Zum Inhalt springen Zur Navigation springen
Datenschutzbeauftragter und die DSGVO

Datenschutzbeauftragter und die DSGVO

Die Rolle des Datenschutzbeauftragten ist nicht neu. Während Unternehmen in Deutschland die Position des Datenschutzbeauftragten aus den §§ 4 f und 4 g BDSG a.F. schon lange kannten, dehnt die DSGVO die Pflicht zur Benennung eines Datenschutzbeauftragten nun auf ganz Europa aus. Dabei wird seine Rolle als Instanz der Selbstkontrolle weiter gestärkt.

Ab wann ist die Bestellung eines Datenschutzbeauftragten Pflicht?

Die DSGVO verpflichtet Verantwortliche unter gewissen Umständen einen Datenschutzbeauftragten zu bestellen. Gemäß Art. 37 Abs. 1 lit. b und lit. c DSGVO stellt die DSGVO die sogenannten Kerntätigkeiten in den Mittelpunkt der Verpflichtung: Dabei geht es um Tätigkeiten, die aus Datenverarbeitungsvorgängen bestehen, welche eine umfangreiche, regelmäßige und systematische Überwachung der betroffenen Personen ermöglichen. Außerdem gilt die Bestellungspflicht, wenn die Kerntätigkeit in der Bearbeitung von besonderen Arten personenbezogener Daten liegt.

Daneben besteht die Möglichkeit für die Mitgliedstaaten, den Datenschutzbeauftragten in anderen als den in der DSGVO genannten Fällen obligatorisch vorzuschreiben (Art. 37 Abs. 4 DSGVO). Davon hat Deutschland mit dem § 38 Abs. 1 BDSG Gebrauch gemacht und seine alte Regelung überführt. In unserem ausführlichen Artikel erfahren Sie mehr zum Thema: Pflicht zur Benennung eines Datenschutzbeauftragten.

Datenschutzbeauftragter als Organ der regulierten Selbstkontrolle

Das Konzept des Datenschutzbeauftragten als Organ der Selbstkontrolle fand durch den Einfluss Deutschlands auf die Verhandlungen zu den europäischen Datenschutzvorschriften seinen Weg von Deutschland nach Europa. War dieser in der EU-Datenschutzrichtlinie noch eine optionale Möglichkeit für Mitgliedstaaten, um Datenverarbeitungen nicht bei der Aufsichtsbehörden melden zu müssen, entfiel die Meldepflicht mit der DSGVO und der Datenschutzbeauftragte wurde auf europäischer Ebene verbindlich etabliert.

Was ist regulierte Selbstregulierung / Selbstkontrolle?

Als „Reinformen“ der Regulierung, mit denen der Staat seine objektiven Ziele erreicht, unterscheidet man zwischen imperativer Regulierung und der Selbstregulierung. Bei der imperativen Regulierung legt der Staat selbst Ge- und Verbote fest, die zu befolgen sind, um die Steuerungsziele zu erfüllen. Auch die Einhaltung wird vom Staat kontrolliert. Bei der Selbstregulierung enthält sich der Staat einer Regulierung, da er davon ausgeht, dass die Steuerungsziele durch gesellschaftliche Prozesse selbst erfüllt werden. Es kommt so ohne Beteiligung des Staates zu Prozessergebnissen.

Um die Vorteile sowohl von Selbstregulierung als auch von imperativer Regulierung zu nutzen, gleichzeitig aber die Nachteile dieser Regulierungskonzepte auszugleichen, werden diese Konzepte auf verschiedene Art und Weise kombiniert. Regulierte Selbstregulierung stellt nun eine Mischform aus imperativer Regulierung und Selbstregulierung dar und ist eine Form der Selbstregulierung, die in einem staatlich gesetzten Rahmen bzw. auf rechtlicher Grundlage erfolgt.

Wie kam es zu der Rolle des Datenschutzbeauftragten?

Nachdem Hessen das erste Datenschutzgesetz in Deutschland verabschiedet hatte, gab es bald auch auf Bundesebene die Bestrebung, ein Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung zu erlassen. Im Archiv der Computerwoche findet sich ein Gespräch zwischen dem damaligen Hessischen Datenschutzbeauftragten Prof. Spiro Simitis und dem ADL-Bundesvorsitzenden Thilo Steinbrinck zur Anhörung des BDSG 1977. Eine der strittigen Frage vor der Verabschiedung war, wie denn die neuen Regeln kontrolliert werden sollen. Dabei plädierte die eine Seite für eine Fremdkontrolle durch die Aufsichtsbehörden (mit Melde- und Genehmigungspflichten wie sie z.B. in Österreich vor der DSGVO galten). Die andere Seite sprach sich für eine alternative Selbstkontrolle durch einen Datenschutzbeauftragten aus, dessen Rolle in Anlehnung an den zu diesem Zeitpunkt etablierten Sicherheitsbeauftragten neu erdacht wurde.

