Die Benennung des Datenschutzbeauftragten

Verarbeiten Unternehmen personenbezogene Daten, muss bei Vorliegen bestimmter Voraussetzungen ein Datenschutzbeauftragter bestellt werden. Vorgaben hinsichtlich der Benennungspflicht des Datenschutzbeauftragten ergeben sich dabei sowohl aus der Datenschutzgrundverordnung (DSGVO) als auch aus den Regelungen des Bundesdatenschutzgesetzes (BDSG). Welche formalen Anforderungen an eine solche Benennung geknüpft sind, welche Folgen eine fehlerhafte Benennung hat und welche Interessenkonflikte zu vermeiden sind, wird im folgenden Beitrag dargestellt.

Wann muss der Datenschutzbeauftragte benannt werden?

Die Pflicht zur Benennung eines Datenschutzbeauftragten ergibt sich für Verantwortliche und Auftragsverarbeiter aus Art. 37 DSGVO. Hiernach muss in den folgenden drei Fällen ein Datenschutzbeauftragter benannt werden:

• die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln
• die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen
• die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht

Doch aufgepasst! Sofern keiner der hier genannten Fälle einschlägig ist, ist noch nach Art. 37 Abs. 4 DSGVO ein Blick in das jeweilige nationale Datenschutzgesetz notwendig. So werden bei uns in § 38 BDSG weitere, bestimmte Fälle aufgeführt, in welchen ein Datenschutzbeauftragter unerlässlich ist.

Benennungspflicht nach dem BDSG

Hiernach ist ein Datenschutzbeauftragter zu benennen, wenn:

• in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
• Verarbeitungen erfolgen, die einer Datenschutz-Folgenabschätzung (Art.35 DSGVO) unterliegen (d.h. die für die betroffenen Personen besonders riskant sind, z.B. Videoüberwachung öffentlich zugänglicher Bereiche).
• Verarbeitungen erfolgen, die geschäftsmäßig zum Zweck der Übermittlung, anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung dienen.

Die erste Regelung kann weit verstanden werden und gilt bereits als erfüllt, sofern mindestens 20 Mitarbeiter bspw. an Bildschirmarbeitsplätzen arbeiten oder auf gespeicherte Daten Zugriff nehmen. Das war jedoch nicht immer so. Erst durch die Änderung aufgrund des Datenschutz-Anpassungs- und Umsetzungsgesetzes (DSAnpUG) wurde die Zahl von 10 Personen auf 20 Personen angehoben.

Auslöser für diese Änderung waren die Stimmen von SPD und Union, die auf eine Entschärfung der Datenschutzgesetze abzielten, um gerade kleinen Unternehmen und Vereinen Kosten zu ersparen. Inwieweit der Bundesdatenschutzbeauftragte Ulrich Kelber diese Lockerungsmaßnahmen kritisierte und wir deren faktische Entlastungsfunktion anzweifeln, lesen Sie im Beitrag 2. DSAnpUG: Entschärft die Koalition das Datenschutzrecht?

Freiwillige Benennung eines Datenschutzbeauftragten

Das Fehlen einer Pflicht zur Benennung eines Datenschutzbeauftragten steht allerdings einer freiwilligen Benennung nicht im Wege, um einen Ansprechpartner und Verantwortlichen für den Datenschutz im Unternehmen zu haben. Fraglich ist nur, ob auch bei einer freiwilligen Benennung etwas beachtet werden muss und ob eine solche Benennung sich von der Pflichtbenennung unterscheidet.

Grundsätzlich finden auch bei einer freiwilligen Benennung eines Datenschutzbeauftragten die Vorgaben der Art. 37 ff. DSGVO zu seiner Stellung sowie seinen Pflichten und Aufgaben Anwendung. Lediglich der § 6 Absatz 4 BDSG findet laut § 38 Abs. 2 BDSG keine Anwendung. In § 6 Abs. 4 BDSG ist die besondere Stellung des Datenschutzbeauftragten im Unternehmen geregelt, insbesondere hinsichtlich der Abberufungs- und Kündigungseinschränkungen. Diese Vorteile im Rahmen des Arbeitsverhältnisses finden für den freiwillig bestellten Datenschutzbeauftragten somit keine Anwendung.

Interessenskonflikte oder wer kann nicht zum Datenschutzbeauftragten benannt werden?

Nimmt der Datenschutzbeauftragte neben seinen datenschutzrechtlichen Tätigkeiten noch weitere Aufgaben und Pflichten wahr, muss der Verantwortliche oder Auftragsverarbeiter, nach Art. 38 Abs. 6 DSGVO darauf achten, dass kein Interessenkonflikt entsteht.

„Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“

In diesem Sinne kann beispielsweise das wirtschaftliche Eigeninteresse des Datenschutzbeauftragten am Unternehmenserfolg, das Interesse am Erhalt des Arbeitsplatzes oder das Interesse an einem Karrieresprung, je nach Einzelfall als Interessenkonflikt angesehen werden. Ein Interessenkonflikt läge überdies auch vor, wenn der Datenschutzbeauftragte den Verantwortlichen faktisch gar nicht mehr kontrollieren kann, da die Stellung als Datenschutzbeauftragter bspw. mit der Stellung als Geschäftsführer oder Leitung der IT-Abteilung verschmilzt. Der Konflikt entsteht bei diesen Konstellationen aufgrund der unzulässigen Selbstkontrolle. Das solche unzulässigen Konfliktsituationen dennoch immer wieder in der Praxis vorkommen und mit empfindlichen Geldbußen bestraft werden können, zeigt die Entscheidung der belgischen Datenschutzbehörde.

