innerhalb eines Unternehmens zur Gewährleistung der Einhaltung des Datenschutzrechts. Dabei unterliegt er stets einer Geheimhaltungspflicht. 

Rechtliche Grundlagen

Die rechtlichen Grundlagen des Datenschutzbeauftragten finden sich im Wesentlichen im Bundesdatenschutzgesetz (BDSG). Dort sind in § 4f BDSG die allgemeinen Anforderungen an Datenschutzbeauftragte sowie Regelungen zu dessen Stellung und in § 4g BDSG die Aufgabenbereiche normiert. Dabei unterscheidet das Gesetz klar zwischen Datenschutzbeauftragten für öffentliche und nicht-öffentliche Stellen.

Zu beachten ist darüber hinaus die Datenschutzgrundverordnung (DSGVO), die im Mai 2016 in Kraft trat und ab dem 25. Mai 2018 Anwendung findet. Mit dieser europarechtlichen Verordnung soll das Datenschutzrecht in allen Mitgliedsstaaten vereinheitlicht werden, weshalb sich auch hier Regelungen zum Datenschutzbeauftragten finden. Die wesentlichen Normen sind Art. 37 – 39 DSGVO, in denen nacheinander die Grundlagen, die Stellung des Datenschutzbeauftragten und seine Aufgaben geregelt sind. Auch die DSGVO unterscheidet zwischen öffentlichen und nicht-öffentlichen Stellen. Welche konkreten Änderungen sich für das deutsche Recht ergeben, wird in den folgenden Absätzen und ganz am Ende dieses Artikels genauer erläutert.

Schließlich ist darauf hinzuweisen, dass das Eingangs genannte Bundesdatenschutzgesetz im Zuge der nationalen Umsetzung der DSGVO erneuert wird. Für den Bereich des Datenschutzbeauftragten bedeutet das kleinere Anpassungen, die sich inhaltlich jedoch nicht groß von den alten Regelungen unterscheiden. Gleichwohl werden sich die Paragraphen ändern: Ähnlich wie in der DSGVO wird auch das neue BDSG in drei Paragraphen (§§ 5 – 7 BDSG nF) die Benennung, Stellung und Aufgaben des Datenschutzbeauftragten regeln. Die Besonderheit ist jedoch, dass diese Paragraphen nur auf öffentliche Stellen anwendbar sind. Der Datenschutzbeauftragte für nicht-öffentliche Stellen wird zukünftig in § 38 BDSG nF geregelt, der größtenteils auf die anderen Normen des BDSG nF und der DSGVO verweist. 

Wer braucht einen Datenschutzbeauftragten?

Bundesdatenschutzgesetz

Nach dem BDSG benötigen öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, stets einen Datenschutzbeauftragten. Nicht-öffentliche Stellen, also private Unternehmen, benötigen grundsätzlich erst dann einen Datenschutzbeauftragten, wenn sie mehr als neun Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigen. Diese Voraussetzung ist weit zu verstehen: Unter einer „automatisierten Datenverarbeitung“ ist die heute gängige Datenverarbeitung mittels Informationstechnik gemeint – unabhängig auf welchem Endgerät (Computer, Laptop, Smartphone) sie erfolgt. Damit „beschäftigt“ ist jeder Mitarbeiter, der bei der Arbeit an diesen Endgeräten mit personenbezogenen Daten in Kontakt kommt.

Ständig“ mit der Datenverarbeitung beschäftigt zu sein bedeutet nicht, dass das Aufgabenfeld dieser Mitarbeiter allein im Umgang mit personenbezogenen Daten besteht. Die Datenverarbeitung muss lediglich ein „ständiger“ Begleiter der normalen Arbeit sein. Das trifft beispielsweise auf Mitarbeiter der IT-Abteilung, aber auch auf Sekretäre/innen und jeden, der E-Mail-Kontakt mit Kunden pflegt, zu. Unberücksichtigt sind jedoch Mitarbeiter die nur gelegentlich mit personenbezogenen Daten in Kontakt kommen oder diese Tätigkeiten nur für einen kurzen Zeitraum ausüben (etwa Auszubildende).

DSGVO und neues Bundesdatenschutzgesetz

Auch nach der DSGVO sind öffentliche Stellen – mit Ausnahme von Gerichten – immer zur Bestellung eines Datenschutzbeauftragten verpflichtet. Daneben trifft die Pflicht zum einen solche Stellen, deren Kerntätigkeit in der regelmäßigen und systematischen Überwachung von Personen besteht und zum anderen Stellen, die primär besonders sensible personenbezogene Daten im Sinne der Art. 9 und 10 DSGVO verarbeiten.

