Datenschutz-Grundverordnung – Datenschutzbeauftragter

screening 05
Fachbeitrag

Ein betrieblicher Datenschutzbeauftragter muss mit dem in Kraft treten der Datenschutz-Grundverordnung (DSGVO) europaweit spätestens bis Mai 2018 von Unternehmen bestellt werden, deren Tätigkeit einer besonderen Kontrolle bedarf (Art. 35 ff. DSGVO). Damit schafft die DSGVO eine Funktion, die vielerorts unbekannt ist. Dieser Artikel ist Teil unserer Reihe zur Datenschutz-Grundverordnung.

Bestellung eines Datenschutzbeauftragten

Wann besteht eine Bestellpflicht nach der Datenschutz-Grundverordnung?

Ab 2018 gilt die Datenschutz-Grundverordnung und es wird erstmals eine europaweit geltende Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten geben (Art. 35 ff. DSGVO). Diese ist bindend sofern ein Unternehmen einer Tätigkeit nachgeht, die aus datenschutzrechtlicher Sicht einer besonderen Kontrolle bedarf. Darüber hinaus kann jedes Unternehmen einen Datenschutzbeauftragten freiwillig bestellen.

Nach Art. 37 Abs. 1 DSGVO ist ein betrieblicher Datenschutzbeauftragter unter bestimmten Bedingungen zu benennen:

„(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn […]

b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

c) die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der umfangsreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“

Ziffer b) dürfte dabei insbesondere für Unternehmen, deren Kerngeschäft der Handel mit personenbezogenen Daten ist („Daten als Ware“), Auskunfteien oder Adresshändler gelten.

Welchen Einfluss haben Öffnungsklauseln für EU-Mitgliedstaaten?

Darüber hinaus gibt die DSGVO den EU-Mitgliedstaaten die Möglichkeit, nationale Sonderregelungen in Bezug auf die Bestellung eines betrieblichen Datenschutzbeauftragten zu schaffen. Ob und inwiefern die einzelnen EU-Mitgliedstaaten von dieser sog. Öffnungsklausel Gebrauch machen werden, ist noch nicht abschließend geklärt. Deutschland hat sich jedoch bereits als Befürworter ausgesprochen und möchte ein ähnliches System, wie das bisherige, weiterführen. Es wird erwartet, dass sich die zukünftige deutsche Regelung inhaltlich an der Bestellpflicht von § 4 f Abs. 1 BDSG orientieren wird.

Ist weiterhin eine schriftliche Bestellung erforderlich?

Auch hier gibt es weitreichende Unterschiede zum bisherigen Verfahren. Bis dato muss nach dem BDSG ein betrieblicher Datenschutzbeauftragter schriftlich bestellt werden (vgl. § 4 f Abs. 1 S. 1 BDSG).

Der Wortlaut der Datenschutz-Grundverordnung spricht nur noch von einer „Benennung“ des Datenschutzbeauftragten. Eine tatsächliche schriftliche Bestellung ist nicht mehr erforderlich. Allerdings sieht die DSGVO in Art. 37 Abs. 7 vor, dass

„Der Verantwortliche oder der Auftragsverarbeiter […] die Kontaktdaten des Datenschutzbeauftragten [veröffentlicht] und […] diese Daten der Aufsichtsbehörde mit[teilt]“

Die DSGVO erfordert zukünftig also die Benennung eines Datenschutzbeauftragten und die Mitteilung an die Aufsichtsbehörden, sofern eine „Benennungspflicht“ besteht.

Ob das bisherige Schriftlichkeitserfordernis in Deutschland in Zukunft Bestand hat, hängt von der kommenden Sonderregelung in Bezug auf die Bestellung eines betrieblichen Datenschutzbeauftragten in Deutschland ab.

Kann ein Konzerndatenschutzbeauftragter bestellt werden?

