Datenschutzbeauftragter

Datenschutzbeauftragter nach der Datenschutzgrundverordnung: Hier gehe ich auf die wesentlichen Grundlagen des Datenschutzbeauftragten ein. Beachten Sie auch hier, dass die rechtliche Lage entsprechend der Datenschutzgrundverordnung eingegangen wird, also auf den rechtlichen Zustand ab dem 25. Mai 2018! Des Weiteren wird hier von der Umsetzung in Deutschland ausgegangen auf Basis des „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“ aus dem Februar 2017.

Datenschutzbeauftragter: Gesetzliche Grundlagen

Im Kern reduziert es sich auf Art. 37 DSGVO sowie §38 BDSG (in neuer Fassung!). Die entsprechenden Auszüge finden sich am Ende als Anhang.

Wann besteht die Pflicht zur Benennung eines Datenschutzbeauftragten?

Wenn man nur in die DSGVO blickt, ist die Bestellung eines Datenschutzbeauftragten keineswegs verbreitet anzunehmen. Dies wäre vor allem der Fall, wenn die Kerntätigkeit

  • in der Durchführung von Verarbeitungs­vorgängen besteht, welche eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht.

Beides wird gerade bei mittelständischen Unternehmen nicht anzunehmen sein, es wäre absehbar, dass zahlreiche Unternehmen die bis Mai 2018 einen Datenschutzbeauftragten benötigten, nun keinen mehr benötigen würden. Der deutsche Gesetzgeber hat den neuen §38 BDSG allerdings zur Ergänzung geschaffen, der sich stark an die früheren Regelungen im §4f BDSG-Alt anlehnt. SO ist bereits in der Gesetzesbegründung hierzu zu lesen:

„Satz 1 ist inhaltlich an den bisherigen § 4f Absatz 1 Satz 4 BDSG a. F. angelehnt. Satz 2 entspricht inhaltlich im Wesentlichen der bisherigen Regelung des § 4f Absatz 1 Satz 6 BDSG a. F. „

Das bedeutet für Unternehmen im Ergebnis: Nicht-öffentliche Stellen haben einen Datenschutzbeauftragten zu bestellen, wenn sie

  • wie früher in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen,
  • Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der DSGVO unterliegen oder
  • personenbezogene Daten geschäftsmäßig zum Zweck der (auch anonymen) Übermittlung verarbeiten.

Datenschutzbeauftragter: Stellung

Hinsichtlich eines Datenschutzbeauftragten gelten einige Grundsätze zu seiner (Be-)Stellung die zu Beachten sind:

  • Der Datenschutzbeauftragter ist unmittelbar unterhalb der Geschäftsführung einzuordnen und er ist in seiner Tätigkeit weisungsfrei (Art. 38 Abs.3 DSGVO)
  • Zwingend sind dem Datenschutzbeauftragten alle von ihm benötigten Mittel zur Verfügung zu stellen (Art. 38 Abs.2 DSGVO)
  • Der Datenschutzbeauftragte kann sowohl externer Dienstleister als auch Mitarbeiter des Unternehmens selber sein wobei auch eine konzernweite Tätigkeit möglich ist (Art. 37 Abs.2,6 DSGVO)
  • Bei Bestellung eines betrieblichen Angehörigen sind die Regelungen zum Kündigungsschutz zu beachten (dazu unten).