Stichworte wie „Selbstregulierung“ und „Selbstdatenschutz“ signalisieren den Perspektivenwandel. Auf Regeln wird zwar nicht verzichtet, der Schwerpunkt verschiebt sich jedoch mehr und mehr vom Gesetzgeber auf die verantwortlichen Stellen. Sie stünden nicht nur der Verarbeitung am nächsten, wüssten also auch am besten, wie man mit ihr umzugehen habe, sondern müssten allein schon wegen des Vertrauens in ihre Tätigkeit konsequent darauf bedacht sein, personenbezogene Daten gegen einen unberechtigten Zugriff abzuschirmen und damit die Interessen der Betroffenen zu wahren. Letztlich könnte deshalb unter Datenschutzgesichtspunkten nichts effektiver sein als eine von den ureigensten Interessen der verantwortlichen Stellen getragene und geforderte Selbstregulierung.

Letzt endlich wurde ein Mischsystem zwischen der Selbstkontrolle der Verantwortlichen und der Fremdkontrolle durch die Aufsichtsbehörden etabliert, wobei der Schwerpunkt bei der Selbstkontrolle lag. Vorbild dafür war das in den amerikanischen Staaten beliebten Modell der Co-Regulierung. In Verbindung mit weiteren Vorkehrungen wie dem Auskunftsrecht des Betroffenen sowie Straf- und Bußgeldvorschriften sollte dadurch eine wirksame Kontrolle gewährleistet werden.

Die Position des Datenschutzbeauftragten im Unternehmen

In Hinblick auf diese Rolle als Organ der regulierten Selbstkontrolle hat der Gesetzgeber mit Art. 38 DSGVO die Position des Datenschutzbeauftragten durch folgende Punkte ausgestaltet.

Berichterstattung und Beratung der höchsten Managementebene

Nach Art. 38 Abs. 3 Satz 3 DSGVO berichtet der Datenschutzbeauftragte unmittelbar an die höchste Managementebene des Verantwortlichen. Er analysiert und kontrolliert im Idealfall den Stand des Datenschutzniveaus im Unternehmen und macht in diesem Rahmen der Geschäftsleitung Vorschläge zur Verbesserung oder weist auf Defizite hin. Der Datenschutzbeauftragte hat demnach keine eigene Entscheidungsgewalt und untersteht lediglich der höchsten Managementebene des Unternehmens. Er führt selbst eigentlich keine „Datenschutzmaßnahmen“ durch, sondern diese überwacht nur und hat auch keine Abhilfebefugnisse bei Verstößen.

Weisungsfreiheit und Benachteiligungsverbot

In der Ausübung seiner Tätigkeit ist der Datenschutzbeauftragte nach Art. 38 Abs. 3 S. 1 DSGVO nicht an Weisungen gebunden. Die Unabhängigkeit des Datenschutzbeauftragten ist als zwingende Voraussetzung einer wirkungsvollen Aufgabenwahrnehmung anzusehen.

Nach Art. 38 Abs. 3 S. 2 DSGVO darf der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben zwar nicht abberufen oder benachteiligt werden. Einen vollumfassenden Kündigungsschutz normiert die DSGVO nicht. So ist nach der DSGVO eine betriebsbedingte Kündigung grundsätzlich möglich. Dieses „Loch“ hat der deutsche Gesetzgeber auf nationaler Ebene gestopft und die DSGVO steht einem solchen weiten Kündigungsschutz nicht entgegen.

Einbeziehungs- und Unterstützungsgebot

Gemäß Art. 38 Abs. 1 DSGVO stellen der Verantwortliche und der Auftragsverarbeiter sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.

Damit der Datenschutzbeauftragte seine Aufgaben erfüllen kann, müssen der Verantwortliche bzw. der Auftragsverarbeiter diesem

  1. die erforderlichen Ressourcen und
  2. den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie
  3. die zur Erhaltung seines Fachwissens erforderlichen Ressourcen

zur Verfügung stellen (vgl. Art 38 Abs. 2 DSGVO).

