1. Bestellpflicht nach DS-GVO
Nach der DS-GVO ist ein Datenschutzbeauftragter (DSB) in folgenden Fällen verpflichtend zu bestellen (vgl. Art. 37 Abs. 1):
• Art. 37 Abs. 1 Buchst. a) DS-GVO: Personenbezogene Datenverarbeitung durch Behörde / öffentliche Stelle (Ausnahme: Rechtsprechung)
• Art. 37 Abs. 1 Buchst. b) DS-GVO: Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/ oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen.
• Art. 37 Abs. 1 Buchst. c) DS-GVO: Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Art. 9 DS-GVO) oder von Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DS-GVO).
Die für Unternehmen maßgebliche Bestellpflicht der beiden letztgenannten Fallgruppen hat jeweils zwei Voraussetzungen. Erstens muss die die Bestellpflicht auslösende personenbezogene Datenverarbeitung zur „Kerntätigkeit“ des für die Verarbeitung Verantwortlichen bzw. Auftragsverarbeiters gehören. Zweitens muss die Tätigkeit bestimmte inhaltliche Voraussetzungen erfüllen, nämlich das Erfordernis einer umfangreichen regelmäßigen und systematischen Beobachtung oder die umfangreiche Verarbeitung von Daten im Sinne von Art. 37 Abs. 1 Buchst. c) DS-GVO. In der englischen Fassung der DS-GVO, die Gegenstand der Trilogverhandlungen war, ist anstelle von „Kerntätigkeit“ (Singular) von „core activities“ (Plural) die Rede. „Core activities“ sind alle Geschäftsbereiche, die entscheidend sind für die Umsetzung der Unternehmensstrategie, die ihren Ausdruck findet in Kundenservice, Marketing, Produktdesign etc. Keine Aktivitäten in diesem Sinne sind routinemäßige Verwaltungs- und Erhaltungsaufgaben. Es genügt also, wenn die die Bestellpflicht auslösende Tätigkeit einen (!) Hauptzweck der betreffenden Stelle darstellt. „Beobachtung“ meint umfangreiche regelmäßige und systematische personenbezogene Auswertungen, insbesondere die Vornahme von Profilbildungen.
Biepsiele:
Beispiele für Bestellpflicht nach Art. 37 Abs. 1 Buchst. b) DS-GVO:
Auskunfteien; Detekteien; Versicherungsunternehmen (Risikomanagement oder individualisierte Tarife wie „Pay as you drive“); Marketing auf Basis detaillierter Kunden- und Interessentenprofile.
Beispiele für Bestellpflicht nach Art. 37 Abs. 1 Buchst. c) DS-GVO:
Gesundheitseinrichtungen, wie z.B. Krankenhäuser; mit genetischen Untersuchungen befasste Labors; Beratungsstellen wie Pro Familia; Dienstleister im biometrischen ID-Management oder Anbieter von Erotikartikeln.
Quelle:
GDD-Praxishilfe DS-GVO I – Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung, Version 1.0, Stand November 2016
URL: https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo
2. Anforderungen an die Bestellung
2.1 Notwendige Qualifikation und persönliche Voraussetzungen
Die DS-GVO stellt folgende Anforderungen an die notwendige Qualifikation und persönlichen Voraussetzungen, die ein DSB mitzubringen hat:
• Benennung auf Basis der beruflichen Qualifikation und insbes. des Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie der Fähigkeit zur Erfüllung der in Art. 39 genannten Aufgaben (Art. 37 Abs. 5 DS-GVO)
Die DS-GVO (Art. 38 Abs. 6 S. 2) verbietet wie das BDSG Interessenkonflikte.
2.2 Form und Dauer der Bestellung
Die Form der Bestellung wird durch die DS-GVO nicht geregelt. Zur Gewährleistung von Rechtssicherheit und aus Dokumentationsgründen ist eine Bestellung zumindest in Textform jedoch ratsam. Während der Kommissionsentwurf noch eine Mindestdauer von zwei Jahren verlangte, enthält die finale Fassung der DS-GVO im Hinblick auf die Dauer der Bestellung keine Vorgaben mehr. Dies bedeutet gleichwohl nicht, dass beliebig kurze Befristungen
möglich sind, vielmehr muss die Unabhängigkeit des Datenschutzbeauftragten (ErwG 97) gewährleistet bleiben. Sofern die Fristen so kurz sind, dass sie den Beauftragten hindern, effektiv seine Aufgaben wahr- und auch unliebsame Positionen gegenüber Unternehmensleitung und Fachabteilung einzunehmen, ist von einer Unwirksamkeit
der Befristung auszugehen.