Datenschutzbeauftragter: Aufgaben

Der Datenschutzbeauftragte hat eine Vielzahl von Aufgaben, die auch nicht unterschätzt werden dürfen und sich im Kern aus den Art. 38, 39 DSGVO ergeben und teilweise erhebliche Veränderungen im Vergleich zu den vorherigen Vorgaben waren:

  • Der Datenschutzbeauftragte ist zentraler Ansprechpartner für die Aufsichtsbehörden und hat die Pflicht mit diesen zusammen zu arbeiten (Art. 39 Abs.1 DSGVO)
  • Der Datenschutzbeauftragte muss – dies ist komplexer als vorher – bei allen Maßnahmen eine „Angemessenheitsprüfung“ vornehmen, somit also betriebliche und datenschutzrechtliche Interessen in originärer Abwägung vornehmen (Art. 39 Abs.2 DSGVO)
  • Es sind Schulungen der Mitarbeiter vorzunehmen und auf die Sensibilisierung hinsichtlich des Datenschutzes bei den Mitarbeitern hinzuwirken (Art. 39 Abs.2 DSGVO)
  • Der Datenschutzbeauftragter ist zentraler Ansprechpartner des Unternehmens gegenüber allen Betroffenen, was soweit geht, dass zwingend der Datenschutzbeauftragte nach außen hin mit Kontaktdaten bekannt gegeben werden muss – in dem Moment, in dem die Daten erhoben werden, nicht erst auf Anfrage! (Art. 38 Abs.4 DSGVO i.V.m. Art.13 Abs.1 DSGVO)

Datenschutzbeauftragter: Kündigungsschutz

Das Bundesdatenschutzgesetz sieht in §38 Abs.2, §6 Abs.4 BDSG einen erweiterten Kündigungsschutz vor. Die Abberufung – respektive Kündigung – des Datenschutzbeauftragten ist damit nur aus wichtigem Grund zulässig entsprechend §626 BGB. Die ordentliche Kündigung des Arbeitsverhältnisses ist ausgeschlossen. Nach dem Ende der Tätigkeit als Datenschutzbeauftragter ist des Weiteren die ordentliche Kündigung des Arbeitsverhältnisses innerhalb eines Jahres ausgeschlossen. Dies gilt aber nur hinsichtlich Datenschutzbeauftragter die auf Grund einer gesetzlichen Pfilcht bestellt wurden!

Hinweis: Dies kann durchaus umstritten sein! So weist Härting darauf hin, dass die Öffnungsklausel in der DSGVO sich nur auf Umstände der Bestellung, nicht aber auf die Abberufung bezieht (Härting, DSGVO, S.4). Es bleibt abzuwarten inwieweit die durch den deutschen Gesetzgeber vorgesehene Regelung wirksam ist. 

Anhang: Auszug aus den gesetzlichen Grundlagen

DSGVO

Artikel 37 Benennung eines Datenschutzbeauftragten

(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungs­ vorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

(2) Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.

(3) Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann für mehrere solcher Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden.

(4) In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln.

(5) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.

(6) Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.

(7) Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.

Bundesdatenschutzgesetz

§ 38 Datenschutzbeauftragte nicht-öffentlicher Stellen

(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

(2) § 6 Absatz 4, Absatz 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.

§ 6 Bestellung

(4) Die Abberufung der oder des Datenschutzbeauftragten ist nur in entsprechender Anwendung des § 626 des Bürgerlichen Gesetzbuchs zulässig. Die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach dem Ende der Tätigkeit als Datenschutzbeauftragte oder als Datenschutzbeauftragter ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres unzulässig, es sei denn, dass die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.

(5) Betroffene Personen können die Datenschutzbeauftragte oder den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß der Verordnung (EU) 2016/679, dieses Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz im Zusammenhang stehenden Fragen zu Rate ziehen. Die oder der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Personen zulassen, verpflichtet, soweit sie oder er nicht davon durch die betroffene Person befreit wird.

(6) Wenn die oder der Datenschutzbeauftragte bei ihrer oder seiner Tätigkeit Kenntnis von Daten erhält, für die der Leitung oder einer bei der öffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch der oder dem Datenschutzbeauftragten und den ihr oder ihm unterstellten Beschäftigten zu. Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Gründen zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. Soweit das Zeugnisverweigerungsrecht der oder des Datenschutzbeauftragten reicht, unterliegen ihre oder seine Akten und andere Schriftstücke einem Beschlagnahmeverbot.