Der Datenschutzbeauftragte in der DSGVO

Mit der DSGVO kommen einige Neuheiten im Datenschutzrecht auf uns zu. Was sich ab dem Geltungszeitraum der Verordnung, dem 25.05.2018, für den Datenschutzbeauftragten ändert, möchten wir Ihnen mit diesem Beitrag aufzeigen.

Der Datenschutzbeauftragte ist in Abschnitt 4 der DSGVO in den Art. 37, 38 und 39 DSGVO genannt. Darin werden der Vorgang der Benennung, die Stellung und die Aufgaben des Datenschutzbeauftragten definiert. Im Gegensatz zur vorherigen Datenschutz-Richtlinie bzw. das BDSG sind diese Punkte präziser ausgeführt.

Pflicht zur Bestellung/Benennung eines Datenschutzbeauftragten

Wann ein Datenschutzbeauftragter von dem Verantwortlichen und dem Auftragsverarbeiter auf jeden Fall zu benennen ist, schreibt Art. 37 I DSGVO vor:

  • Wenn die Datenverarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (mit Ausnahme von Gerichten), die im Rahmen ihrer justiziellen Tätigkeit handeln (Art. 37 I a) DSGVO).
  • Wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung („monitoring“) von betroffenen Personen erforderlich machen (Art. 37 I b) DSGVO).
  • Wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gem. Art. 9 (wie rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, genetische oder biometrische Daten, Gesundheitsdaten, Daten zum Sexualleben und/oder der sexuellen Orientierung) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 besteht (Art. 37 I c) DSGVO).

Darüber hinaus besteht keine Benennungspflicht. Allerdings haben Verantwortlicher oder Auftragsverarbeiter, die Begründung einer Nicht-Benennung nachzuweisen. Aufgrund der besonders hohen Geldstrafe bei Datenpannen ist ein solches Risiko jedoch nicht zu empfehlen und daher die Bestellung eines Datenschutzbeauftragten stets anzuraten (Gola/Klug NJW 2016, 2786, 2787).

Die Kerntätigkeit eines Verantwortlichen im privaten Sektor bezieht sich i.S.d. Erwägungsgrundes (97) der DSGVO auf seine Haupttätigkeiten („core activities“) und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit (Marschall/Müller ZD 2016, 415, 417).

Umfangreich ist die Datenverarbeitung i.S.d. Erwägungsgrundes (91) der DSGVO, wenn große Mengen an Daten auf regionaler, nationaler oder supranationaler Ebene verarbeitet werden, eine große Zahl von Personen betreffen könnten und wahrscheinlich ein hohes Risiko für die Rechte und Interessen der Betroffenen mit sich bringen. Betroffen sind z.B. große Personalabteilungen, Banken, Versicherungswesen oder Gesundheitswesen (Marschall/Müller ZD 2016, 415, 417).

Nach derzeitigem Stand des § 4f I 4 BDSG besteht für nicht-öffentliche Stellen erst dann eine Bestellpflicht eines Datenschutzbeauftragten, wenn eine Mindestanzahl von 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut ist. Erfolgt die Verarbeitung nicht automatisiert, so verpflichtet erst eine Mitarbeiterzahl von mindestens 20 Personen einen Datenschutzbeauftragten zu bestellen. Quantitative Voraussetzungen zur Bestellpflicht gibt es dagegen nach der DSGVO nicht mehr.

Zeitpunkt und Dauer

Eine Vorgabe zum Zeitpunkt und der Dauer der Bestellung eines Datenschutzbeauftragten besteht nach der DSGVO nicht. Zweckmäßig erscheint es jedoch dann und solange zu sein, sobald und solange die Voraussetzungen dafür vorliegen (Marschall/Müller ZD 2016, 415, 416).

Die Öffnungsklausel

Art. 37 IV DSGVO nennt zwei Öffnungsklauseln:

  • Zum einen können Verantwortlicher und Auftragsverarbeiter freiwillig einen Datenschutzbeauftragten bestellen.
  • Zum anderen haben die Mitgliedstaaten die Möglichkeit, weitere nationale Regelungen hinsichtlich der Bestellpflicht zu treffen.

