Viele Unternehmer wissen um die Pflicht zur Bestellung eines Datenschutzbeauftragten. Die Beschäftigung mit diesem Thema wirft jedoch häufig Fragen auf wie “Brauche ich einen Datenschutzbeauftragten?”, “Wer darf es überhaupt sein?” usw.

Ein Thema für alle

Und auch wenn Sie bereits einen Datenschutzbeauftragten beschäftigen oder selbst einer sind, lohnt sich das Weiterlesen. Als datenverarbeitende Stelle kommen Sie nämlich gerade in Zeiten der Anpassung interner Betriebsabläufe an die Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) nicht um dieses Thema herum.

Wo kommen Datenschutzbeauftragte nach derzeitiger Rechtslage zum Einsatz?

Die Pflicht zur schriftlichen Bestellung eines Datenschutzbeauftragten spätestens einen Monat nach Aufnahme der betrieblichen Tätigkeit ergibt sich aus dem Bundesdatenschutzgesetz (BDSG, § 4f) und greift immer dann, wenn personenbezogene Daten automatisiert – also unter dem Einsatz von Datenverarbeitungsanlagen wie z.B. einem PC – oder nicht-automatisiert, sprich manuell, verarbeitet werden. Das dürfte erst einmal auf alle Betriebe zutreffen und deshalb legt das Gesetz einige Ausnahmen von der Bestellpflicht fest.

Was macht eigentlich ein Datenschutzbeauftragter?

Nachdem nun feststeht, wann ein Datenschutzbeauftragter bestellt werden muss, soll nun die Frage geklärt werden, was für Aufgaben von diesem zu erfüllen sind. Wir sind damit beim Tätigkeitsfeld des Datenschutzbeauftragten angekommen, dessen Umfang künftig durch die DSGVO bestimmt wird. Eine Öffnungsklausel für nationale Regelungen – wie bei der Bestellpflicht – gibt es hier nicht, sodass sich der Tätigkeitsbereich im Vergleich zur geltenden Rechtslage etwas verändern wird.

Grundsätzlich bleibt es jedoch dabei, dass das Unternehmen für die Einhaltung datenschutzrechtlicher Vorschriften verantwortlich ist, während der Datenschutzbeauftragte auf die Einhaltung „nur“ hinwirken kann. Dies soll – wie bisher auch – zunächst durch die Unterrichtung und Beratung des Unternehmens sowie der datenverarbeitenden Beschäftigten über die bestehenden Datenschutzpflichten geschehen. Zusammengefasst ergibt sich daraus folgendes Aufgabenspektrum:

  • Unterrichtung und Beratung des Unternehmens sowie der datenverarbeitenden Beschäftigten über die bestehenden Datenschutzpflichten (Gesetze, Rechtsprechung etc.)
  • Überwachung der Einhaltung datenschutzrechtlicher Regelungen und betrieblicher Strategien für den Schutz personenbezogener Daten
  • Sensibilisierung und Schulung von Mitarbeitern
  • Überwachung und Beratung bei der Durchführung einer Datenschutz-Folgenabschätzung
  • Zusammenarbeit mit und Anlaufstelle für Datenschutzbehörden
  • Ansprechpartner für Betroffene

CTA Box DSGVO

Welche Stellung nimmt der Datenschutzbeauftragte ein?

Diese Aufgabenerfüllung ist nur dann sinnvoll möglich, wenn der Datenschutzbeauftragte unabhängig von der zu kontrollierenden Stelle agieren kann. Er darf im Hinblick auf die Erfüllung der Aufgaben deshalb nicht weisungsgebunden sein und aus Gründen der DSB-Tätigkeit nicht abberufen oder benachteiligt werden. Das war bisher so und wird auch so bleiben. Fraglich erscheint dagegen, ob die nach derzeitiger Rechtslage bestehenden Vorteile in Form eines Sonderkündigungsschutzes für den Datenschutzbeauftragten gem. § 4f Abs. 3 BDSG bestehen bleibt. Die DSGVO sagt dazu nichts und die oben erwähnte Öffnungsklausel gilt dafür ebenfalls nicht. [Ich gehe jedoch davon aus, dass es in der Rechtsprechung bei dem Sonderkündigungsschutz bleibt, mit einem Argument wie „Schutz der Position muss arbeitsrechtlich beibehalten werden“ o.ä.] Jedenfalls bleibt es aber dabei, dass der Datenschutzbeauftragte unmittelbar der höchsten Managementebene unterstellt wird und dass sich aus der Tätigkeit Geheimhaltungs- und Vertraulichkeitspflichten ergeben. Wie dies mit einer verstärkten Zusammenarbeit mit den Datenschutzbehörden in Einklang zu bringen ist, wird sich künftig zeigen müssen.

Wer kann zum Datenschutzbeauftragten bestellt werden?

Wer letztlich das Amt des Datenschutzbeauftragten bekleidet, entscheiden die Unternehmensverantwortlichen. Bevor nun aber Herr F. aus dem Bereich XY abgezogen und umgeschult wird, gilt es zu beachten, dass die DSGVO einige Grundvoraussetzungen festlegt, welche in der Person des Datenschutzbeauftragten erfüllt sein müssen. Neben technischen, rechtlichen und betriebsorganisatorischen Kenntnissen gilt es bei der Wahl des Datenschutzbeauftragten auch persönliche Eigenschaften (z.B. Bereitschaft zur Weiterbildung, Konfliktlösungspotenzial etc.) zu berücksichtigten. Ob dann letztlich ein unternehmenseigener Mitarbeiter oder doch ein externer Dienstleister zum Datenschutzbeauftragten bestellt wird, spielt dagegen keine Rolle.

Fazit

Ob nach neuer oder alter Rechtslage: das Unternehmen ist für die Einhaltung datenschutzrechtlicher Vorgaben verantwortlich, der Datenschutzbeauftragte wirkt auf die tatsächliche Einhaltung dieser Pflicht hin. Seine Bestellung ist und bleibt deshalb gesetzlich vorgeschrieben, sodass sich daraus zunächst für jedes Unternehmen Berührungspunkte mit diesem Thema ergeben.

Unternehmensverantwortliche haben zunächst die Frage zu klären, ob im jeweiligen Fall tatsächlich eine Bestellpflicht besteht. Wird dies bejaht, folgt die zweite Frage: Wer soll‘s machen? Ob interne oder externe Person spielt dem Grunde nach keine Rolle. Entscheidend ist – wie gesagt – nur zweierlei. Zum einen dürfen keine Interessenkonflikte entstehen, die einer Eignung entgegenstehen würden. Und zum anderen darf die Bestellung des Datenschutzbeauftragten, gleich ob intern oder extern, kein Feigenblatt sein.  Darüber hinaus ist es allein mit der Bestellung des Datenschutzbeauftragten aus Unternehmenssicht jedoch noch nicht getan, da auch darüber hinaus noch Mitwirkungs- und Unterstützungspflichten bestehen. Und wird dieser Themenkomplex gar nicht oder zu lax angegangen, drohen am Ende des Tages (künftig noch höhere) Bußgelder.

Weiterführende Links