Die Funktion eines Konzerndatenschutzbeauftragten ist dem BDSG unbekannt; gleichwohl untersagt das Gesetz die Bestellung eines solchen nicht. Die EU-Datenschutz-Grundverordnung nimmt hierzu hingegen klar in Art. 37 Abs. 2 DSGVO Stellung:

„Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.“

Gehören zu einem Konzern auch Gesellschaften außerhalb der EU, sollte der Datenschutzbeauftragte seinen Sitz in einer konzernangehörigen Gesellschaft in der EU haben, um die leichte Erreichbarkeit zu gewährleisten.

Auch Behörden und öffentlich Stellen können zukünftig einen gemeinsamen Datenschutzbeauftragten bestellen (Absatz 3).

Interner oder externer Datenschutzbeauftragter?

Grundsätzlich kann ein Unternehmen wählen, ob die Position des betrieblichen Datenschutzbeauftragten intern oder extern besetzt wird. Viele Unternehmen bedienen sich heutzutage der Möglichkeit einen externen Datenschutzbeauftragten zu bestellen, um ihre eigenen internen Ressourcen besser nutzen zu können und von den Vorteilen des spezifischen Fachwissens eines externen Datenschutzbeauftragten zu profitieren.

Diese Möglichkeit regelt die Datenschutz-Grundverordnung nunmehr ebenfalls explizit in Art. 37 Abs. 6 DSGVO. Ein Unternehmen sollte daher die Vor- und Nachteile eines internen bzw. externen Datenschutzbeauftragten genau abwägen.

Welche Sanktionen drohen bei fehlender Bestellung eines Datenschutzbeauftragten?

Die vorsätzliche oder fahrlässige Versäumnis einen betrieblichen Datenschutzbeauftragten zu bestellen, diesen nicht in der vorgeschrieben Weise oder nicht rechtzeitig zu bestellen, stellt gemäß § 43 Abs. 1 Nr. 2 BDSG bereits heute eine Ordnungswidrigkeit dar, die mit einem Bußgeld in Höhe von bis zu 50.000 € belegt werden kann.

Die Datenschutz-Grundverordnung teilt diese Auffassung und sieht ein Bußgeld von bis zu 10 Mio € oder 2 % des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist (vgl. Art. 83 Abs. 4 lit. A DSGVO).

Anforderungen an einen Datenschutzbeauftragten

Welche Kriterien muss ein Datenschutzbeauftragter erfüllen?

Unabhängig davon ob sich ein Unternehmen für einen internen oder externen Datenschutzbeauftragten entschieden hat, sollte die auserwählte Person gewisse Anforderungen erfüllen, um das Unternehmen bei der Umsetzung etwaiger Datenschutzregelungen gezielt unterstützen zu können.

Die Datenschutz-Grundverordnung (Art. 37 Abs. 5 DSGVO) tut es hinsichtlich der Anforderungen an einen betrieblichen Datenschutzbeauftragten dem BDSG (§ 4f Abs. 2 S. 1 und 2 BDSG) gleich und fordert

  • eine gewisse berufliche Qualifikation,
  • das Fachwissen auf dem Gebiet des Datenschutzes und der Datenschutzpraxis und
  • die Fähigkeiten zur Erfüllung der gesetzlich definierten Aufgaben.

Durch stetige Neuentwicklungen werden Datenschutzbeauftragte ständig gefordert, so dass eine stete Weiterbildung im IT- und juristischen Bereich unerlässlich ist, um den immer komplexeren Fragestellungen gerecht werden zu können. Die Komplexität der Fragestellung wird dabei nicht nur durch technologische Neuentwicklungen, sondern auch durch die Komplexität der Datenverarbeitung und Größe des Betriebs definiert. Spätestens mit der Anwendbarkeit der noch komplexeren DSGVO sollte der Faktor der juristischen Qualifikation eines betrieblichen Datenschutzbeauftragten nicht unterschätzt werden, auch wenn grundsätzlich jedermann Datenschutzbeauftragter sein kann.

Darf wirklich „jedermann“ Datenschutzbeauftragter werden?

