Der Datenschutzbeauftragte - das unbekannte Wesen?
03.11.2020 10:00 von Michael Rohrlich
Der Datenschutzbeauftragte — das unbekannte Wesen?
Datenschutzbeauftragte/r — dieser Begriff ist spätestens seit Wirksamwerden der Datenschutz-Grundverordnung (DSGVO) verstärkt in den Medien vertreten. Zwar gab es diese Position auch schon nach alter Rechtslage vor dem 25. Mai 2018, allerdings haben sich Stellung und Aufgaben des DSB merklich verändert. Die Tätigkeit eines DSB mag nicht den höchsten Stellenwert haben und so mancher Unternehmensführung lästig erscheinen, allerdings ist der Wert eines guten DSB nicht zu unterschätzen. Trotzdem: Es besteht heutzutage für (fast) alle Behörden sowie für die meisten Unternehmen eine Pflicht zur Benennung eines DSB, so dass dieser Posten zunehmend an Bedeutung gewinnt. Im Folgenden zeigt uns WE-Expertenrats-Mitglied Michael Rohrlich auf, warum DSBs so wichtig sind und was sie alles können müssen, damit sie erfolgreich arbeiten.
Wer benötigt eine/n DSB?
Ein DSB soll in einem Unternehmen, in einer Behörde oder auch in einem Verein auf die Einhaltung des Datenschutzrechts achten sowie als Ansprechpartner für Mitarbeiter, Betroffene und die Datenschutzaufsichtsbehörden agieren, damit keine Nachteile für das Unternehmen oder die Organisation entstehen, z.B. durch Bußgelder. Es kann entweder z.B. ein Angestellter des Unternehmens als interner oder ein Dienstleister als externer DSB benannt werden. Aber nicht in jedem Fall ist ein DSB zu benennen. Es gibt Ausnahmen: Nach Art. 37 Abs. 1 DSGVO besteht diese Verpflichtung
- für Behörden bzw. öffentliche Stelle (mit Ausnahme der Gerichte),
- wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von Betroffenen erforderlich machen, oder
- wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten besteht.
Zur »Kerntätigkeit« zählen solche Dinge, die am Markt angeboten werden (also das sog. »Kerngeschäft«, die Branche), nicht hingegen rein interne Vorgänge, wie etwa das Führen von Personalakten. Hiernach müssten also nur z.B. Detekteien, Krankenhäuser oder Online-Werbenetzwerke einen DSB benennen.
Zusätzlich zur DSGVO enthält aber auch das deutsche Bundesdatenschutzgesetz (BDSG) Vorgaben für die DSB-Benennungspflicht, wie sie § 38 Abs. 1 BDSG in folgenden Fällen vorsieht:
- für Unternehmen, bei denen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind
- bei Datenverarbeitungen, für die eine Pflicht zur Datenschutzfolgenabschätzung besteht,
- für geschäftsmäßige Übermittlung von Daten (z.B. Adresshändler), oder auch
- für den Bereich der Markt- bzw. Meinungsforschung.
Für die meisten Unternehmen, jedenfalls solchen in »unkritischen Branchen«, dürfte die 20-Personen-Grenze einschlägig sein. Hier kann man trefflich darüber streiten, welcher Mitarbeiter »ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst« ist. Allerdings liegt hier die Hürde vergleichsweise niedrig, so dass nur Mitarbeiter mit bestimmten Aufgabengebieten nicht mitzuzählen sind. Es lässt sich beispielsweise an Mitarbeiter in produzierenden Betrieben denken, die nur ausnahmsweise und gerade nicht regelmäßig mit (personenbezogenen) Kundendaten zu tun haben. Aber im Zweifel empfiehlt es sich, einfach alle Mitarbeiter eines Unternehmens zu zählen, und zwar inklusive Teilzeitkräfte, Praktikanten, Azubis usw.
Besteht eine DSB-Pflicht, so darf eine Unternehmensgruppe einen gemeinsamen DSB ernennen, sofern dieser von jeder Niederlassung leicht erreicht werden kann. Ähnliches gilt für Behörden, hier können sich auch mehrere einen DSB »teilen«.
Wer kommt als DSB in Frage?
Leider ist es so, dass häufig gerade solche Personen von der Tätigkeit als DSB ausgeschlossen sind, die dafür eigentlich sehr gut geeignet wären. Das liegt daran, dass ein DSB keinen Interessenkonflikten unterliegen darf (Art. 38 Abs. 6 DSGVO), damit er seine Tätigkeit überhaupt sinnvoll ausüben und seiner Verantwortung gerecht werden kann. Ausgeschlossen von der DSB-Position sind daher insbesondere
- der Inhaber bzw. die Geschäftsführung des Unternehmens,
- der Personalchef,
- der IT-Abteilungsleiter,
- externe IT-Dienstleister,
- Mitglieder des Betriebs- / Personalrats (strittig),
- ein Geldwäschebauftragter oder auch
- der »Firmen-Anwalt«.
