Mitautor: Christian Frerix
Viele Unternehmensverantwortliche wissen um die Pflicht zur Bestellung einer/s Datenschutzbeauftragten (DSB; die im Folgenden verwendete männliche Form gilt für Personen beiderlei Geschlechts gleichermaßen). Dennoch führt die „Spezies“ der Datenschutzbeauftragten in der unternehmerischen Wahrnehmung oftmals noch ein Schattendasein. Und ebenso so oft scheint es so zu sein, als habe derjenige den Hut des internen DSB auf, der schlicht den Kopf nicht schnell genug weggezogen hat. Ein Grund dafür mag darin liegen, dass die Beschäftigung mit diesem Thema häufig mehr Fragen aufwirft, als sie beantwortet. Brauche ich einen DSB? Was macht dieser überhaupt? Wer darf es überhaupt sein sein? Und ist dieser dann echt unkündbar? Und überhaupt, was muss denn noch alles beachtet werden?
Sollten auch Sie zu denjenigen gehören, die sich Tag und Nacht (okay, okay, hin und wieder, eben wenn Sie denken „Da war doch noch was….?“) mit diesen Fragen beschäftigen, dann sollten Sie mit den folgenden Zeilen Ihre Antworten finden.
Und auch wenn Sie bereits einen DSB beschäftigen oder selbst einer sind, lohnt sich das Weiterlesen. Als datenverarbeitende Stelle kommen Sie nämlich gerade in Zeiten der Anpassung interner Betriebsabläufe an die Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) bis 2018 nicht um dieses Thema herum.
Wo kommen Datenschutzbeauftragte nach (derzeitiger) Rechtslage zum Einsatz?
Die Pflicht zur schriftlichen Bestellung eines DSB spätestens einen Monat nach Aufnahme der betrieblichen Tätigkeit ergibt sich aus dem Bundesdatenschutzgesetz (BDSG, § 4f) und greift immer dann, wenn personenbezogene Daten automatisiert – also unter dem Einsatz von Datenverarbeitungsanlagen wie z.B. einem PC – oder nicht-automatisiert, sprich manuell, verarbeitet werden. Das dürfte erstmal auf alle Betriebe zutreffen und deshalb legt das Gesetz einige Ausnahmen von der Bestellpflicht fest.
Welche Ausnahmen gibt es von der Bestellpflicht?
In Fällen der nicht-automatisierten Verarbeitung entfällt die Pflicht dann, wenn weniger als 20 Personen mit der Datenverarbeitung ständig (und nicht nur gelegentlich) beschäftigt sind. Diese Zahlengrenze können wir aber regelmäßig vernachlässigen. Ich wüsste jedenfalls nicht, wo noch nicht-automatisiert Daten erfasst werden…. Schließlich stellt bereits die Speicherung und der Zugriff über Betriebs-PCs auf Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (z.B. Mitarbeiter, Kunden) eine automatische Verarbeitung dar.
Eine zahlenmäßige Beschränkung gibt es aber ebenso für diese praxisrelevanteren Fälle der automatisierten Datenverarbeitung. Und hier macht das Gesetz eine Einschränkung für Betriebe, in denen weniger als zehn Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind. Eine Bestellung ist dann entbehrlich. Das gilt jedoch nur dann (Achtung, Rückausnahme!), wenn personenbezogene Daten nicht zum Zweck der geschäftsmäßigen Übermittlung (z.B. Adresshandel), der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. Auf die Anzahl der mit der Verarbeitung beschäftigten Personen kommt es auch dann nicht an, wenn die automatisierte Verarbeitung einer Vorabkontrolle (§ 4d Abs. 5 BDSG; künftig „Datenschutz-Folgenabschätzung, Art. 35 DSGVO) unterliegt, weil diese besondere Risiken für die Rechte der Betroffenen birgt. In all diesen Ausnahmefällen bleibt eine Bestellpflicht – ohne Rücksicht auf die Anzahl der mit der Verarbeitung betrauten Personen – bestehen.
Was ändert sich daran mit Wirkung der DSGVO ab 2018?
