Datenschutzbeauftragter (Datenschutz-Grundverordnung)

Der Begriff Datenschutzbeauftragter hat in der umgangssprachlichen Nutzung zwei verschiedene Bedeutungen. Zum einen werden verschiedene Datenschutzaufsichtsbehörden als (Landes-)Datenschutzbeauftragte bzw. -beauftragter bezeichnet. Die Datenschutz-Grundverordnung (DSGVO) meint mit dem Wort jedoch einen betrieblichen Datenschutzbeauftragten, der eine von einem Unternehmen ernannte Person ist, die für die Kontrolle der Einhaltung der Datenschutzrichtlinien zuständig ist.

Hintergrund

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung in Kraft. Die direktgeltende Verordnung wurde durch die Regelungen der am 27. April 2017 vom Bundestag als Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG) ergänzt.[1] Im Bundesgesetzblatt Nr. 44 vom 12. Mai 2017 wurden die Anpassung des Datenschutzrechts an die Verordnung EU 2016/679, also die DSGVO, sowie die Umsetzung der Richtlinie (EU) 2016/680 im Datenschutz-Anpassungs- und Umsetzungsgesetz EU/DSnpUG nach Zustimmung des Bundespräsidenten veröffentlicht. Neben anderen Gesetzesanpassungen wurde zeitgleich das BDSG als Ergänzung zur DSGVO komplett neugefasst.

Die DSGVO sieht vor, dass Unternehmen gegebenenfalls als für die Verarbeitung von Daten „Verantwortlicher“ einen internen oder externen Datenschutzbeauftragten bestellen müssen. Im Artikel 37 Abs. 1 DSGVO ist die Bestellpflicht für den Datenschutzbeauftragten geregelt, nach der betroffene Unternehmen der gesetzlichen Verpflichtung nachzukommen haben. Die Aufgaben des Datenschutzbeauftragten sind im Artikel 39 DSGVO und darüber hinaus im § 7 BDSG (neu) bestimmt.

Benennungspflicht und Benennungsprozess

Benennungspflicht

Sowohl die DSGVO als auch das BDSG kennen Gründe, die es notwendig machen, einen Datenschutzbeauftragten zu bestellen. Die nationalen Regelungen dürfen dabei nicht hinter der DSGVO zurückbleiben, sondern ergänzen und verschärfen diese.

Nach der DSGVO

Ein Datenschutzbeauftragter muss im Bereich der staatlichen Verwaltung benannt werden, wenn die Verarbeitung durch ein öffentliche Stelle oder Behörde erfolgt. Ausgenommen ist die Verarbeitung durch Gerichte in ihrer justiziellen Tätigkeit.

Ob im privaten Sektor ein Datenschutzbeauftragter benannt werden muss, hängt davon ab, ob die Kerntätigkeit eines Unternehmens eine regelmäßige und systematische Verarbeitung personenbezogener Daten umfasst. Kriterien dafür sind:

  • Umfang der Verarbeitung gemessen an der Anzahl datenverarbeitender Mitarbeiter im Unternehmen, der Datenmenge und Art der Datensätze, der Zeitraum und die Regelmäßigkeit der Datenverarbeitung sowie die geographische Reichweite der Datenverarbeitung;
  • der Zwecke der Verarbeitung;
  • die Art der Verarbeitung.

Alternativ ist auch die umfangreiche Verarbeitung von personenbezogenen Daten, die zu besonderen Kategorien von Daten wie z. B. gesundheitsbezogenen, politischen oder religiösen Daten gehören, ein Grund für eine Benennungspflicht.