Im Grunde kann jeder DSB werden, der generell zur Erfüllung dieser Aufgabe fähig ist. Das schließt schonmal den 16-jährigen Praktikanten aus, denn die volle Geschäftsfähigkeit wird vorausgesetzt. Nach Maßgabe von Art. 37 Abs. 5 DSGVO wird der DSB auf der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt.
Wie hat die Fachkunde einer/s DSB auszusehen?
Es wird also verlangt, dass der DSB eine ausreichende Fachkunde besitzen muss. Leider lassen sich weder in der DSGVO noch im BDSG konkrete Details dazu finden, wie genau diese Fachkunde auszusehen hat und in welchem Umfang sie vorliegen muss. Allerdings ist klar, dass die Fachkunde bereits vorhanden sein muss, wenn der DSB offiziell als solcher benannt wird.
Das Niveau der Fachkunde kann nicht pauschal angesetzt werden. Es muss sich nach den jeweils durchgeführten Datenverarbeitungsvorgängen und nach dem konkret erforderlichen Schutz für die verarbeiteten Daten richten. Zumindest sollte der DSB die wichtigsten Grundlagen des Datenschutzrechts kennen und idealerweise auch ein gewisses technisches Verständnis mitbringen. Ideal für diese Position sind also Juristen oder EDV-Fachleute, allerdings sind solche Berufe nicht verpflichtend.
Hinsichtlich der Fachkunde sollte sich die Frage gestellt werden, welche der folgenden Dinge für das Unternehmen, die Behörde oder den Verein zutreffen, in dem der DSB tätig werden soll:
- Anzahl der Mitarbeiter
- Anzahl der Standorte
- ggf. Einbindung in eine Konzernstruktur
- nationale oder internationale Ausrichtung
- Komplexität der Geschäftsprozesse
- Home Office bzw. Telearbeit möglich
- Außendienst- bzw. Vertriebsorganisation
- Delegationsmöglichkeiten (Rechtsabteilung, Revision, IT-Sicherheitsbeauftragter, externe Berater o.ä.)
- Outsourcing
- Branche
- Art und Anzahl der Betroffenen
- Sensibilität bzw. Anzahl der verarbeiteten personenbezogenen Daten
Es versteht sich von selbst, dass die vorhandene Fachkunde regelmäßig aufgefrischt werden muss, da sich das Datenschutzrecht ständig weiterentwickelt. Ein DSB sollte also vor Antritt seiner Tätigkeit eine umfangreiche Fortbildung in den Grundlagen des Datenschutzrechts absolvieren plus evtl. weitere Fortbildungen mit speziellen Themenschwerpunkten, insbesondere für die Branche des betreffenden Unternehmens. Ideal wäre es, wenn mindestens ein- bis zweimal jährlich Fortbildungsveranstaltungen hinzukommen, um die Fachkunde erweitern bzw. aufrecht erhalten zu können.
Ob das Fachwissen in Präsenzveranstaltungen, Online-Seminaren, durch E-Learning oder im Selbststudium mit entsprechender Fachliteratur erworben wird, spielt dabei keine Rolle. Allerdings sind entsprechende Schulungsnachweise von unabhängigen Institutionen natürlich immer ein guter Beleg für den Erwerb der Fachkunde.
Bei einem externen DSB kann und sollte der Nachweis des notwendigen Fachwissens vor seiner Benennung eingefordert werden. Bei internen DSB ist die Fachkunde oftmals noch nicht vorhanden und muss erst etwa durch den Besuch von Fortbildungsveranstaltungen, Fachliteratur, E-Learning etc. aufgebaut werden.
Wie sieht die Stellung einer/s DSB aus?
In Art. 38 Abs. 1-5 DSGVO wird die Stellung als DSB mit folgenden Aspekten beschrieben:
- ordnungsgemäße und frühzeitige Einbindung des DSB in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen
- Unterstützung durch Bereitstellung der erforderlichen Ressourcen für die Erfüllung seiner Aufgaben sowie zur Erhaltung seines Fachwissens
- Gewährung des Zugangs zu personenbezogenen Daten bzw. zu allen relevanten Verarbeitungsvorgängen
- unmittelbare Berichterstattung an die höchste Managementebene
- Ratgeber für Betroffene
- Ansprechpartner für die Aufsichtsbehörde
- Pflicht zur Geheimhaltung
Einem DSB müssen ausreichende Ressourcen für die Erfüllung aller Aufgaben bereitgestellt werden, also z.B. ein eigener Arbeitsbereich, ein gesicherter Computer, ein separater E-Mail-Account, ein Internetzugang etc. Außerdem muss die Möglichkeit bestehen, die erforderliche Fachkunde zu erlangen und diese auch zu erhalten, z.B. durch einschlägige Fachliteratur oder Teilnahme an Fortbildungsveranstaltungen.
