Die bisher rein deutsche Pflicht zur Bestellung eines Datenschutzbeauftragten wird mit Inkrafttreten der Datenschutzgrundverordnung am 25. Mai 2018 für Unternehmen in allen Mitgliedsstaaten relevant, sofern die Voraussetzungen des Artikel 37 (Absatz 1 b oder c) DSGVO vorliegen. Auch wenn in zahlreichen anderen Mitgliedsstaaten bisher eine freiwillige Bestellung eines Datenschutzbeauftragten möglich war, stand für die Regelungen aus Artikel 37 bis 39 Datenschutz-Grundverordnung maßgeblich deutsches Recht Pate. Trotzdem werden die neuen Vorschriften auch das in Deutschland bewährte Bild des Datenschutzbeauftragten ändern. In diesem Blogbeitrag erläutern wir die Neuregelungen und zeigen auf, welche Änderungen sich ergeben.
Der betriebliche Datenschutzbeauftragte im deutschen Recht
Die Bestellpflicht nach der DSGVO
- Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Verarbeitungsvorgängen, die aufgrund Art, Umfang oder Zweck eine umfangreiche, regelmäßige und systematische Überwachung der Betroffenen erforderlich machen.
- Das Unternehmen übt eine Kerntätigkeit aus, die in der umfangreichen Verarbeitung besonders sensibler Daten besteht.
Freiwillige Bestellung und Öffnungsklausel
Anforderungen und Stellung des Datenschutzbeauftragten
- Die zukünftige Stellung des Datenschutzbeauftragten im Unternehmen selbst unterscheidet sich auf den ersten Blick nicht wesentlich von der jetzigen Rechtslage nach Bundesdatenschutzgesetz (BDSG). Seine Bestellung muss aufgrund seiner Qualifikation und seines Fachwissens erfolgen. Die Anforderungen bemessen sich an der Art der zu erfüllenden Aufgaben, Artikel 37 Absatz 5 DSGVO – vergleiche Paragraf 4f (Absatz 1 Satz 1 und 2) BDSG.
- Ferner kann weiterhin sowohl ein Externer als auch ein Beschäftigter des Unternehmens diese Aufgabe wahrnehmen, Artikel 37 (Absatz 6) DSGVO – vergleiche Paragraf 4f (Absatz 1 Satz 3) BDSG.
- Beschäftigte unterliegen als Datenschutzbeauftragte einem besonderen Schutz gegen Benachteiligung oder gar einer Abberufung wegen der Erfüllung ihrer Aufgaben, Artikel 38 (Absatz 3 Satz 2) DSGVO. Hier fällt die DSGVO gegenüber dem vom BDSG gewährten Schutz nach Paragraf 4f (Absatz 3 Satz 3 bis 5) BDSG etwas ab. Ähnlich wiederum wie schon unter dem BDSG ist der Datenschutzbeauftrage auch unter der DSGVO weisungsfrei und nur der höchsten Management-Eben berichtspflichtig, Artikel 38 (Absatz 3 Satz 1 und 3) DSGVO – vergleiche Paragraf 4f (Absatz 3 Satz 1 und 2) BDSG.
- Das Unternehmen, für das er tätig wird, muss ihm Zugang zu allen für seine Aufgabenerfüllung relevanten Daten und Prozessen gewähren und wohl auch erforderliche Fortbildungsmaßnahmen finanziell und organisatorisch sicherstellen, Artikel 38 (Absatz 2) DSGVO – vergleiche Paragraf 4f (Absatz 3 Satz 6 und Absatz 5 Satz 1), sowie Paragraf 4g (Absatz 1 Satz 3 Nr. 1 und Absatz 2) BDSG.
Aufgaben des Datenschutzbeauftragten
Artikel 39 normiert die Aufgaben des Datenschutzbeauftragten. Diesem obliegt insbesondere die Unterrichtung und Beratung der datenverarbeitenden Stelle und deren Beschäftigten hinsichtlich datenschutzrechtlicher Pflichten, Artikel 39 (Absatz 1 a) DSGVO – vergleiche Paragraf 4g (Absatz 1 Satz 1) BDSG. Insbesondere gehört zu seinen Aufgaben die Überwachung der Einhaltung datenschutzrechtlicher Vorgaben. Dazu zählt nicht nur die vollumfängliche Überwachung der Strategie der datenverarbeitenden Stelle zum Schutz personenbezogener Daten, sondern auch die Sensibilisierung, Schulung und Überprüfung der Mitarbeiter, Artikel 39 (Absatz 1 b) DSGVO – vergleiche Paragraf 4g (Absatz 1 Satz 3 Nr. 1 und 2) BDSG. Daneben berät er das Unternehmen im Zusammenhang mit der Datenschutzfolgeabschätzung, Artikel 39 (Absatz 1 c) DSGVO. Er dient also auch im Gefüge der DSGVO als Anlaufstelle und Schnittstelle zwischen Unternehmen und Aufsichtsbehörden, Artikel 39 (Absatz 1 d und e) DSGVO. Spiegelbildlich dazu steht dem Betroffenen ein Anrufungsrecht in Artikel 38 (Absatz 4) zu – vergleiche Paragraf 4f (Absatz 5 Satz 2) BDSG. Im Rahmen seiner Aufgabenerfüllung ist der Datenschutzbeauftragte zur Verschwiegenheit und Geheimhaltung verpflichtet, Artikel 38 (Absatz 5) DSGVO – vergleiche Paragraf 4f (Absatz 5) BDSG.
