Im Rahmen der Verhandlungen zur Datenschutzgrundverordnung wurden die Notwendigkeit und Rolle des Datenschutzbeauftragten lange diskutiert. Während sich diese Position in deutschen Unternehmen in den letzten Jahren etabliert und gefestigt hat, war dies nicht in allen EU – Mitgliedstaaten der Fall. Das Ergebnis der Verhandlungen findet sich nunmehr in der Datenschutzgrundverordnung wieder. Was Sie beachten sollten, erfahren Sie hier.
Bisherige Vorgaben
In der Richtlinie 95/46/EG, die in Deutschland im Bundesdatenschutzgesetz (BDSG) umgesetzt wurde,diente die Rolle des Datenschutzbeauftragten zunächst lediglich als Mittel, bei dessen Einsatz eine Vereinfachung, bzw. eine Ausnahme von der Meldepflicht nach Artikel 18 der Richtlinie 95/46/EG vorgesehen war.
Nähere Angaben machte die Richtlinie indes nicht, vielmehr war der Datenschutzbeauftragte “entsprechend dem einzelstaatlichen Recht” zu bestellen.
Im deutschen Bundesdatenschutzgesetz wurde die Position vorgesehen und Anforderungen an die Bestellung, bzw. die zu bestellende Person aufgestellt. § 4 f BDSG regelt die Rechte und Pflichten im Hinblick auf den Datenschutzbeauftragten heute.
Demnach haben nicht-öffentliche verantwortliche Stellen, bei denen mehr als neun Personen mit der Verarbeitung personenbezogener Daten befasst sind, einen Datenschutzbeauftragten zu bestellen.
Die Person, die als Datenschutzbeauftragter bestellt wird, muss eine für die Erfüllung der Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen. Ist der Datenschutzbeauftragte bestellt, so handelt er weisungsfrei und ist der Geschäftsleitung direkt unterstellt.
Die Aufgaben des Datenschutzbeauftragten sind in § 4 g BDSG geregelt. Diese sind insbesondere
- das Hinwirken auf die Einhaltung der Datenschutzgesetze
- die Überwachung des ordnungsgemäßen Einsatzes von Verarbeitungsprogrammen, die personenbezogene Daten verarbeiten
Zu diesem Zweck ist dem Datenschutzbeauftragten ein Verarbeitungsverzeichnis nach § 4 e Satz 1 BDSG zur Verfügung zu stellen. Dafür entfällt nach § 4 d Abs. 2 BDSG die Meldepflicht an die Aufsichtsbehörde.
Entwicklung in der Datenschutzgrundverordnung
Im Rahmen der Verhandlungen zur Datenschutzgrundverordnung sahen die Entwürfe der verschiedenen EU Organe unterschiedliche Lösungen zu einer Pflicht zur Bestellung eines Datenschutzbeauftragten vor.
So sah die Kommission eine verpflichtende Benennung eines Datenschutzbeauftragten unter anderem ab einer Mitarbeiteranzahl der verantwortlichen Stelle von 250 oder mehr vor.
Das EU Parlament stellte dagegen auf die Anzahl der betroffenen Personen ab und legte eine Pflicht zur Bestellung ab einer Verarbeitung personenbezogener Daten von mehr als 5000 Betroffenen innerhalb eines Jahres fest. Der Entwurf des EU Rats enthielt schließlich keine anzahlbezogene Pflicht zur Bestellung eines Datenschutzbeauftragten, sondern sah diese Entscheidungsbefugnis bei den Mitgliedstaaten. Dementsprechend sah der Entwurf eine Öffnungsklausel vor.
Letztendlich einigten sich die EU Organe auf Art. 37 DSGVO. Dieser sieht eine Pflicht zur Bestellung eines Datenschutzbeauftragten vor, wenn
- “die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.”
Daneben ermöglicht Art. 37 Abs. 4 Satz 1 Halbsatz 2 DSGVO, dass die nationalen Gesetzgeber weitere Tatbestände aufstellen, in denen die Bestellung eines Datenschutzbeauftragten verpflichtend ist.
