Datenschutzbeauftragter

Die DSGVO hat die Stellung und die Aufgaben des Datenschutzbeauftragten im Unternehmen verändert. Die Funktion des Datenschutzbeauftragten wird künftig weiterhin an Bedeutung gewinnen, weil das Thema Datenschutz immer mehr in den Fokus rückt und damit in den kommenden Jahren einen der vorderen Plätze unter den Compliance-Themen einnehmen dürfte. 

1. Pflicht zur Benennung eines Datenschutzbeauftragten

Mit dem Erlass der DSGVO wurden neue Kriterien für die Benennungspflicht aufgestellt.

Behörden und öffentliche Stellen sind gemäß Art. 37 Abs. 1 a DSGVO, § 5 BDSG stets verpflichtet, einen Datenschutzbeauftragten zu benennen. 

Unternehmen, Vereine und andere Organisationen sowie Selbständige trifft die Pflicht zur Bestellung eines Datenschutzbeauftragten gemäß Art. 37 Abs. 1 a und b und § 38 BDSG nur dann, wenn (alternativ)

  • ihre Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, mit welchen in erheblichen Umfang die regelmäßige und systematische Überwachung von betroffenen Personen verbunden ist,
  • ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten (u.a. Daten zur ethnischen Herkunft, sexuellen Orientierung, biometrische oder genetische Daten, Gesundheitsdaten) oder Daten über strafrechtliche Verurteilung oder Straftaten besteht,
  • sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigen,
  • sie Verarbeitungen vornehmen, die einer Datenschutzfolgenabschätzung unterliegen (z.B. Videoüberwachung öffentlich zugänglicher Bereiche),
  • sie personenbezogene Daten geschäftsmäßig zum Zwecke der (anonymisierten) Übermittlung und für Zwecke der Markt – oder Meinungsforschung verarbeiten. 

„Kerntätigkeit“ meint nach Erwägungsgrund 97 der DSGVO die Verarbeitung personenbezogener Daten als Haupttätigkeit und nicht als bloße Nebentätigkeit. Die betreffende Datenverarbeitung muss also ein zentraler Bestandteil der unternehmerischen Tätigkeit zur Erreichung der Ziele des Unternehmens sein und nicht bloß eine, das Kerngeschäft unterstützende, Tätigkeit, wie z.B. die Verarbeitung von Personaldaten der eigenen Mitarbeiter. 

Bei der Berechnung der Personenzahl werden alle Personen mitgezählt, die tatsächlich auf die automatisierte Datenverarbeitung (d.h. mit Hilfe von Datenverarbeitungsanlagen wie PCs, Tablets, Smartphones) zugreifen. Ausreichend ist, dass es zur regelmäßigen Aufgabenwahrnehmung der Personen gehört, personenbezogene Daten automatisiert zu verarbeiten und es sich hierbei nicht nur um eine vorübergehende Tätigkeit (z.B. Urlaubsvertretung) handelt. Damit werden Teilzeitmitarbeiter, Leiharbeitnehmer, freie Mitarbeiter usw. mitgezählt. Das gilt auch für die Mitglieder der Geschäftsleitung. 

Falls keine zwingende Benennungspflicht besteht, kann ein Datenschutzbeauftragter auch freiwillig benannt werden. Hierzu ist – ab einer gewissen Größe des Unternehmens – vor dem Hintergrund der zahlreichen Verpflichtungen für datenverarbeitende Stellen (Melde-, Dokumentations-, Schulungs- und Nachweispflichten, Datenschutzfolgenabschätzung) auch dringend anzuraten. 