Die meisten nicht-öffentlichen Stellen sind damit also nach der DSGVO nicht von der Pflicht zur Bestellung eines Datenschutzbeauftragten betroffen. Gleichwohl ist in der DSGVO eine sogenannte „Öffnungsklausel“ vorgesehen, die den Mitgliedsstaaten eigene, weitergehende Regelungen in diesem Bereich erlaubt. In der neuen Fassung des BDSG hat der deutsche Gesetzgeber hiervon Gebrauch gemacht. Allerdings unterscheidet sich die neue Regelung im BDSG nicht wesentlich von der alten.

Für größere Unternehmen ist schließlich der Art. 37 Abs. 2 DSGVO (entsprechender Verweis im BDSG nF) interessant, nach dem die Bestellung eines einzigen Datenschutzbeauftragten für mehrere Niederlassungen erlaubt ist (sog. „gemeinsamer“ oder „Konzerndatenschutzbeauftragter“). Das setzt zwar voraus, dass der gemeinsame Datenschutzbeauftragte von jeder Niederlassung aus „leicht erreichbar“ ist, diese Anforderung ist aber nicht bloß räumlich zu verstehen, sondern kann unproblematisch durch den Einsatz von Fernkommunikationsmitteln erfüllt werden. 

Aufgaben des Datenschutzbeauftragten

Der Datenschutzbeauftragte prüft und kontrolliert die datenschutzrelevanten Abläufe in einem Betrieb. Seine Tätigkeit bezieht sich ebenso auf die mit der Datenverarbeitung beschäftigten Mitarbeiter wie auch auf die zur Datenverarbeitung eingesetzten Programme. Seine Aufgabe beschränkt sich gleichwohl nicht nur darauf Fehler zu erkennen und Missstände zu beseitigen. Er wird vor allem präventiv tätig, sodass es gar nicht zu Problemen kommt. Wichtige Bestandteile seiner Aufgaben sind daher die Sensibilisierung, Einarbeitung und Fortbildung der Mitarbeiter in technischer sowie rechtlicher Hinsicht.

Kommt es dennoch einmal zu Problemen, so übernimmt der Datenschutzbeauftragte eine beratende Funktion bei deren Lösung, schlägt Verbesserungen vor und unterstützt die zuständigen Mitarbeiter bei der Optimierung der Systeme. Der Datenschutzbeauftragte muss dabei jedoch nicht selbst tätig werden; er ist nicht für die aktive und lückenlose Beseitigung datenschutzrechtlicher Verstöße zuständig. Die Verantwortung für die Einhaltung der Gesetze liegt bei seinem Arbeit- bzw. Auftraggeber. Umgekehrt bedeutet das, dass der Datenschutzbeauftragte auch überhaupt keine Möglichkeiten hat, in die Betriebsabläufe einzugreifen. Schlägt er Verbesserungen vor oder merkt Probleme an, kann er die verantwortliche Stelle nicht zum Handeln zwingen.

Anforderungen an Datenschutzbeauftragte

Der Aufgabenkatalog des Datenschutzbeauftragten macht es erforderlich, dass diese Person die nötige Fachkunde mitbringt. Weder das BDSG noch die DSGVO normieren konkrete Anforderungen an diese Fachkunde. Beide Gesetzeswerke gehen jedoch davon aus, dass sich die berufliche Qualifikation nach individuellen Kriterien, insbesondere den Anforderungen des konkreten Betriebs und dem Umfang sowie der Schutzwürdigkeit der verarbeiteten Daten zu richten hat.

Das bedeutet zum einen, dass sich der Datenschutzbeauftragte mit den im Betrieb eingesetzten Datenverarbeitungsprogrammen auskennen muss. Zum anderen muss er neben allgemeinen Kenntnissen des Datenschutzrechts Spezialwissen entsprechen der jeweiligen Besonderheiten im Betrieb vorweisen. Grundsätzlich werden diese Anforderungen vertraglich festgelegt. Aufgrund der Schnelllebigkeit der digitalen Welt ist es jedoch unabdingbar, dass sich Datenschutzbeauftragte regelmäßig fortbilden, weshalb sich ihr Anforderungsprofil während eines laufenden Arbeitsverhältnisses verändern kann.

Darüber hinaus muss der Datenschutzbeauftragte neutral und unabhängig sein. Das bedeutet nicht, dass er nicht arbeitsvertraglich gebunden sein darf. Etwaige Interessenkonflikte müssen jedoch von vornherein vermieden werden – ansonsten erfüllt ein Bewerber nicht die persönlichen Anforderungen an den Beruf des Datenschutzbeauftragten. Interessenkonflikte bestehen zum Beispiel dann, wenn der Datenschutzbeauftragte Teil der Unternehmensleitung ist. Wie oben dargestellt, erfüllt der Datenschutzbeauftragte eine Beratungs- und Kontrollfunktion; er trägt aber gerade keine Verantwortung. Wer für die datenverarbeitende Stelle verantwortlich ist oder in seiner betrieblichen Position aktiv auf die datenschutzrelevanten Entscheidungsprozesse Einfluss nehmen kann, darf nicht gleichzeitig als Kontrollinstanz tätig sein – sonst würde sich diese Person selbst kontrollieren. 