Nach dem BDSG

In Deutschland sind in §§ 5, 6 und 38 BDSG Vorgaben zur Benennung und Abberufung der Datenschutzbeauftragten für öffentliche und nicht öffentliche Stellen gesetzlich festgeschrieben. Sämtliche Behörden sowie weitere öffentliche Stellen wie z. B. öffentlich-rechtliche Unternehmen müssen ausnahmslos einen Datenschutzbeauftragten bestellen. Gleiches gilt für Markt- und Meinungsforschungsinstitute. Für die freie Wirtschaft ist in der Vorschrift geregelt, dass die Bestellung eines Datenschutzbeauftragten erst für Unternehmen ab 20 Personen, die sich in der Regel ständig mit der automatisierten Datenverarbeitung beschäftigen, und im Falle der Verpflichtung zu einer Datenschutzfolgenabschätzung – also insbesondere bei Vorliegen sensibler Daten – verpflichtend ist.[2]

Benennungsprozess

Nach der DSGVO ist eine mündliche Benennung ausreichend. Dennoch ist der Unternehmer verpflichtet, die Kontaktdaten des Datenschutzbeauftragten in Schriftform an die zuständige Behörde zu übermitteln und sie zu veröffentlichen. Es sind weitere Formalitäten zu beachten, damit eine Bestellung der Form genügt:

  • Eine Bestellurkunde muss angefertigt und von beiden Parteien unterzeichnet werden.
  • Die Bestellung darf nicht in Kombination mit einem weiteren Vertrag durchgeführt werden (Vermeidung eines Interessenkonfliktes).
  • Es muss eine Beschreibung bzw. Auflistung erstellt werden, die die Aufgaben und Eingliederung des Datenschutzbeauftragten in die Organisation und die damit verbundene Zusicherung personeller und materieller Unterstützung darstellt.[3]

Auswahl des Datenschutzbeauftragten

Als Datenschutzbeauftragter kann entweder ein unternehmensinterner Mitarbeiter oder ein externer Auftragnehmer bestellt werden. Welche Wahl sich besser eignet, hängt von der Unternehmensform und Unternehmensgröße sowie dem Arbeitsaufwand des Datenschutzbeauftragten ab. Allerdings ist es schwieriger, sich von einem internen Datenschutzbeauftragten zu lösen, da dieser nur durch fristlose Kündigung seine Stellung verlieren kann. Konzerne können sich für einen Konzerndatenschutzbeauftragten entscheiden, sofern dieser von jeder Niederlassung aus problemlos erreichbar ist. Dieser ist dann für seinen Arbeitgeber interner Datenschutzbeauftragter und für die anderen Konzernteile externer Datenschutzbeauftragter. Diese Option ist vor allem für EU-weit tätige Konzerne mit mehreren Niederlassungen von Vorteil, da sie verschiedene Ansprechpartner vermeidet und so für mehr Transparenz und Sicherheit in der Datenverarbeitung und Verwaltung sorgt.[4]

Ein Datenschutzbeauftragter darf gleichzeitig anderen Pflichten nachkommen, sofern es dabei nicht zu einem Interessenkonflikt kommt. Dieser Interessenkonflikt kann beispielsweise in den folgenden Fällen vorliegen:

  • Leitungs-, Chef- und Inhaberebene sowie deren Prokuristen,
  • nachgeordnete Positionen mit Führungsaufgaben und Entscheidungskompetenz über die Festlegung von Zwecken und Mitteln der Datenverarbeitung (IT),
  • Mitarbeiter einer Rechtsabteilung, die das Unternehmen auch vor Gericht vertreten,
  • Geheimschutz- oder Geldwäschebeauftragter,
  • Abteilungsleiter und deren Mitarbeiter, wenn sie selbst personenbezogene Daten verarbeiten, wie beispielsweise in der EDV, im Personalbereich, aber auch im Marketing oder im Vertrieb,
  • familiäre Bindungen zwischen Datenschutzbeauftragtem und Verantwortlichem.[5]

Aufgaben, Rechte und Qualifikation

Aufgaben

In Artikel 39 Abs. 1 DSGVO werden die Mindestaufgaben des Datenschutzbeauftragten festgelegt:

  • Der Datenschutzbeauftragte unterrichtet und berät das Unternehmen, das ihn benannt hat, und dessen Beschäftigte bezüglich aller geltenden Datenschutzvorschriften und auf Anfrage bei einer Datenschutzfolgenabschätzung.
  • Er überwacht die Einhaltung von Datenschutzvorschriften und die Strategie, mit der personenbezogene Daten geschützt werden sollen.
  • Er arbeitet mit den Aufsichtsbehörden zusammen und ist deren Anlaufstelle im Unternehmen.