2. Interner und externer Datenschutzbeauftragter, Konzerndatenschutzbeauftragter

Art. 37 Abs. 6 DSGVO lässt sowohl die Benennung eines Beschäftigten (interner Datenschutzbeauftragter) als auch die Benennung eines Dritten auf Grundlage eines Geschäftsbesorgungsvertrages (externer Datenschutzbeauftragter) zu. Als Datenschutzbeauftragter muss immer eine natürliche Person benannt werden. Der Geschäftsbesorgungsvertrag kann selbstverständlich mit einer juristischen Person abgeschlossen werden. Im Rahmen des Vertrages muss dann derjenige der Beschäftigten der juristischen Person bezeichnet werden, der zum externen Datenschutzbeauftragten des Vertragspartners benannt wird. 

Sowohl dem internen als auch dem externen Datenschutzbeauftragten steht es frei, neben dieser Tätigkeit andere Aufgaben und Pflichten wahrzunehmen. Nicht bestellt werden darf allerdings eine Person, die durch die Wahrnehmung der anderen Aufgaben in einen Interessenkonflikt geraten könnte oder für die eine Gefahr der Selbstkontrolle besteht. Hierzu gehören regelmäßig folgende Tätigkeitsfelder: Geschäftsführung, Leiter IT oder IT-Administrator, Leiter Personal, Geldwäschebeauftragter, Mitglied der Mitarbeitervertretung. 

Bei einer Unternehmensgruppe kann gem. Art. 37 Abs. 2 DSGVO auch ein gemeinsamer Datenschutzbeauftragter („Konzerndatenschutzbeauftragter“) benannt werden. Dessen Sitz muss allerdings so gewählt werden, dass er für Aufsichtsbehörden, betroffene Personen und Mitarbeiter leicht erreichbar ist.

3. Fachliche Eignung des Datenschutzbeauftragten

Der Datenschutzbeauftragte muss gemäß Art. 37 Abs. 5 DSGVO bereits bei Benennung über berufliche Qualifikation und Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis (technisch-organisatorische Kenntnisse, insbes. Kenntnisse der Informations – und Telekommunikationstechnologie und der Datensicherheitsanforderungen) sowie die Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben (Zuverlässigkeit, Integrität, Lernfähigkeit und Belastbarkeit) verfügen. Das erforderliche Niveau des Fachwissens richtet sich nach dem Umfang der Datenverarbeitung und dem Schutzbedarf der verarbeiteten personenbezogenen Daten. Je mehr Daten verarbeitet werden und je sensibler die Daten sind, desto höhere Anforderungen sind an die Qualifikation des Datenschutzbeauftragten zu stellen. 

Vorgaben, wie das erforderliche Fachwissen zu erwerben ist, macht die DSGVO nicht. Das benötigte Fachwissen kann man sich somit grundsätzlich autodidaktisch aneignen, das Vorhandensein einer Zertifizierung oder Ausbildung wird nicht gefordert. Im besten Fall wird die Qualifikation durch den Besuch von Fortbildungsveranstaltungen, die neben rechtlichen Grundlagen auch Praxiswissen zum Datenschutzmanagement und anderen technisch-organisatorischen Aspekten der Aufgaben des Datenschutzbeauftragten umfassen, erworben. 

Um der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachkommen zu können, sollten fachspezifische Schulungen und Fortbildungen sowie fachlich einschlägige Erfahrungen des Datenschutzbeauftragten schriftlich dokumentiert werden.

4. Zeitpunkt und Form der Benennung des Datenschutzbeauftragten

Der Datenschutzbeauftragte ist unverzüglich zu benennen, sobald die Voraussetzungen für eine Benennungspflicht (siehe Ziff. 1 ) vorliegen. 

Eine besondere Form der Benennung kennt die DSGVO nicht. Aus Dokumentations- und Beweisgründen (Nachweispflichten gemäß Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO) sowie wegen der Möglichkeit, die Aufgaben des Datenschutzbeauftragten durch einvernehmliche Vereinbarung zu erweitern, ist es jedoch empfehlenswert, den Datenschutzbeauftragten schriftlich zu benennen.

Da die Zustimmung des Datenschutzbeauftragten Wirksamkeitserfordernis für seine Benennung ist, muss auch dieser das Benennungsdokument unterschreiben. 