Die DSGVO enthält in Art. 37 Regelungen zum Datenschutzbeauftragten. Danach soll eine Verpflichtung zur Bestellung durch nicht-öffentliche Stellen grundsätzlich nur dann bestehen, wenn Kerntätigkeit des Unternehmens die Verarbeitung besonders sensibler Daten (z.B. Gesundheitsdaten) oder eine systematische Überwachung von betroffenen Personen ist.
Fehlt da nicht noch was? Nein, denn eine zahlenmäßige Beschränkung der mit der Datenverarbeitung beschäftigten Personen gibt es im Vergleich zum geltenden Recht nicht. Die Bestellpflicht würde ohnehin schon für die meisten Betriebe entfallen.
Doch nicht ohne Grund wird hier der Konjunktiv gewählt. Den Mitgliedstaaten wird nämlich in Art. 37 Abs. 4 DSGVO die Möglichkeit eröffnet, von diesen Bestimmungen abzuweichen. Wie der erste Entwurf zum „Datenschutz-Anpassungs- und –Umsetzungsgesetz EU“ (DSAnpUG-EU) bereits zeigt, wird der deutsche Gesetzgeber von dieser Möglichkeit auch Gebrauch machen. Der Entwurf sieht in § 36 vor, dass – welch Überraschung – größtenteils einfach die bereits bestehenden Regelungen des § 4f BDSG übernommen werden. Im Ergebnis dürfte damit also vieles so bleiben, wie es ist. Lange Rede, kurzer Sinn: Es sieht derzeit alles danach aus, dass insbesondere die Regelung der Bestellpflicht eines Datenschutzbeauftragten hier in Deutschland bestehen bleibt.
Was macht eigentlich ein Datenschutzbeauftragter?
Nachdem nun feststeht, wann ein DSB bestellt werden muss, soll nun die Frage geklärt werden, was für Aufgaben von diesem zu erfüllen sind? Wir sind damit beim Tätigkeitsfeld des DSB angekommen, dessen Umfang künftig durch die DSGVO bestimmt wird. Eine Öffnungsklausel für nationale Regelungen – wie bei der Bestellpflicht – gibt es hier nicht, so dass sich der Tätigkeitsbereich im Vergleich zur geltenden Rechtslage etwas verändern wird.
Grundsätzlich bleibt es jedoch dabei, dass das Unternehmen für die Einhaltung datenschutzrechtlicher Vorschriften verantwortlich ist, während der DSB auf die Einhaltung „nur“ hinwirken kann. Dies soll – wie bisher auch – zunächst durch die Unterrichtung und Beratung des Unternehmens sowie der datenverarbeitenden Beschäftigten über die bestehenden Datenschutzpflichten geschehen. Darüber hinaus gilt es die Einhaltung dieser Pflichten durch regelmäßige Kontrollen der Verarbeitungsprogramme zu überwachen und damit betraute Personen im Hinblick auf die Durchführung und Überwachung zu schulen und – das ist neu – zu sensibilisieren (Art. 39 Abs. 1 lit. c DSGVO). Neu ist auch, dass der DSB künftig weder für die Durchführung von Datenschutz-Vorabkontrollen (ab 2018 „Folgenabschätzung“) noch für die Erstellung von Verfahrensverzeichnissen verantwortlich sein wird; hierfür ist nun explizit das Unternehmen selbst verantwortlich. Zu seinen Aufgaben wird jedoch gehören, die verantwortlichen Stelle dabei zu beraten und sie zu überwachen. Zudem wird die Zusammenarbeit mit den Datenschutzbehörden intensiviert, indem aus der im BDSG enthaltenen optionalen Zusammenarbeit (§ 4g Abs. 1 S. 2,3) nun eine Pflicht wird (Art. 39 Abs. 1 lit. d,e DSGVO). Außerdem regelt Art. 38 IV DSGVO, dass der DSB künftig als Ansprechpartner für Betroffene fungieren soll. Zusammengefasst ergibt sich daraus folgendes Aufgabenspektrum:
- Unterrichtung und Beratung des Unternehmens sowie der datenverarbeitenden Beschäftigten über die bestehenden Datenschutzpflichten (Gesetze, Rechtsprechung etc.)