Haftung und strafrechtliche Verantwortlichkeit des Datenschutzbeauftragten
Stellung und Aufgabenbeschreibung des Datenschutzbeauftragten mögen sich auf den ersten Blick nicht von der jetzigen Rechtslage abheben. Hinsichtlich der zivilrechtlichen Haftung und strafrechtlichen Verantwortlichkeit des Datenschutzbeauftragten ergeben sich aber grundlegende Änderungen.
Es erscheint denkbar, dass für den Datenschutzbeauftragten eine Haftung und sogar eine Strafbarkeit durch Unterlassen in Betracht kommt, wenn man ihm nach neuem Recht eine Garantenstellung im Sinne von Paragraf 13 Strafgesetzbuch (StGB) zuschreiben muss. Eine Garantenstellung besteht, wenn dem Datenschutzbeauftragten die Rechtspflicht zukommt, einen strafrechtlichen Erfolg abzuwehren. Ob eine solche Rechtspflicht besteht, bestimmt sich nach der gesetzlichen Aufgabennormierung. Paragraf 4g (Absatz 1 Satz 1) BDSG beschränkt sich auf die Formulierung, dass der Datenschutzbeauftragte lediglich auf die Einhaltung der Gesetze hinzuwirken habe. Eine Rechtspflicht, die zur Begründung einer Garantenstellung ausreichend sein soll, ließ sich daraus nach allgemeiner Ansicht bisher nicht begründen.
Demgegenüber bestimmt Artikel 39 (Absatz 1 b) DSGVO, dass dem Datenschutzbeauftragten die „Überwachung der Einhaltung dieser Verordnung“ obliegt. Dies könnte als Rechtspflicht zur Überwachung der Einhaltung datenschutzrechtlicher Vorschriften und zur Meldung etwaiger Verstöße interpretiert werden. Dann ginge diese Formulierung weiter als ein bloßes „Hinwirken“ und begründet möglicherweise konkrete Rechtspflichten, deren Unterlassen sowohl eine zivilrechtliche Haftung gegenüber dem Betroffenen und der datenverarbeitenden Stelle, als auch eine persönliche Strafbarkeit begründen kann. Der Datenschutzbeauftragte rückte bei diesem Verständnis in seiner Stellung damit an einen Compliance Officer heran. Für diese hat die Rechtsprechung bereits in der Vergangenheit eine Haftung aus Garantenstellung anerkannt (BGH Urteil vom 17. Juli 2009 – 5 StR 394/08).
Trotzdem ist diese Interpretation derzeit alles andere als gesichert. Die Aufsichtsbehörden haben sich – soweit ersichtlich – noch nicht klar positioniert. Es ist auch zu berücksichtigen, dass die deutsche Sprachfassung leider an vielen Stellen nicht exakt mit der englischen Fassung übereinstimmt, so dass die Gefahr von Fehlinterpretationen bestehen. Die Überwachung eines Zustandes muss noch lange nicht eine Verpflichtung mit sich bringen, für bestimmte Ergebnisse einzustehen.
Bei systematischer Betrachtung ist auch Artikel 39 (Absatz 1 c) DSGVO in den Blick zu nehmen. Danach wird der Datenschutzbeauftragte im Rahmen der Datenschutzfolgeabschätzung nur „auf Anfrage“ tätig. Wenn aber der Datenschutzbeauftragte selbst bei diesem zentralen Compliance-Mechanismus überhaupt nur auf Anfrage des Unternehmens Hinweise erteilen können soll, kann er schwerlich insgesamt eine Garantenstellung innehaben. Insgesamt ist deshalb das Maß der zukünftige Verantwortung des Datenschutzbeauftragten unklar. Eine Ausweitung der Verantwortung erscheint aber möglich.
Ausblick
Das in Deutschland bewährte Institut des betrieblichen Datenschutzbeauftragten hat seinen Weg in die DSGVO gefunden und hat nun entsprechende europaweite Geltung. Zwar hat der Europäische Gesetzgeber das deutsche Regelungsregime nicht identisch übernommen, trotzdem sind die Unterschiede zwischen dem Datenschutzbeauftragten nach BDSG und dem Datenschutzbeauftragten nach DSGVO eher gering.
Es ist auch zu erwarten, dass Deutschland von der Möglichkeit Gebrauch macht, die Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten auf das derzeit schon nach dem BDSG bestehende Maß auszudehnen. Dann wären zumindest in Deutschland wohl kaum Unterschiede beim „Ob“ der Bestellung vorhanden. In jedem Fall müssen Datenschutzbeauftragte die neuen Haftungsrisiken beachten und diesen gegebenenfalls durch höheren Dokumentationsaufwand entgegentreten.