5. Kontaktdaten des Datenschutzbeauftragten

Gemäß Art. 37 Abs. 7 DSGVO sind die Kontaktdaten des Datenschutzbeauftragten (mindestens Adresse, Telefonnummer und E-Mail-Adresse) zu veröffentlichen (bspw. auf der Website des Unternehmens und im unternehmensinternen Intranet) und der zuständigen Aufsichtsbehörde mitzuteilen. Fast alle Aufsichtsbehörden bieten die Möglichkeit an, den Datenschutzbeauftragten online zu melden. 

6. Stellung des Datenschutzbeauftragten

Der Datenschutzbeauftragte nimmt die Funktion als Anlaufstelle, Berater und Unterstützer im Zusammenhang mit dem Schutz personenbezogener Daten beim Verantwortlichen/Auftragsverarbeiter ein. Er ist daher gemäß Art. 38 Abs. 1 DSGVO „ordnungsgemäß und frühzeitig“ in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubeziehen, damit ihm eine angemessene Zeit zur Prüfung der Datenverarbeitungen und zur Abwendung von Verletzungen personenbezogener Daten bleibt. 

Der Datenschutzbeauftragte ist hinsichtlich seiner Beauftragtentätigkeit weisungsfrei, er unterliegt dem Benachteiligungsverbot und berichtet unmittelbar gegenüber der höchsten Managementebene.

Bei der Erfüllung seiner Aufgaben ist der Datenschutzbeauftragte gemäß Art. 38 Abs. 5 DSGVO, § 6 Abs. 5 BDSG zur Wahrung der Geheimhaltung oder Vertraulichkeit, insbesondere in Bezug auf die Identität der betroffenen Personen, verpflichtet. Ein Zeugnisverweigerungsrecht steht dem Datenschutzbeauftragten nach § 6 Abs. 6 BDSG zu, soweit ein solches der Leitung des Verantwortlichen oder einer bei diesem beschäftigten Person aus beruflichen Gründen zusteht. Seine Akten und Dokumente unterliegen insoweit einem Beschlagnahmeverbot. 

Der Verantwortliche/Auftragsverarbeiter ist zur Unterstützung des Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben verpflichtet. Er hat ihm hierfür und zur Erhaltung seines Fachwissens die – unter Berücksichtigung der aus Art. 39 Abs. 2 DSGVO folgenden Risikoangemessenheit der Aufgabenerfüllung durch den Datenschutzbeauftragten – erforderlichen materiellen und personellen Ressourcen zur Verfügung zu stellen.

7. Aufgaben des Datenschutzbeauftragten

Die Aufgaben des Datenschutzbeauftragten ergeben sich aus der nicht abschließenden Aufzählung in Art. 39 Abs. 1 DSGVO, § 6 BDSG.

Hierzu gehören:

  • Unterrichtung und Beratung des Verantwortlichen/Auftragsverarbeiters und ihrer Beschäftigten hinsichtlich ihrer datenschutzrechtlichen Pflichten,  
  • Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften (DSGVO, BDSG und weiterer Rechtsvorschriften) sowie der unternehmenseigenen Datenschutzbestimmungen inkl. Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung von Mitarbeitern,
  • Auf Anfrage Beratung des Verantwortlichen bei der von diesem durchzuführenden Datenschutzfolgenabschätzung und Überwachung der Durchführung,
  • Zusammenarbeit mit der Aufsichtsbehörde und Tätigkeit als Anlaufstelle für die Aufsichtsbehörde.

Darüberhinaus ist der Datenschutzbeauftragte gemäß Art. 38 Abs. 4 DSGVO Ansprechpartner für betroffene Personen in allen Fragen zur Verarbeitung ihrer personenbezogenen Daten.