Teilweise strittig sind die Varianten, in welchen ein Rechtsanwalt als Datenschutzbeauftragter bestellt werden soll, der das Unternehmen gleichzeitig auch rechtlich berät und vertritt. Zu Recht kann man sich hier zunächst die Frage stellen, ob das Tätigkeitsverbot nach § 45 Abs. 1 Nr. 4 BRAO einschlägig ist. Danach ist es dem Anwalt verboten in derselben Angelegenheit tätig zu werden mit der er auch schon außerhalb seiner Anwaltstätigkeit befasst ist. Ein solches Verbot läge vor, wenn die Tätigkeit als externer oder auch interner Datenschutzbeauftragter als unzulässiger Zweitberuf des Anwalts neben der rechtlichen Unternehmensberatung eingestuft würde. Der Anwaltsgerichtshof NRW folgt jedoch hier den Kriterien des BGH und sieht die Stellung und Tätigkeit des Anwalts als Datenschutzbeauftragter gleichzeitig auch als Erfüllung seiner berufsrechtlichen Anwaltstätigkeit an. Nach dieser Ansicht ist mangels Vorliegens eines Zweitberufs § 45 BRAO nicht einschlägig und ein Interessenkonflikt zu verneinen.

Formale Anforderungen an die Benennung eines Datenschutzbeauftragten

Bei der Benennung des Datenschutzbeauftragten müssen zudem noch die formalen Voraussetzungen eingehalten werden. Bezüglich der Form der Benennung ist eingangs festzuhalten, dass diese zwar nicht zwingend schriftlich erfolgen muss, eine Dokumentation jedoch im Rahmen der Nachweisbarkeit einen praktischen Nutzen bringt.

Die eigentliche Benennung des Datenschutzbeauftragten ist unkompliziert und erfolgt gemäß Art. 37 Abs. 7 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit. Im Anschluss kann die interne Veröffentlichung im Unternehmen über das schwarze Brett, das Intranet oder Informationsblätter erfolgen. Die externe Veröffentlichung sollte ebenfalls durch Platzierung an leicht zugänglichen Stellen, wie der Unternehmenswebsite oder in der Datenschutzerklärung erfolgen. Zuletzt ist noch auf den Inhalt der zu veröffentlichen Kontaktdaten zu achten. Zwar kann man den Namen des Datenschutzbeauftragten nennen, Pflicht ist dies jedoch nicht. Folglich sind nur Angaben darüber erforderlich, wie der Datenschutzbeauftragte kontaktiert werden kann, also via E-Mail-Adresse (z.B. datenschutzbeauftragter@maxmustermann.de) oder Postanschrift.

Meldung des benannten Datenschutzbeauftragten gegenüber der Aufsichtsbehörde

Da die entsprechenden Kontaktdaten des Datenschutzbeauftragten auch unverzüglich der zuständigen Aufsichtsbehörde mitgeteilt werden müssen, empfiehlt sich die Orientierung an deren Meldeformularen. Diese befinden sich auf den jeweiligen Websites der Aufsichtsbehörden:

• Baden-Württemberg
• Bayern
• Berlin
• Brandenburg
• Bremen
• Hamburg
• Hessen
• Mecklenburg-Vorpommern
• Niedersachsen
• Nordrhein-Westfalen
• Rheinland-Pfalz
• Saarland
• Sachsen
• Sachsen-Anhalt
• Schleswig-Holstein
• Thüringen

Ob die Meldung auch über Post- oder E-Mail erfolgen kann, hängt von den Vorgaben der jeweiligen Meldebehörde ab.

Mögliche Folgen einer fehlerhaften Benennung des Datenschutzbeauftragten

Verstöße im Rahmen der Benennung des Datenschutzbeauftragten können nach Art. 83 Abs. 4 DSGVO mit einer Geldbuße von bis zu 10.000.000 EUR oder im Fall eines Unternehmens, von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden.

Als Beispiel für einen solchen Datenschutzverstoß und seine unangenehmen Folgen kann Facebook Germany GmbH herangezogen werden. Das Unternehmen musste 51.000 Euro aufgrund eines nicht mitgeteilten Wechsels des Datenschutzbeauftragten zahlen.

Benennungspflichten im Auge behalten

Ob ein Datenschutzbeauftragter für das Unternehmen benannt werden muss oder nicht, kann somit anhand der gesetzlichen Vorgaben aus DSGVO und BDSG, mit einer sorgfältigen Prüfung der Voraussetzungen, beurteilt werden. Stehen dennoch Zweifel hinsichtlich der Benennungspflicht im Raum, darf man diese nicht ignorieren. Die Einholung einer rechtlichen Beratung sollte in diesen Fällen in Betracht gezogen werden, um im Ernstfall unnötige Geldbußen zu vermeiden.