- Überwachung der Einhaltung datenschutzrechtlicher Regelungen und betrieblicher Strategien für den Schutz personenbezogener Daten
- Sensibilisierung und Schulung von Mitarbeitern
- Beratung bei und Überwachung der Durchführung einer Datenschutz-Folgenabschätzung
- Zusammenarbeit mit und Anlaufstelle für Datenschutzbehörden
- Ansprechpartner für Betroffene
Welche Stellung nimmt der DSB ein?
Diese Aufgabenerfüllung ist nur dann sinnvoll möglich, wenn der DSB unabhängig von der zu kontrollierenden Stelle agieren kann. Er darf im Hinblick auf die Erfüllung der Aufgaben deshalb nicht weisungsgebunden sein und aus Gründen der DSB-Tätigkeit nicht abberufen oder benachteiligt werden. Das war bisher so und wird auch so bleiben. Fraglich erscheint dagegen, ob die nach derzeitiger Rechtslage bestehenden Vorteile in Form eines Sonderkündigungsschutzes für den DSB gem. § 4f Abs. 3 BDSG bestehen bleibt. Die DSGVO sagt dazu nichts und die oben erwähnte Öffnungsklausel gilt dafür ebenfalls nicht. [Ich gehe jedoch davon aus, dass in der Rechtsprechung bei dem Sonderkündigungsschutz bleibt, mit einem Argument wie „Schutz der Position muss arbeitsrechtlich beibehalten werden“ o.ä. bestehen bleiben wird.] Jedenfalls bleibt es aber dabei, dass der DSB unmittelbar der höchsten Managementebene unterstellt wird und dass sich aus der Tätigkeit Geheimhaltungs- und Vertraulichkeitspflichten ergeben. Wie dies mit einer verstärkten Zusammenarbeit mit den Datenschutzbehörden in Einklang zu bringen ist, wird sich künftig zeigen müssen.
Wer kann zum DSB bestellt werden?
Wer letztlich das Amt des DSB bekleidet, entscheiden die Unternehmensverantwortlichen. Bevor nun aber Herr F. aus dem Bereich XY abgezogen und umgeschult wird, gilt es zu beachten, dass die DSGVO einige Grundvoraussetzungen festlegt, welche in der Person des DSB erfüllt sein müssen. So fordert Art. 37 Abs. 5 DSGVO neben der beruflichen Qualifikation und einem besonderes Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis auch die Fähigkeit zur Erfüllung der o.g. Aufgaben. Die Anforderungen decken sich im Wesentlichen mit denen, die auch das BDSG festlegt (Fachkunde und Zuverlässigkeit), so dass sich Unternehmen auch in Zukunft an den vom Düsseldorfer Kreis zusammengestellten „Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz“ orientieren können. Neben technischen, rechtlichen und betriebsorganisatorischen Kenntnissen gilt es bei der Wahl des DSB auch persönliche Eigenschaften (z.B. Bereitschaft zur Weiterbildung, Konfliktlösungspotenzial etc.) zu berücksichtigten. Ob dann letztlich ein unternehmenseigener Mitarbeiter oder doch ein externer Dienstleister zum DSB bestellt wird, spielt dagegen keine Rolle.
Wer kann nicht zum DSB bestellt werden? (Interessenskollision)
Obwohl damit theoretisch jedermann zum DSB bestellt werden könnte, wird der Personenkreis in der Praxis aufgrund der sogenannten „Interessenskollision“ nicht unerheblich eingeschränkt.
Eine Bestellung scheidet nämlich immer dann aus, wenn die Gefahr eines Interessenkonflikts besteht. So kann eine Tätigkeit als DSB neben der Ausübung einer weiteren (Haupt-) Tätigkeit oftmals ein Konfliktpotential enthalten, wenngleich gegen eine solche „Doppelbelastung“ dem Grunde nach nichts spricht.