Haftung des Datenschutzbeauftragten

Erfüllt der Datenschutzbeauftragte seine Aufgaben nicht oder nur unzureichend, so wirkt sich das grundsätzlich nur auf das Vertragsverhältnis zwischen ihm und seinem Auftraggeber aus. Zwar sieht das BDSG ebenso wie die DSGVO Haftungstatbestände bei Verletzung der datenschutzrechtlichen Vorschriften vor. Da der Datenschutzbeauftragte aber weder eigene Verantwortung trägt noch rechtliche Möglichkeiten hat eine Durchsetzung der gesetzlichen Regelungen zu erzwingen, kann er nicht selbst als Täter einer der Haftungstatbestände in Betracht kommen.

Aus denselben Gründen soll auch eine Unterlassungshaftung – etwa durch das Untätigbleiben trotz Kenntnis datenschutzrechtlicher Verstöße – ausscheiden. Etwas anderes ergibt sich auch nicht dadurch, dass die DSGVO entgegen dem BDSG ausdrücklich die „Überwachung“ im Aufgabenkatalog des Datenschutzbeauftragten aufführt. Nach dem Wortlaut geht eine Überwachung über die bloße Kontrolle und Beratung hinaus und eine unterbliebene Überwachung könnte als Unterlassen gewertet werden. Für ein derartiges Verständnis finden sich allerdings weder in der DSGVO noch den zugehörigen Erwägungsgründen Anhaltspunkte, weshalb nicht von einer verschärften Haftung ausgegangen werden kann.

Gleichwohl können sich Datenschutzbeauftragte nach dem Strafgesetzbuch strafbar machen. § 203 Abs. 2a StGB sieht eine Freiheitsstrafe von bis zu einem Jahr oder Geldstrafe für den Fall vor, dass ein Datenschutzbeauftragter fremde Geheimnisse offenbart, die ihm im Rahmen seiner Tätigkeit von Berufsgeheimnisträgern anvertraut wurden. Das betrifft folglich solche Datenschutzbeauftragte, die beispielsweise in Anwaltskanzleien oder Arztpraxen arbeiten. 

Einsatz eines externen Datenschutzbeauftragten

Datenschutzbeauftragte können entweder aus dem eigenen Mitarbeiterkreis rekrutiert oder von außen hinzugeholt werden. Letzteres wird als „externer“ Datenschutzbeauftragter bezeichnet, was sowohl eine natürliche als auch eine juristische Person sein kann. Welchen Weg ein Unternehmen wählt, hängt grundsätzlich von den individuellen Bedürfnissen ab – beide Varianten haben ihre Vor- und Nachteile. Die Aus- bzw. Fortbildung eines eigenen Mitarbeiters zum Datenschutzbeauftragten kann gerade für kleinere Unternehmen kostengünstiger sein. Außerdem kennen sich die eigenen Mitarbeiter bereits mit den innerbetrieblichen Strukturen und eingesetzten Datenverarbeitungsprogrammen aus. Eine aufwändige Einarbeitung ist also weitestgehend obsolet.

Gleichwohl greifen viele Unternehmen mittlerweile auf externe Datenschutzbeauftragte zurück, was mehrere Gründe hat: Externe Datenschutzbeauftragte werden häufig von spezialisierten Dienstleistern bereitgestellt, verfügen über umfangreiches Fachwissen sowie die entsprechende Berufserfahrung und können ihre Tätigkeit ohne weitere Fortbildung zeitnah aufnehmen. Der Leistungskatalog kann individuell auf das jeweilige Unternehmen zugeschnitten werden und bietet oftmals Beratungs- und Projektangebote, die von einem internen Datenschutzbeauftragten nicht erwartet werden können. Darüber hinaus besteht nicht die Gefahr eines Interessenkonflikts, schließlich wird von vornherein ein unabhängiger Dritter eingesetzt, der eine natürliche Distanz zum Unternehmen hat. 