Der Europäische Datenschutzbeauftragte als Sprachrohr aller europäischen Aufsichtsbehörden legt die gesetzlichen Pflichten eines betrieblichen Datenschutzbeauftragten so aus, dass dieser auch als vertraulicher Ansprechpartner für Betroffene zur Verfügung stehen soll. Andererseits ist der als Disziplinarvorgesetzter Verantwortliche für die tatsächliche Umsetzung der Datenschutzanforderungen verantwortlich.[6]

Rechte

Um ihrer Tätigkeit unvoreingenommen nachgehen zu können, unterliegen Datenschutzbeauftragte einem besonderen Kündigungsschutz, der Verschwiegenheitspflicht und dem Zeugnisverweigerungsrecht. Der Kündigungsschutz gilt nur für interne Datenschutzbeauftragte. Sie haben kein Weisungsrecht gegenüber der Geschäftsführung, können aber auch nicht von dieser angewiesen werden.

Qualifikation und Ausstattung

Der Datenschutzbeauftragte wird gemäß Art. 37 Abs. 5 DSGVO „auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“ Zudem sollte er befähigt sein, die dieser Rolle obliegenden Aufgaben zu erfüllen. Der Berufsverband der Datenschutzbeauftragten Deutschlands (BVD) teilt das notwendige Fachwissen in seiner Selbstverpflichtung in die Bereiche Recht, Informations- und Kommunikationstechnologie und Organisation und Prozesse auf.[7] Dabei sollte zumindest in einem der Bereiche eine berufliche Qualifikation und in den anderen Bereichen solides Fachwissen vorliegen. BVD-Mitglieder verpflichten sich zudem, mindestens zwei Jahre Berufserfahrung in einem der Bereiche und eine anerkannte Qualifikation als Datenschutzbeauftragter erlangt zu haben (Zertifizierung).

Der Verantwortliche muss dem Datenschutzbeauftragten gemäß Art. 38 Abs. 2 DSGVO die für die Erfüllung seiner Aufgaben notwendigen Ressourcen, u. a. zur Erhaltung des Fachwissens, zur Verfügung stellen und ihm den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen ermöglichen.

Sanktionen bei Zuwiderhandlung

Eine Nichtbenennung trotz Verpflichtung führt zu empfindlichen Bußgeldern für das betroffene Unternehmen.[8] Die DSGVO sieht Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist.

Weblinks

Wiktionary: Datenschutzbeauftragter – Bedeutungserklärungen, Wortherkunft, Synonyme, Übersetzungen

Einzelnachweise

  1. Neues Datenschutzrecht (BDSG-neu): Das Bundesdatenschutzgesetz wird europäisiert. In: computerwoche.de. Abgerufen am 29. November 2017.
  2. Nina Diercks, Christian Frerix, Tobias Hinderks: Der Datenschutzbeauftragte, insbesondere im Hinblick auf die EU-Datenschutzgrundverordnung (DSGVO) – Teil 8 zur EU-DSGVO. In: diercks digital recht Blog. (diercks-digital-recht.de [abgerufen am 5. Februar 2019]).
  3. Datenschutzbeauftragter: Aufgaben, Ausbildung und Kosten. In: IDR – Weller. Abgerufen am 15. Mai 2022 (deutsch).
  4. Interner vs. Externer DSB | Datenschutzexperte. In: Datenschutzexperte.de. (datenschutzexperte.de [abgerufen am 29. November 2017]).
  5. Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (Hrsg.): 34. Tätigkeitsbericht zum Datenschutz. S. 28–29 (datenschutz.de [PDF]).
  6. Position paper on the role of Data Protection Officers of the EU institutions and bodies. In: edps.europa.eu. EDSB, abgerufen am 5. Februar 2019 (englisch).
  7. BvD Berufsbild Auflage 4. Berufsverband der Datenschutzbeauftragten Deutschlands, abgerufen am 5. Februar 2019.
  8. GDD-Praxishilfe_DS-GVO_1.pdf — GDD e.V. Archiviert vom Original (nicht mehr online verfügbar) am 1. Dezember 2017; abgerufen am 29. November 2017 (englisch).  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.gdd.de