Doch eine nationale Regelung
Eine solche Regelung wurde in Deutschland geschaffen: Im Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnpUG-EU) ist in § 38 Abs. 1 die Regelung vorgesehen, dass nicht-öffentliche verantwortliche Stellen, bei denen mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten befasst sind, einen Datenschutzbeauftragten zu bestellen haben.
Insoweit bleibt es im Ergebnis – jedenfalls in Deutschland – bei der heutigen Regelung. Unternehmen, bei denen weniger als zehn Personen mit personenbezogenen Daten arbeiten, sollten dagegen prüfen, ob sie nicht unter einen der in Art. 37 Abs. 1 lit. b oder c DSGVO oder in § 38 Abs. 1 Satz 2 DSAnpUG-EU genannten Tatbestände fallen und ebenfalls einen Datenschutzbeauftragten bestellen müssen.
Pflichten und Rechten des Datenschutzbeauftragten
Auch in inhaltlicher Hinsicht ändert sich an der Position und den Aufgaben des Datenschutzbeauftragten nicht allzu viel. Zum Datenschutzbeauftragten sollte nur eine Person benannt werden, die eine entsprechende berufliche Qualifikation und das notwendige Fachwissen hat, Art. 37 Abs. 5 DSGVO. Weiterhin ist die Bestellung eines externen Datenschutzbeauftragten möglich.
Der Datenschutzbeauftragte ist wie bereits heute weisungsfrei und direkt der Geschäftsleitung zu unterstellen. Diese und weiter bereits heute bestehenden Anforderungen an die Stellung des Datenschutzbeauftragten ergeben sich aus Art. 38 DSGVO.
Schließlich nennt Art. 39 DSGVO die Aufgaben des Datenschutzbeauftragen. Diese sind
- “Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
- Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
- Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
- Zusammenarbeit mit der Aufsichtsbehörde;
- Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.”
Neu ist hierbei insbesondere der Begriff der Beratung und die in Art. 39 Abs. 1 lit. c – e DSGVO ausformulierten Aufgaben. Nichtsdestotrotz bleibt es in der Praxis bei den schon heute bekannten Aufgaben des Datenschutzbeauftragten.
Haftung des Datenschutzbeauftragten?
Obwohl diesbezüglich vorab vielfach diskutiert wurde, ist jedenfalls nicht von einer weitergehenden Haftung des Datenschutzbeauftragten auszugehen, als nach dem BDSG. Dies stellte auch die Art. 29 Datenschutzgruppe in Ihrer Stellungnahme vom 13. Dezember 2016 klar:
“Monitoring of compliance does not mean that it is the DPO who is personally responsible where there is an instance of non-compliance.”
Es bleibt daher auch hier bei der Verantwortung für die Einhaltung der gesetzlich normierten Aufgaben des Datenschutzbeauftragten. Eine alleinige Verantwortung für die Einhaltung der Datenschutzgesetze durch die verantwortliche Stelle an sich wird nicht eingeführt.
Fazit
Im Hinblick auf die Bestellung, die Rolle und die Aufgaben des Datenschutzbeauftragten unter der DSGVO ergeben sich mit dem Start der Datenschutzgrundverordnung am 25.05.2018 keine weitreichenden Neuerungen.
Auch die Bestellung eines unter dem BDSG bestellten Datenschutzbeauftragten bleibt wirksam. Nichtsdestotrotz empfiehlt die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen eine formale Neubestellung.
Jedenfalls in der Datenschutzerklärung sollten die Kontaktdaten des Datenschutzbeauftragten den betroffenen Personen bekannt gegeben werden.
Bildnachweis: Bloomicon/shutterstock.com
Schon in der bisherigen gesetzlichen Regelung wird eine fachliche Eignung des Datenschutzbeauftragten gefordert.
Konkret welche Ausbildung sollte ein Datenschutzbeauftragten haben?
In IT Ausbildungsberufen werden Themen des Datenschutzes behandelt.
Aber reicht das?