Unternehmen sollten jedoch auch darauf achten, dass kein Interessenskonflikt entsteht. Dies kann theoretisch hauptsächlich bei internen Datenschutzbeauftragten der Fall sein. Interessenkonflikte entstehen insbesondere dann, wenn der designierte Datenschutzbeauftragte zusätzlich einer anderen Tätigkeit nachgeht, was ihm grundsätzlich auch gestattet ist, und sich dann u.U. selbst kontrollieren muss. Dies wird insbesondere bei Mitarbeitern der IT-Abteilung, Personalabteilung und der Geschäftsführung angenommen. Auch die DSGVO nimmt diesen Punkt in Art. 38 Abs. 6 BDSG ausdrücklich mit auf.

Ist die Unabhängigkeit des Datenschutzbeauftragten weiterhin gewährleistet?

Ja. Auch die Datenschutz-Grundverordnung stellt in Art. 38 Abs. 3 S. 1 die Weisungsfreiheit des betrieblichen Datenschutzbeauftragten sicher.

Auch zukünftig berichtet der betriebliche Datenschutzbeauftragte der Geschäftsleitung und ist gemäß  Art. 38 Abs. 3 S. 3 DSGVO unmittelbar der höchsten Managementebene unterstellt, sofern es keine näheren Bestimmungen in nationalen Sonderregelungen gibt.

Besteht in der Datenschutz-Grundverordnung weiterhin ein Benachteiligungsverbot?

Nach Art. 38 Abs. 3 S. 3 DSGVO darf der betriebliche Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Hingegen findet man in der Datenschutz-Grundverordnung keinerlei Anhaltspunkte für einen Sonderkündigungsschutz, wie er derzeit in § 4f Abs. 3 S. 5 und 6 BDSG geregelt ist. Die in Art. 37 Abs. 4 DSGVO verankerte Öffnungsklausel zum Datenschutzbeauftragten findet hingegen keinerlei Anwendung auf das Benachteiligungsverbot.

Welche Aufgaben und Pflichten hat ein Datenschutzbeauftragter nach der DSGVO?

Die Aufgaben und Pflichten eines betrieblichen Datenschutzbeauftragten sind in Art. 39 DSGVO geregelt und umfassen:

  • Unterrichtung und Beratung der Verantwortlichen, der Auftragsverarbeiter und der Beschäftigten
  • Überwachung der Einhaltung der DSGVO und nationalen Sonderregelungen
  • Sensibilisierung und Schulung
  • Beratung und Überwachung im Zusammenhang mit der Datenschutz-Folgenabschätzung
  • Zusammenarbeit mit der Aufsichtsbehörde

Grundsätzlich bleibt für die Einhaltung der datenschutzrechtlichen Vorschriften das Unternehmen selbst verantwortlich; der betriebliche Datenschutzbeauftragte wirkt insofern weiterhin in ausreichendem Maße auf die Einhaltung hin. Die Aufgaben ähneln denen aus dem BDSG bekannten sehr.

Um diesen Aufgaben und Pflichten nachkommen zu können, regelt die Datenschutz-Grundverordnung explizit, dass der Datenschutzbeauftragte „ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen“ einzubinden ist (vgl. Art. 38 Abs. 1 DSGVO).

Was sollten Unternehmen jetzt tun?

Grundsätzlich empfiehlt es sich jedoch unabhängig von einer etwaigen Bestellpflicht einen betrieblichen Datenschutzbeauftragten zu bestellen, um so die Umsetzung der Datenschutz-Grundverordnung in ihrem Unternehmen auf die effektivste Weise voran zu treiben und startklar für Mai 2018 zu sein.

Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

12 Kommentare zu diesem Beitrag

  1. Wie ist denn die Regelung in Art. 37 Abs. 4 DS-GVO zu verstehen? Können demnach alle möglichen Interessenverbände, Lobbyisten, Abmahnclubs und aber auch zB Arbeitgeberverbände oder Spitzenverbände ihrer jeweiligen Branchen so eine Art Verbands-Datenschutzbeauftragten benennen? Und was macht der genau? Aus Erwägungsgründen 97 und 98 der DSGVO ergibt sich dazu leider nichts.