2.3 Publizität der Bestellung
Im Verhältnis zum bisherigen nationalen Recht sieht die DS-GVO eine verstärkte Publizität des Datenschutzbeauftragten vor, indem die „Kontaktdaten“ des Datenschutzbeauftragten zu veröffentlichen und der Aufsichtsbehörde mitzuteilen
sind (Art. 37 Abs. 7 DS-GVO).
2.4 Möglichkeit der externen Bestellung und der Bestellung von Konzern-DSBs
Explizit regelt die DS-GVO dagegen die Möglichkeit der externen Bestellung (Art. 37 Abs. 6 DS-GVO) sowie der Bestellung eines gemeinsamen Datenschutzbeauftragten in Unternehmensgruppen
(Art. 37 Abs. 2 DS-GVO). Die Möglichkeit der Berufung eines solchen gemeinsamen Beauftragten ist mit der Bedingung verbunden, dass dieser von jeder Niederlassung aus „leicht erreicht werden kann“. Die nicht. Zu den Fachkundeanforderungen bislang vgl. Beschluss des Düsseldorfer Kreises vom 24./25. November 2010: Mindestanforderungen
an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG). Abrufbar unter: https://www.lda.
bayern.de/media/dk_mindestanforderungen_dsb.pdf
Das Erfordernis der persönlichen Integrität des Datenschutzbeauftragten ist in der DS-GVO nicht explizit geregelt, ergibt sich aber aus seiner Aufgabenstellung, Ansprechpartner
des Unternehmens und der betroffenen Personen zu sein.
Wie ein Vergleich mit Art. 13 Abs. 1 Buchst. a) DS-GVO zeigt, wo von „Name und Kontaktdaten“ die Rede ist, setzt die Angabe der bloßen Kontaktdaten, z.B. auf
der Homepage, nicht zwingend voraus, dass auch der Name des Datenschutzbeauftragten genannt wird. Im Verhältnis zur Aufsichtsbehörde ist die namentliche Nennung des Beauftragten gleichwohl sinnvoll (vgl. auch Art. 30 Abs. 1 Buchst. a) i.V.m. Abs. 4 DS-GVO).
GDD-Praxishilfe DS-GVO I / Stand: November 2016 7
leichte Erreichbarkeit impliziert den persönlichen und sprachlichen Zugang für die Verantwortlichen der einzelnen Konzernunternehmen sowie die Beschäftigten
als betroffene Personen. Zur Frage, ob auch eine juristische Person als Datenschutzbeauftragter bestellt werden kann, äußert sich Art. 37 DS-GVO nicht (zum Streitstand vgl. GDD-Ratgeber, Der betriebliche Datenschutzbeauftragte, 2014,
S. 38 f.). In der Literatur ist zudem umstritten, ob die in der DS-GVO enthaltene Regelung zur Bestellung eines gemeinsamen Datenschutzbeauftragten innerhalb der Unternehmensgruppe auch dazu führt, dass in Zukunft die Bestellung zentral durch
das herrschende Unternehmen erfolgen kann und damit der administrative Aufwand von Mehrfachbestellungen entfällt.
3. Stellung des Datenschutzbeauftragten
3.1 Unabhängigkeit
Kern der Rechtsstellung des Datenschutzbeauftragten ist seine Unabhängigkeit. Als übergeordnete Gewährleistung wird diese in ErwG 97 der DS-GVO angesprochen. Die unmittelbaren Ausprägungen der Unabhängigkeit, nämlich insbesondere die Unabhängigkeit von fachlichen Weisungen und die Verpflichtung zur Gewährleistung eines unmittelbaren Berichtswegs des Datenschutzbeauftragten zur höchsten Managementebene sind im normativen Teil der DS-GVO geregelt (Art. 38 Abs. 3 S. 1 und 3). Im Sinne eines effektiven Datenschutzmanagements ist es sinnvoll, den Datenschutzbeauftragten auch organisatorisch unmittelbar der Leitung des für die Verarbeitung Verantwortlichen zu unterstellen, denn die damit verbundene Sonderstellung verschafft ihm bei denjenigen, die personenbezogene Daten verarbeiten, die notwendige Autorität.
3.2 Abberufungsschutz und Benachteiligungsverbot
Zum Schutz des Datenschutzbeauftragten gewährleistet die DS-GVO Abberufungsschutz sowie ein Benachteiligungsverbot (Art. 38 Abs. 3 S. 2 DSGVO).
Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Möglich ist jedoch nach der DS-GVO ein betriebsbedingter Wegfall der Bestellung. Ebenso wenig genießt der Datenschutzbeauftragte nach der DS-GVO besonderen arbeitsrechtlichen
Schutz. Auf Grund seiner Befugnis zur Regelung des materiellen Arbeitsrechts ist dem nationalen Gesetzgeber jedoch unbenommen, einen Sonderkündigungsschutz für Datenschutzbeauftragte auf nationaler Ebene weiterhin vorzusehen.
Die Notwendigkeit eines solchen Schutzes hat der Gesetzgeber 2009 selbst explizit festgestellt (BT-Drs. 16/12011, S. 30).
3.3 Anspruch auf Einbindung, Unterstützung und Fortbildung
Vergleichbar dem BDSG sieht auch die DS-GVO einen Anspruch des Datenschutzbeauftragten auf Einbindung, Unterstützung und Fortbildung vor (Art. 38
Abs. 1 und 2 DS-GVO), der im Einzelnen Folgendes umfasst:
• Ordnungsgemäße und frühzeitige Einbindung in alle mit dem Schutz pb Daten zusammenhängenden Fragen
• Unterstützung bei der Aufgabenerfüllung
• Ressourcen zur Aufgabenwahrnehmung / Erhaltung des Fachwissens
• Zugang zu pb Daten und Verarbeitungsvorgängen
GDD-Praxishilfe DS-GVO I / Stand: November 2016 8
Zu den notwendigen Ressourcen im Hinblick auf die Aufgabenwahrnehmung gehört es dabei nach wie vor insbesondere, dass dem Datenschutzbeauftragten die notwendigen zeitlichen Kapazitäten zur Wahrnehmung seiner Aufgabe zur Verfügung gestellt werden. Das konkrete Maß der erforderlichen Unterstützung ist im Einzelfall zu bestimmen.
Kriterien für eine ausreichende finanzielle und materielle Ausstattung sowie
ein angemessenes Zeitbudget für die Wahrnehmung der gesetzlichen
Aufgaben sind beispielsweise:
• Größe des Unternehmens
o Anzahl der Mitarbeiter
o Anzahl der Standorte/ Betriebsstätten
• Organisation des Unternehmens
o Einbindung in eine Konzernstruktur
o national oder international
o Matrixorganisation
o Komplexität der Geschäftsprozesse
o Home-Office/Telearbeit
o Außendienst-/Vertriebsorganisation
o Delegationsmöglichkeiten (Rechtsabteilung/
Revisionsabteilung/ITSicherheitsbeauftragter/ externe Berater)
• Inanspruchnahme externer Dienstleister (Outsourcing)
• Branche
• Art und Anzahl der zu verwaltenden Personengruppen (Mitarbeiter, Kunden, Lieferanten, Dritte, Kontaktpersonen etc.)
• Sensibilität der verarbeiteten personenbezogenen Daten bzw. der verwendeten Verfahren
3.4 DSB als „Anwalt der Betroffenen“/ Pflicht zur Geheimhaltung bzw. Vertraulichkeit
Nach Art. 38 Abs. 4 DS-GVO können betroffene Personen den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer Daten und mit der Wahrnehmung ihrer Rechte aus der Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen. Dies entspricht im Wesentlichen der bisherigen Regelung in § 4f Abs. 5 Satz 2 BDSG, wonach sich Betroffene
jederzeit an den Beauftragten für den Datenschutz wenden können. Der Datenschutzbeauftragte ist demnach verpflichtet, Datenschutzbeschwerden zu prüfen und die betroffenen Personen über das Ergebnis seiner Prüfung zu informieren. Stellt er Datenschutzverletzungen, z.B. die Missachtung von Betroffenenrechten, fest, hat er darauf hinzuwirken, dass diese abgestellt werden. Die Wahrung von Geheimhaltung und Vertraulichkeit sind essenziell für eine effektive Ausübung der Tätigkeit als Datenschutzbeauftragter. Eigene Geheimhaltungs- bzw. Vertraulichkeitsverpflichtungen
sind in der DS-GVO jedoch nicht vorgesehen.
Diese verweist insofern vielmehr auf das sonstige Unionsrecht bzw. das Recht der Mitgliedstaaten. Auf nationaler Ebene finden sich entsprechende Regelungen
aktuell in § 4f Abs. 4 BDSG und in § 203 Abs. 2a StGB. Aufgrund des Verweises der DS-GVO ins nationale Recht hat der deutsche Gesetzgeber die Möglichkeit, diese Regelungen auch nach Geltung der DS-GVO entsprechend beizubehalten.
4. Aufgaben
4.1 Unterrichtung und Beratung
Der Datenschutzbeauftragte hat den Verantwortlichen bzw. Auftragsverarbeiter sowie die konkret mit der Datenverarbeitung Beschäftigten hinsichtlich ihrer Pflichten nach der DS-GVO sowie nach den sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten zu unterrichten und beraten (Art. 39 Abs. 1 Buchst. a) DS-GVO). Unterrichtung meint insofern die allgemeine Information über die bestehenden datenschutzrechtlichen Pflichten,
Beratung die Unterstützung bei der Lösung von konkreten datenschutzrechtlichen Fragestellungen.
4.2 Überwachung der Einhaltung des Datenschutzes
Weitere Kernaufgabe des Datenschutzbeauftragten neben der Unterrichtung und Beratung ist die Überwachung der Einhaltung des Datenschutzes (Art. 39 Abs. 1 Buchst. b) DS-GVO). Zu überwachen ist im Einzelnen die Einhaltung
• der DS-GVO,
• anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie
• der Strategien des Verantwortlichen oder Auftragsverarbeiters für den Schutz personenbezogener Daten (einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen).
4.3 Aufgaben im Zusammenhang mit der Datenschutz-Folgenabschätzung
Anders als die Vorabkontrolle nach dem BDSG ist die Durchführung der Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) dem Datenschutzbeauftragten nicht übertragen. Zuständig ist vielmehr der für die Verarbeitung Verantwortliche und
damit in abgeleiteter Verantwortung die jeweilige Fachabteilung. Die Aufgaben des Datenschutzbeauftragten im Zusammenhang mit der Datenschutz-Folgenabschätzung liegen zum einen in der Überwachung, ob diese durchgeführt wird, und zum anderen in der Verpflichtung, auf Anfrage im Hinblick auf deren Durchführung zu beraten (Art. 39 Abs. 1 Buchst. c) DS-GVO). Korrespondierend zur Beratungspflicht des Datenschutzbeauftragten besteht eine Verpflichtung der Fachabteilung, dessen Rat auch einzuholen (Art. 35 Abs. 2 DS-GVO).
4.4. Zusammenarbeit mit der Aufsichtsbehörde
Nach der DS-GVO arbeitet der Datenschutzbeauftragte mit der Aufsichtsbehörde zusammen und fungiert als deren „Anlaufstelle“ beim für die Verarbeitung Verantwortlichen; zudem berät er sich mit der Behörde „zu allen sonstigen Fragen“ (Art. 39 Abs. 1 Buchst. d) und e) DS-GVO). Ein Anlass zur Konsultation der Behörde wird sich insbesondere dann ergeben, wenn sich der Datenschutzbeauftragte über die Auslegung einschlägiger gesetzlicher
Regelungen oder die Angemessenheit einzelner Datenschutzmaßnahmen im Unklaren ist.
4.5. Pflicht zur risikoorientierten Tätigkeit
Nach Art. 39 Abs. 2 DS-GVO hat der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko
gebührend Rechnung zu tragen, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt, sog. Pflicht zur risikoorientierten Tätigkeit. Diese Verpflichtung entspricht dem risikobasierten Ansatz, der der gesamten DS-GVO zugrunde liegt, und ist grundsätzlich zu befürworten. Zur Gewährleistung der garantierten Unabhängigkeit (vgl. vorstehend Abschnitt 3.1) muss die Bewertung, welche Verarbeitungsvorgänge wegen des mit ihnen verbundenen Risikos einer vorrangigen Bewertung bedürfen, aber dem Datenschutzbeauftragten selbst obliegen. So dürfen etwa Prüfaufträge gegenüber dem Datenschutzbeauftragten diesen nicht daran hindern, aus
seiner Sicht vordringlichen datenschutzrechtlichen Angelegenheiten nachzugehen.
No responses yet