Welche Aufgaben hat ein DSB?
In Art. 39 Abs. 1 DSGVO sind die gesetzlichen Aufgaben eines DSB festgelegt. Dazu zählen die folgenden:
- Unterrichtung und Beratung der verantwortlichen Stelle (Unternehmen, Behörde, Verein) und der Beschäftigten hinsichtlich ihrer datenschutzrechtlichen Pflichten
- Überwachung der Einhaltung des Datenschutzrechts sowie der Strategien der verantwortlichen Stelle für den Schutz personenbezogener Daten (einschließlich der Zuweisung von Zuständigkeiten sowie der Sensibilisierung und Schulung von Mitarbeitern)
- auf Anfrage Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO
- Zusammenarbeit mit der Datenschutzaufsichtsbehörde bzw. Tätigkeit als Anlaufstelle für diese
Im Vergleich zur Vor-DSGVO-Rechtslage zählen etwa das Führen des Verarbeitungsverzeichnisses oder das Erstellen der technischen und organisatorischen Maßnahmen (TOMs) nicht mehr zu den Aufgaben eines DSB. Zwar wird der DSB in der Praxis nicht selten dazu »überredet«, solche Tätigkeiten auszuführen. Allerdings darf er dies nach dem Verständnis der DSGVO nicht, da es unweigerlich zu einem Interessenskonflikt kommt — er müsste sich ja dann selbst kontrollieren.
Welche Vorteile haben DSBs?
Die Tätigkeit als DSB ist vielschichtig und stark von juristischen sowie technischen Themen geprägt. Als DSB ist man nicht weisungsbefugt, sondern agiert eher als »Datenschutz-Berater«. Das Gute daran ist, dass man in dieser Position auch nicht weisungsgebunden ist, sodass weder der Chef noch sonst irgendjemand dem DSB vorschreiben darf, wie er seinen Job zu machen hat! Diesen Spagat hinzubekommen, ist sicher nicht immer einfach, gerade wenn man als interner DSB zugleich auch noch »normaler« und damit weisungsgebundener Angestellter des Unternehmens ist.
Außerdem bietet die Stellung als DSB die Möglichkeit, aus dem Arbeitsalltag auszubrechen und ein wenig über den Tellerrand der Abteilung und des eigenen Arbeitsplatzes hinaus zu schauen. Hinzu kommt noch der Umstand, dass man als DSB – ähnlich einem Betriebsratsmitglied – erhöhten Kündigungsschutz genießt.
Verantwortung und Haftung
Hinzu kommt, dass die endgültige Entscheidung und damit auch die tatsächliche Verantwortung für den Datenschutz in jedem Fall bei der Behörden-, Vereins- bzw. Unternehmensführung liegt. Eine etwaige Haftung des DSB kommt nur in Ausnahmefällen in Betracht, wenn dieser grob fahrlässig oder gar vorsätzlich seine grundlegenden Pflichten verletzt. Als interner DSB haftet man nach einem abgestuften, arbeitsrechtlichen Haftungssystem (also in den meisten Fällen gar nicht oder zumindest nicht in vollem Umfang). Bei externen DSBs liegt der Fall etwas anders: Hier sollten Haftungsfragen vorab vertraglich geregelt werden; in aller Regel haben externe DSBs auch eine Berufshaftpflichtversicherung.
Über Michael Rohrlich:
Michael Rohrlich ist Mitglied im WE-Expertenrat. Als Rechtsanwalt liegen seine Tätigkeitsschwerpunkte in den Bereichen Online-, IT- und Datenschutzrecht sowie E-Commerce. Neben seiner anwaltlichen Tätigkeit ist er regelmäßig als Fachautor für div. Print- und Online-Publikationen tätig. Für Webmasters Europe e.V. hat er das Video-basierte Curriculum zu »Datenschutz und DSGVO« entwickelt, welches fünf größere Themenkomplexe behandelt und mit einer WE-Zertifizierung zum »Zertifizierten Datenschutzbeauftragten / Certified Data Protection Officer« abschließt. Außerdem ist Rohrlich Kursentwickler des WE-Curriculums zum Fachgebiet Online-Recht, welches Teil der WE-Zertifizierungen zum Digital Marketing Manager und Social Media Manager ist. Darüber hinaus konzipiert und präsentiert Michael Rohrlich Video-Trainings mit juristischen Inhalten für Linkedin Learning / Microsoft (ehem. video2brain).
Kontakt:
Kategorien: Datenschutz, Expertenrat
Kommentare
Hinterlasse einen Kommentar: