Datenschutzbeauftragter: Aufgaben, Leitlinien und Empfehlungen

Datenschutzbeauftragter: Aufgaben, Leitlinien und Empfehlungen

Ein Datenschutzbeauftragter muss gewisse Aufgaben und Pflichten übernehmen: Die Art.-29-Datenschutzgruppe gibt europäischen Unternehmen die ersten Leitlinien zur Ausgestaltung der Position nach der Datenschutz-Grundverordnung (DSGVO) an die Hand. Welche Auswirkungen das bereits jetzt haben kann und welche Empfehlungen sich daraus ergeben, erfahren Sie hier.

Aktuelle Leitlinien: Art.-29-Datenschutzgruppe formuliert Guidelines

Die Art.-29-Datenschutzgruppe hat am 13. Dezember 2016 Leitlinien zum Datenschutzbeauftragten (WP 243) verabschiedet. Der Datenschutzbeauftragte ist ein essenzieller Bestandteil der Datenschutzorganisation innerhalb von Unternehmen und Unternehmensgruppen. Darüber hinaus ist er zwar die einzige Person innerhalb einer Datenschutzorganisation, zu der die DSGVO explizite Vorgaben macht. Die von den Unternehmen verlangte Datenschutzorganisation erschöpft sich aber nicht in der Bestellung eines Datenschutzbeauftragten. Auch die Wahrnehmung der das Unternehmen selbst treffenden datenschutzrechtlichen Pflichten muss im Unternehmen organisiert werden. Der Aufbau einer Datenschutzorganisation ist ein maßgeblicher Bestandteil des Datenschutz-Managementsystems im Unternehmen, welches von der DSGVO gefordert ist. Daher sind die Leitlinien von besonderer Bedeutung, weil sie Auswirkungen auf teilweise jetzt schon laufende Umsetzungsprojekte zur DSGVO haben.

Bestellpflicht: Die Voraussetzungen

Jedes Unternehmen kann einen Datenschutzbeauftragten bestellen. Aber nur einige Unternehmen müssen es. Für Unternehmen ist dabei die Bestellpflicht nach Art. 37 Abs. 1 b) und c) DSGVO relevant. Sie besteht, wenn:

„die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“

Die Leitlinien sollten diese Vorgaben konkretisieren. Sie tun es aber praktisch nicht. Stattdessen kategorisieren die Datenschutzbehörden hier eindeutige Fälle. So bestehe die Kerntätigkeit eines Krankenhauses auch darin, besondere Arten personenbezogener Daten zu verarbeiten. Die Datenverarbeitung von Krankenhäusern sei auch umfangreich im Sinne des Artikels 37 DSGVO, die eines einzelnen Physiotherapeuten hingegen nicht. Da die entsprechenden Ausführungen wenig Erhellendes enthalten, stelle ich sie an dieser Stelle nicht dar. Die Erläuterungen gehen über den Wortlaut der DSGVO und der Erwägungsgründe nicht nennenswert hinaus.

Von Bedeutung ist aber der Hinweis der Art.-29-Datenschutzgruppe, dass Unternehmen ihre Prüfung, ob sie einen Datenschutzbeauftragten bestellen müssen, dokumentieren sollten. Denn hier kommt das allgemeine Verständnis der Datenschutzbehörden zum Ausdruck, dass Verantwortliche ihr Bemühen, die Vorgaben der DSGVO einzuhalten, laufend aufzeichnen müssen. Es dürfte künftig erheblich erschwert werden, die Einhaltung von datenschutzrechtlichen Vorgaben einfach zu behaupten. Denn die Behörden werden voraussichtlich regelmäßig nach Dokumentationen fragen, die konkrete Maßnahmen und Prüfungen zum Schutz personenbezogener Daten belegen. Das fängt – wie der beschriebene Hinweis beweist – schon damit an, dass Unternehmen erfassen sollten, dass sie sich mit dem Aufbau eines Datenschutzmanagementsystems befasst und sich bewusst für eine gewisse (gegebenenfalls rudimentäre) Ausgestaltung entschieden haben. Denn die Leitlinien betonen, dass auch falls keine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht, trotzdem personelle Ressourcen für den Datenschutz eingeplant werden müssen.

Wo wird der Datenschutzbeauftragte eingesetzt: Position im Unternehmen

Auch zur Position eines Datenschutzbeauftragten enthalten die Richtlinien – zumindest aus der Sicht des deutschen Datenschutzrechtlers – keine überraschenden Ausführungen.

Die Leitlinien halten zunächst fest, dass ein Datenschutzbeauftragter in sämtliche Fragestellungen zum Datenschutz frühzeitig einzubinden ist. Nach Ansicht der Datenschutzbehörden beinhaltet das auch, dass ein Datenschutzbeauftragter regelmäßig zu Treffen des hohen und mittleren Managements einzuladen ist. Er soll außerdem bei Entscheidungen mit Auswirkungen auf den Datenschutz generell und bei Datenpannen sofort einbezogen werden. Seiner Meinung soll dabei besonderes Gewicht zukommen und Abweichungen von seinem Rat sollten als Best Practice schriftlich dokumentiert begründet sein.

Darüber hinaus muss ein Datenschutzbeauftragter die für die ordnungsgemäße Erfüllung seiner Aufgaben notwendigen Ressourcen, gegebenenfalls auch eigenes Personal, erhalten.

Im Hinblick auf seine Position stellt die Art.-29-Datenschutzgruppe heraus, dass der Datenschutzbeauftragte nur im Hinblick auf seine Aufgaben als Datenschutzbeauftragter unabhängig ist und insoweit keinen Weisungen unterliegt. Demgemäß darf er für die Erfüllung dieser Aufgaben auch nicht sanktioniert werden, weder direkt noch mittelbar. Schließlich darf der Datenschutzbeauftragte keine weiteren Aufgaben haben, aus denen ein Interessenskonflikt mit seinen Aufgaben als Datenschutzbeauftragter resultiert. Hierbei hält die Art.-29-Datenschutzgruppe es für entscheidend, dass seine sonstige Position im Unternehmen nicht die Aufgabe beinhaltet, über Zwecke und Mittel einer Datenverarbeitung zu entscheiden. Dies stellt eine Kernanforderung dar und führt in der unternehmerischen Praxis zugleich zu einer großen Herausforderung. Das bedeutet nämlich auch, dass der Datenschutzbeauftragte nicht zugleich auch Entscheidungsträger im Hinblick auf die Verarbeitung personenbezogener Daten im Unternehmen sein darf. Die „Verantwortung“ für die Beachtung der Vorgaben der DSGVO darf somit nicht auf den Datenschutzbeauftragten delegiert werden.

Was tut ein Datenschutzbeauftragter: Die Aufgaben

Dünn sind die Ausführungen der Datenschutzbehörden auch im Hinblick auf die Aufgaben des Datenschutzbeauftragten. Insbesondere zur Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften enthalten die Leitlinien praktisch keine erhellenden Ausführungen. Bei der Datenschutzfolgenabschätzung soll der Datenschutzbeauftragte im Wesentlichen zu allen Aspekten gehört werden. Es solle dokumentiert werden, wenn von diesem Rat abgewichen wird. Schließlich soll der Datenschutzbeauftragte stets nach einem risikobasierten Ansatz verfahren und diejenigen Datenverarbeitungen primär kontrollieren, aus denen die größten Gefahren für den Datenschutz folgen.

Welche Pflichten hat der Experte: Verantwortlichkeit des Datenschutzbeauftragten

Schon in der Einleitung stellen die Leitlinien klar, dass der Datenschutzbeauftragte nach Ansicht der Aufsichtsbehörden nicht für die Einhaltung des Datenschutzes verantwortlich ist. Die teilweise vertretene Einschätzung, dass der Datenschutzbeauftragte nach der DSGVO für Datenschutzverstöße haften könnte, teilen die Aufsichtsbehörden also nicht. Verantwortlich für die Einhaltung des Datenschutzes sei alleine der jeweilige Verantwortliche. Diesen Punkt wiederholt und betont die Art.-29-Datenschutzgruppe auch bei den Aufgaben des Datenschutzbeauftragten. Die datenschutzrechtliche Verantwortlichkeit bleibe bei dem verantwortlichen Unternehmen.

Leider fehlt hier der dogmatische Unterbau, um diese Vorgaben für Unternehmen umsetzbar zu machen. Denn selbstredend muss auch die Verantwortung für die Einhaltung des Datenschutzes innerhalb eines Unternehmens an konkrete Personen delegiert werden. Es kann sogar eine Verletzung von Organisationspflichten darstellen, das nicht zu tun (vgl. Paragraf 130 OWiG). Der bloße Hinweis auf die grundsätzliche Verantwortlichkeit des Unternehmens hilft bei der internen Organisation also nicht. Warum soll dann aber die Verantwortlichkeit nicht an die (möglicherweise) datenschutzrechtlich kompetenteste Person, nämlich den Datenschutzbeauftragten, delegiert werden? Der Grund liegt – wie oben bereits erläutert – darin, dass daraus unmittelbar ein Interessenskonflikt resultieren würde. Der Datenschutzbeauftragte müsste sich nämlich dann selbst in der Wahrnehmung dieser Verantwortung kontrollieren (vergleiche dazu meinen Artikel in der Zeitschrift für Datenschutz (ZD), 2015, S. 503).

Dieser Punkt ist essenziell und kann bei der Gestaltung komplexer Datenschutzmanagementsysteme leicht verkannt werden. Das beste Beispiel stellen die Leitlinien selbst dar. Denn abschließend stellt die Art.-29-Datenschutzgruppe fest, dass ihrer Meinung nach nichts dagegen spräche, dem Datenschutzbeauftragten die Aufgabe zu übertragen, das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO zu führen. Das Führen eines solchen Verzeichnisses ist aber eine Pflicht des Verantwortlichen. Die Übertragung dieser Pflicht auf den Datenschutzbeauftragten resultiert unmittelbar in einem Interessenskonflikt des Datenschutzbeauftragten. Er müsste sich nämlich selbst kontrollieren, um zu bestimmen, ob ein ordnungsgemäßes Verzeichnis der Verarbeitungstätigkeiten existiert. Der Datenschutzbeauftragte kann dieses Verzeichnis allenfalls verwahren – das Führen des Verzeichnisses selbst kann nicht seine Aufgabe werden.

Wie sollten Sie handeln: Empfehlungen für Unternehmen

Obwohl die Leitlinien kaum Erkenntnisse liefern, die über die in der DSGVO enthaltenen Ausführungen hinausgehen, lassen sich aus den Ausführungen einige Handlungsempfehlungen herleiten:

  1. Unternehmen sollten dokumentiert prüfen, ob sie nach der DSGVO einen Datenschutzbeauftragten bestellen müssen. In Deutschland ist zusätzlich das zu erwartende Umsetzungsgesetz zu beachten. Nach der aktuell geleakten Fassung des Referentenentwurfs dürfte es hier bei der uns bekannten Rechtslage bleiben.
  2. Jegliche Entscheidung im Hinblick auf den Datenschutzbeauftragten und seine Tätigkeiten sollte dokumentiert werden.
  3. Das Unternehmen bleibt stets selbst für die Einhaltung des Datenschutzes verantwortlich. Der Datenschutzbeauftragte prüft und überwacht. Auch im Rahmen der Etablierung eines Datenschutzmanagementsystems darf diese Trennung nicht verwaschen werden. Datenschutzverantwortung kann (und sollte) von der Geschäftsführung delegiert warden – aber nicht auf den betrieblichen Datenschutzbeauftragten.
  4. Unternehmen sollten sich sehr bewusst damit auseinandersetzen, welche Form des Datenschutzmanagementsystems sie wählen. Die Datenschutzbehörden bringen auch in den Leitlinien zum Ausdruck, dass sie hier dokumentierte Entscheidungen, Prozesse und Organisationen innerhalb aller Unternehmen erwarten.

Unser Datenschutzteam hilft Ihnen bei Fragen gerne weiter.

Dr. Jens Schefzig
Geposted von Dr. Jens Schefzig

Dr. Jens Schefzig ist Rechtsanwalt in unserem Büro in Hamburg. Der Schwerpunkt seiner Tätigkeit liegt im IT- und Datenschutzrecht. Er berät internationale und nationale Mandanten zu allen Aspekten des IT- und Datenschutzrechts.

Kommentieren

Pflichtfelder sind markiert*