Rechtliche Besonderheiten des externen Datenschutzbeauftragten

Bei externen Datenschutzbeauftragten sind allerdings einige rechtliche Besonderheiten zu beachten. Das Gesetz konzipiert den Datenschutzbeauftragten als eine Art innerbetrieblichen Wächter des Datenschutzrechts – die für Datenverarbeitung verantwortlichen Stellen sollen mit den ihnen von Dritten anvertrauten Daten nicht nach Belieben umgehen, sondern die entsprechenden Gesetze befolgen. Wird aber nun ein Externer mit den Aufgaben des Datenschutzbeauftragten betraut, so wird damit wiederum ein Dritter in den Datenverarbeitungsvorgang einbezogen. Das ist nicht unproblematisch, zumal sowohl BDSG als auch DSGVO für Auftragsdatenverarbeitungen, die Datenweitergabe an Dritte und grenzüberschreitende Datenverarbeitungen besondere Maßstäbe anlegen. Denn Datenschutz und Datensicherheit würden ad absurdum geführt, wenn die Stelle, der die Daten anvertraut wurden, diese beliebig an Dritte weitergeben dürfte.

Gleichwohl ist zu berücksichtigen, dass der Datenschutzbeauftragte nicht selbst in die Datenverarbeitung eingeschaltet ist, sondern diese lediglich kontrolliert. Sofern der externe Datenschutzbeauftragte die bereits dargelegten Anforderungen an Fachkunde, Zuverlässigkeit und Unabhängigkeit erfüllt, erlauben BDSG und DSGVO seinen Einsatz. Nach der noch gültigen Fassung des BDSG besteht jedoch eine Ausnahme für öffentliche Stellen. Demnach ist ein externer Datenschutzbeauftragter nur zulässig, wenn er ein Bediensteter einer anderen öffentlichen Stelle ist und die zuständige Aufsichtsbehörde zustimmt. Die DSGVO und die neue Fassung des BDSG hingegen sehen keine derartige Ausnahme für öffentliche Stellen vor. 

Neuerungen durch die Datenschutzgrundverordnung

Im Folgenden werden die wesentlichen Änderungen im Bereich des Datenschutzbeauftragten durch die am 25. Mai 2018 anwendbare Datenschutzgrundverordnung zusammengefasst.

Zunächst ist festzuhalten, dass bereits erfolgte Bestellungen von Datenschutzbeauftragten mit Anwendbarkeit der DSGVO nicht unwirksam werden, vielmehr besteht das Rechtsverhältnis fort. Darüber hinaus ist es wichtig zu wissen, dass das Konstrukt des Datenschutzbeauftragten maßgeblich eine Eigenart des deutschen Rechts ist. Zwar gab es vor der DSGVO auch in anderen Mitgliedsstaaten Datenschutzbeauftragte, allerdings grundsätzlich nicht verpflichtend. Das ist auch der Grund, warum die Bestellpflichten in der DSGVO im Vergleich zum deutschen BDSG zumindest für die Privatwirtschaft deutlich abgeschwächter sind.

Diese Tatsache führt wiederum dazu, dass sich hinsichtlich des Datenschutzbeauftragten durch die DSGVO für den deutschen Raum nicht viel ändert: Das BDSG ging bereits über die DSGVO hinaus und die in Art. 37 Abs. 4 DSGVO eingebaute Öffnungsklausel sorgt dafür, dass die bisher geltenden Bestimmungen im Wesentlichen durch die neue Fassung des BDSG fortbestehen.

Erwähnenswerte Änderungen durch die DSGVO sind die oben bereits ausgeführten Möglichkeit für öffentliche Stellen externe Datenschutzbeauftragte aus der Privatwirtschaft zu bestellen und der gemeinsame Datenschutzbeauftragte für mehrere Außenstellen in größeren Unternehmen.

Eine weitere Änderung besteht darin, dass die Benennung des Datenschutzbeauftragten nach der DSGVO (und dem BDSG nF) nicht mehr schriftlich zu erfolgen hat. Art. 37 Abs. 7 DSGVO (§ 5 Abs. 5 BDSG nF) verlangt lediglich die Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten (z.B. im Rahmen der Datenschutzerklärung auf der unternehmenseigenen Webseite) und die Information der zuständigen Aufsichtsbehörde. Aufgrund der drohenden Bußgelder bei einer unterlassenen oder verspäteten Bestellung empfiehlt sich aus Beweisgründen dennoch eine schriftliche Fixierung.

_________________________________________________________________________________________________

Sie haben Fragen rund um das Thema IT-Recht, Lizenzen und Datenschutz? Wir helfen Ihnen gerne!

Das Expertenteam um Rechtsanwalt Christian Solmecke steht Ihnen gerne Rede und Antwort für Ihre Fragen.

Rufen Sie uns an 0221 / 951 563 0 (Beratung bundesweit).
_________________________________________________________________________________________________

Hier gelangen Sie zurück zur Übersichtseite IT-Recht

 

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (4 Bewertungen, Durchschnitt: 4,75 von 5)