 

(Gola/Klug NJW 2016, 2786, 2787; Schantz NJW 2016, 1841, 1846).

Aufgaben

Nach Art. 39 I DSGVO obliegen diesem zumindest folgende, nicht abschließend aufgezählte Aufgaben:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten (Art. 39 I a) DSGVO).
  • Überwachung (neu) der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien („policies“) des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen (Art. 39 I b) DSGVO) (Marschall/Müller ZD 2016, 415, 418).
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 (Art. 39 I c) DSGVO).
  • Zusammenarbeit mit der Aufsichtsbehörde (Art. 39 I d) DSGVO).
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen (Art. 39 I e) DSGVO).

Der Datenschutzbeauftragte trägt nach Art. 39 II DSGVO bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Neu in diesem Zusammenhang ist die Überwachungsaufgabe (engl. „monitor“, franz. „controler“) des Datenschutzbeauftragten. Was genau darunter zu verstehen ist und ob daraus auch Kontrollpflichten (wofür auch die o.g. Übersetzungen sprechen) und Weisungspflichten resultieren, ist noch nicht genau geklärt, aber lässt Raum für weitere Fragen.

Sollte dies bejaht werden, so trägt der Datenschutzbeauftragte auch entsprechend ein höheres Haftungsrisiko (Marschall/Müller ZD 2016, 415, 418).

In der DSGVO sind weitere Aufgaben zu finden wie z.B. Art. 35 II DSGVO, hier steht der Datenschutzbeauftragte dem Verantwortlichen bei der Datenschutz-Folgenabschätzung beratend zur Seite. Nach Art. 38 VI 1 DSGVO können ihm auch andere Aufgaben und Pflichten übertragen werden, die nicht im Interessenkonflikt zu seinen sonstigen Aufgaben stehen (Marschall/Müller ZD 2016, 415, 419).

Stellung

Die Stellung des Datenschutzbeauftragten ist in Art. 38 DSGVO zu finden. Besonders hervorzuheben ist Art. 38 III 3 DSGVO, wonach der Datenschutzbeauftragte unmittelbar der höchsten Managementebene berichtet. Weiterhin darf er keine Anweisungen bezüglich der Ausübung seiner Aufgaben erhalten. Dies haben der Verantwortliche und der Auftragsverarbeiter sicher zu stellen (Art. 38 I 1 DSGVO). Wegen der Erfüllung seiner Aufgaben darf der Datenschutzbeauftragte weder benachteiligt noch abberufen werden (Art. 38 III 2 DSGVO).

Der Datenschutzbeauftragte ist ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängende Fragen einzubinden (Art. 38 I DSGVO).

Zur Erfüllung seiner Aufgaben sind ihm die erforderlichen Ressourcen und der Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen zur Verfügung zu stellen (Art. 38 II DSGVO).

Auch steht der Datenschutzbeauftragte in allen mit seiner Tätigkeit verbundenen Fragen, auch betroffenen Personen gegenüber, stets beratend zur Seite (Art. 38 IV DSGVO). Selbstverständlich ist er weiterhin an die Wahrung der Geheimhaltung und der Vertraulichkeit gebunden (Art. 38 V DSGVO).

Kompetenzen

Gem. Art. 37 V DSGVO wird der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 DSGVO genannten Aufgaben.

Im Vergleich zum BDSG (§ 4f II) sind die nach der DSGVO geforderten Kompetenzen des Datenschutzbeauftragten viel weiter gefasst (Marschall/Müller ZD 2016, 415, 420).

Fazit

Die Rolle des Datenschutzbeauftragten bleibt weiterhin wie bisher zum größten Teil die einer beratenden. Neu sind die Voraussetzungen der Benennungspflicht ohne quantitative Mindestanforderungen, die Überwachungsfunktion und die Möglichkeit der Aufgabenausweitung. Die rechtlichen Folgen beider bedürfen noch einer Klarstellung.

 

Haben Sie Fragen? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M.
Leistung: Beratung Datenschutzrecht

Tags: , , , , , , , , , ,

Comments are closed.