Durch eine einvernehmliche Vereinbarung zwischen dem Verantwortlichen/Auftragsverarbeiter und dem Datenschutzbeauftragten kann das Aufgabenfeld erweitert werden. So können ihm beispielsweise die Durchführung der Datenschutzfolgenabschätzung oder Tätigkeiten in Zusammenhang mit der Meldung von Datenschutzverletzungen übertragen werden.

Es ist nicht zu empfehlen, einen Datenschutzbeauftragten lediglich zu benennen der ansonsten eher passiv tätig bleibt. 

8. Haftung des Datenschutzbeauftragten

Der Datenschutzbeauftragte kann im Rahmen seiner Stellung keine Weisungen erteilen und über Datenverstöße nur berichten aber ihre Ursachen nicht selbst abstellen. Daher enthalten sowohl die DSGVO als auch das BDSG keine Regelungen zur Haftung des Datenschutzbeauftragten für Datenschutzverstöße durch den Verantwortlichen/Auftragsverarbeiter. Es ist vielmehr deren Sache, sicherzustellen und nachweisen zu können, dass die Verarbeitung der personenbezogenen Daten im Einklang mit der DSGVO erfolgt. Gleichwohl sollte der Datenschutzbeauftragte seine Tätigkeiten dokumentieren, um nachweisen zu können, dass er seinen Aufgaben ordnungsgemäß nachgekommen ist.

Die zivilrechtliche Haftung des Datenschutzbeauftragten beschränkt sich regelmäßig auf das Innenverhältnis zwischen ihm und dem Verantwortlichen aus Pflichtverletzungen des Arbeitsvertrags (bei internen Datenschutzbeauftragten) oder des Geschäftsbesorgungsvertrags (bei externen Datenschutzbeauftragten).

Der externe Datenschutzbeauftragte kann im Geschäftsbesorgungsvertrag Haftungsbeschränkungen vorsehen und sollte sein Haftungsrisiko durch eine angemessene Vermögensschadenshaftpflichtversicherung absichern. Eine Haftung droht nicht nur bei falschen oder unvollständigen Auskünften, sondern auch bei Nichtstun. 

9. Abberufungs- und Kündigungsschutz; Ende der Funktion als Datenschutzbeauftragter

Damit der Datenschutzbeauftragte tatsächlich unabhängig und weisungsfrei agieren kann, darf er gemäß Art. 38 Abs. 3 DSGVO im Zusammenhang mit seiner Aufgabenerfüllung nicht abberufen oder benachteiligt werden. 

Gemäß § 6 Abs. 4 i.V.m. § 38 Abs. 2 BDSG genießt der aufgrund rechtlicher Verpflichtung benannte Datenschutzbeauftragte besonderen Kündigungsschutz und zwar bis ein Jahr nach Niederlegung seiner Tätigkeit. Sein Arbeitsverhältnis darf nicht gekündigt werden, es sei denn die Kündigung erfolgt aus einem wichtigen Grund entsprechend § 626 BGB. Es muss also ein schwerwiegender Grund vorliegen, der eine weitere Zusammenarbeit mit dem Datenschutzbeauftragten dauerhaft unmöglich macht. Eine wirksame außerordentliche Kündigung schlägt auf die Benennung durch und führt zur Abberufung.

Die Funktion des Datenschutzbeauftragten endet durch eigene Kündigung des Beschäftigungsverhältnisses oder den Eintritt in den Ruhestand, Wegfall der Benennungspflicht, freiwillige Amtsniederlegung oder einvernehmliche Beendigung der Beauftragtentätigkeit.

10. Rechtsfolgen beim Verstoß

Die vorsätzliche oder fahrlässige Versäumnis einen Datenschutzbeauftragten zu benennen, ihn mit zureichenden Ressourcen auszustatten oder die Beeinträchtigung seiner Unabhängigkeit sind nach Art. 83 Abs. 4 a DSGVO mit Geldbuße von bis zu 10.000.000 Euro oder von bis zu 2% des gesamten weltweit erzielen Jahresumsatzes des Unternehmens im vorangegangenem Geschäftsjahr bedroht.