    • Eine sehr gute Frage, Herr Meissner. Leider gibt es hierzu noch keinerlei Konkretisierungen im Hinblick auf die DSGVO oder die potentielle deutsche Regelung aufgrund der Öffnungsklausel. Hinsichtlich der Aufgaben eines „Verbands-Datenschutzbeauftragten“ lässt sich aus Erwägungsgrund 98 und Art. 39 DSGVO schließen, dass die Aufgaben voraussichtlich die gleichen sein werden wie bei einem „normalen“ Datenschutzbeauftragten. Wir behalten Ihre Frage im Blick.

  2. Vielen Dank für die Ausführungen!
    Mich interessiert das Thema Datenschutzbeauftragter aus der Sicht eines behördlichen DSB (in NRW). Gem. § 32a Abs.1 DSG NRW gibt es die Möglichkeit, dass mehrere Behörden einen “gemeinsamen” DSB bestellen.
    Ist das nach der DSGVO auch noch möglich? Muss eine zur Zeit bestehende Bestellung als gemeinsamer behördlicher DSB erneuert werden? Vielen Dank für eine Antwort!

    • Nach den bisherigen Informationen können auch Behörden und öffentlich Stellen zukünftig einen gemeinsamen Datenschutzbeauftragten bestellen (Art. 37 Abs.3 DSGVO). Wie die Bestellung eines DSB, eines Konzern-DSB oder gemeinsamen DSB für Behörden und öffentliche Stellen tatsächlich aussieht, ist bis dato noch unklar. Die Aufsichtsbehörden haben sich diesbezüglich noch nicht weiter geäußert. Grundsätzlich sind hier wohl nähere Informationen zu erwarten, wenn sich Deutschland mit dem Datenschutzbeauftragten nach der DSGVO auf Grund der Öffnungsklausel näher auseinandersetzt.
      Nach dem Wortlaut der DSGVO ist nur eine „Bennenung“ + Meldung an die Aufsichtsbehörden erforderlich (siehe Artikel). Inwiefern hier ähnliche oder strengere Anforderungen aus Deutschland kommen, steht in den Sternen.

  3. Hallo Dr. Datenschutz,
    ist es richtig, dass mit Einführung der DS-GVO der bisherige besondere Kündigungsschutz des DSB entfällt, da Art. 38 III keinen solchen vorsieht und auch keine Öffnungsklausel beinhaltet? Danke!

    • Wie bereits im Artikel ausgeführt, darf der betriebliche Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden (Art. 38 Abs. 3 S. 3 DSGVO). Allerdings findet man in der DSGVO keinerlei Anhaltspunkte für einen Sonderkündigungsschutz, wie er derzeit in § 4f Abs. 3 S. 5 und 6 BDSG geregelt ist. Die in Art. 37 Abs. 4 DSGVO verankerte Öffnungsklausel zum Datenschutzbeauftragten findet hingegen keinerlei Anwendung auf das Benachteiligungsverbot. Daher ist es nicht zu erwarten, dass hier eine Möglichkeit besteht, den derzeit bestehenden Kündigungsschutz aufrechtzuerhalten.

  4. Sehr geehrter Herr Dr. Datenschutz,
    in Art. 37 (6) DSGVO heißt es: “Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.”
    Demnach ist es also möglich, dass (erstmals) auch ein “externer” (also kein Behördenbediensteter) zum DSB einer Behörde benannt wird!?

    • Nach Art. 37 Abs. 6 DSGVO werden in Zukunft sowohl nicht-öffentliche Stellen als auch Behörden einen Externen mit der Tätigkeit des Datenschutzbeauftragten betrauen können. Ob es hier auf Grund der Öffnungsklausel für nationale Sonderregelungen noch Veränderungen geben wird, ist bis dato nicht bekannt.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.