Ansprechpartner für Betroffene

Der Datenschutzbeauftragte fungiert oft auch als erste Anlaufstelle für Betroffene vor der Aufsichtsbehörde. Er kann von den Betroffenen zu allen mit der Verarbeitung ihrer personenbezogenen Daten und der Wahrnehmung ihrer Rechte nach der DSGVO im Zusammenhang stehenden Fragen kontaktiert werden (Art. 38 Abs. 4 DSGVO). In diesem Zusammenhang kontrolliert er auch, ob die internen Prozesse zur Wahrnehmung von Betroffenenrechten funktioniert haben. Ein Beratungsangebot für Betroffene ist aber keine gesetzlich vorgesehene Aufgabe des Datenschutzbeauftragten. Er agiert lediglich als Kontaktperson und erste Revisionsinstanz für die Betroffenen und nicht als „Anwalt der Betroffenen“.

Datenschutzbeauftragter = verlängerter Arm der Aufsichtsbehörde?

Eine besonders pikante Verpflichtung des Datenschutzbeauftragten als interne Kontrollinstanz ist die, mit der Aufsichtsbehörde zusammenzuarbeiten (Art. 39 Abs. 1 lit. d DSGVO) und dieser – in mit der Verarbeitung zusammenhängenden Fragen – als „Anlaufstelle“ zu dienen, einschließlich bei einer „vorherigen Konsultation gemäß Art. 36 DSGVO, und gegebenenfalls Beratung zu allen sonstigen Fragen“ (Art. 39 Abs. 1 lit. e DSGVO).

Diese Kooperationspflicht bedeutet aber nicht, dass die Aufsichtsbehörde vom Datenschutzbeauftragten beauskunften lassen kann, wo beim Verantwortlichen der Schuh drückt, oder der Datenschutzbeauftragten Datenschutzverstöße bei der Behörde proaktiv melden muss. Mangels Entscheidungsbefugnissen und aufgrund seiner gesetzlichen Geheimhaltungs- und Vertraulichkeitspflicht (Art. 38 Abs. 5 DSGVO) kann er zwar als Ansprechpartner für die Aufsichtsbehörden fungieren, allerdings nicht über die Herausgabe von Dokumenten oder die Zurverfügungstellung von Informationen entscheiden. Zudem besteht eine (arbeitsrechtliche) Treuepflicht der Datenschutzbeauftragten gegenüber dem Verantwortlichen bzw. Auftragsverarbeiter, die es erfordert, dass der Datenschutzbeauftragte vorrangig alle internen Maßnahmen zur Beseitigung der Verstöße ausschöpft.

Insoweit kommt ihm tatsächlich „nur“ die Rolle des Vermittlers, Kommunikators und allenfalls Moderators zu. Der Datenschutzbeauftragte ist und bleibt ein Organ der Selbstkontrolle. Nach außen ist er Teil der durch ihn beratenen Einrichtung und nicht „verlängerter Arm“ der Aufsichtsbehörde .

DSB: „Mittler“ zwischen Unternehmen und Aufsichtsbehörde

Die Rolle des Datenschutzbeauftragten wird durch die DSGVO weiter gestärkt und erweitert. Als „Doppelrolle“ ist er einerseits umfassend zur Zusammenarbeit mit der Aufsichtsbehörde verpflichtet, andererseits darf er nicht für den Unternehmen nach außen auftreten. Er ist ein Organ der Selbstkontrolle des Verantwortlichen und soll durch Beratung und Überwachung einen effektiven Schutz personenbezogener Daten sicherstellen. Nach außen ist er Teil der durch ihn beratenen Einrichtung, nicht „verlängerter Arm“ der Aufsichtsbehörde.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Ich brauche einen juristischen Rat bezüglich einer Behörde, die meine Daten und die meine Sohnes mit einer Wohngesellschaft austauschten. Der DSBeauftragte des Landes NRW hat den Verstoß bestätigt. Das Rathaus meint es wäre ja nicht so schlimm, man hätte ja nicht mal Bus Geld zahlen müssen. Ich ärgere mich darüber. Meine Depressionen verschlimmerten sich und auch die meines Sohnes. Ich könnte einen Rat brauchen.

    • Wir dürfen im Rahmen des Blogs keine Rechtsberatung anbieten. Privatpersonen, die eine Frage zum Datenschutzrecht haben, können sich bei dem/r für Sie zuständigen Landesdatenschutzbeauftragten / Aufsichtsbehörde kostenlos beraten lassen. Eine Übersicht inklusive Telefonnummern finden Sie hier.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.