Gemeint ist damit das Folgende: Bekleidet etwa der Unternehmensinhaber oder Geschäftsführer gleichzeitig das Amt des DSB, liegt die Vermutung nahe, dass im Zweifel primär wirtschaftliche und weniger datenschutzrechtliche Interessen verfolgt werden. Die fehlende Distanz zwischen Unternehmen und dem DSB als Kontroll- und Überwachungsinstanz fehlt auch bei Leitern der IT-Abteilung. Denn IT-Leiter müssen die Datenverarbeitungsprozesse nach unternehmerischen Vorgaben und im Interesse einer Optimierung für das Unternehmen betreiben. Das dies im Konflikt damit steht, diese Prozesse unter datenschutzrechtlichen und -technischen Gesichtspunkten zu überwachen und im Zweifel zu begrenzen, ist wohl nur allzu offensichtlich. (Beim IT-Sicherheitsbeauftragten hingegen spricht jdann nichts gegen eine Bestellung, wenn seine Funktionen von der IT-Abteilung losgelöst sind.) Ein Interessenkonflikt liegt in der Regel auch bei Leitern der Rechtsabteilung vor. Trotz des vielleicht ausreichenden rechtstechnischen Fachwissens liegt es hier nahe, dass dieser die oftmals interpretationsbedürftigen Gesetze in dubio pro Arbeitgeber und damit zum Nachteil des Betroffenenschutzes ausgelegen dürfte. Auch hier ist der Interessenskonflikt also offensichtlich. Und all dies gilt im Ergebnis nach überwiegender Auffassung auch für den Personalleiter eines Unternehmens.
Nun könnte man auf die Idee kommen, dass sich dieses Problem bei der Bestellung eines externen DSB erledigt. Doch dem ist nicht so. Die selbe Problemstellung ergibt sich auch bei externen Personen, die als Anwälte, Steuerberater, Wirtschaftsprüfer o.Ä. ohnehin für das betroffene Unternehmen tätig sind und die damit selbstverständlich im Zweifel ebenso im Interessenkonflikt stehen. Eine Problemstellung, die erstaunlicherweise oft von den externe DSB gegenüber den beauftragenden Unternehmen unter den Teppich gekehrt wird. Denn an sich müsste ein als externer DSB beauftragter Anwalt bei einer datenschutzrechlichen Anfrage á la „Wie hoch ist denn hier das Risiko, wenn wir die Datenverarbeitung so oder so machen“ schlicht sagen „Das dürfen Sie gar nicht machen, weil beides nach Auffassung der Datenschutzbehörden nicht rechtskonform ist.“ Denn, wie gesagt, der Datenschutzbeauftragte ist ausschließlich dem Datenschutz und eben nicht dem Mandanten verpflichtet.
Unabhängig davon, wer beauftragt werden soll und welche Tätigkeit daneben noch ausgeübt wird, ist entscheidend, dass keine Interessenkollision bestehen darf. Liegt eine solche doch vor, kann das (bald äußerst) kostspielige Folgen haben, wie sich aus den nachfolgenden Zeilen ergibt.
Was passiert, wenn gegen die Bestellpflicht verstoßen wird?
Bestellt das Unternehmen keinen DSB oder nur unzureichend einen DSB, drohen erhebliche rechtliche Konsequenzen. Was eine Nicht-Bestellung ist, ist eindeutig. Eine unzureichende Bestellung liegt etwa vor, wenn es an dem konstitutiven Schriftformerfordernis bei der Bestellung oder aber an der erforderlichen Zuverlässigkeit fehlt. Die erforderliche Zuverlässigkeit fehlt wiederum, wenn der DSB unter einem der aufgeführten Interessenkonflikten steht. Ob Nicht-Bestellung oder unzureichende Bestellung, das Ergebnis ist das Gleiche: Beides gilt als Verstoß gegen die Pflicht einen DSB ordentlich zu bestellen und kann als Ordnungswidrigkeit mit einer Geldbuße von bis zu 50.000 € sanktioniert werden.
Wer sich nun denkt: ‚Ach, peanuts..‘, dem sei an dieser Stelle unsere mehrteilige Beitragsserie zur DSGVO ans Herz gelegt. Denn mit Wirkung der DSGVO werden sich die angedrohten Bußgelder nämlich drastisch erhöhen. Bei Verstößen gegen die Bestellpflicht drohen dann Geldbußen von bis zu 10 000 000 EUR oder im Falle eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 4 lit. a DSGVO).
Und vor diesem Hintergrund sollte sich gut überlegt werden, ob man den externen Datenschutzbeauftragten, welcher zugleich Anwalt ist, weiter mit der datenschutzrechtlichen Beratung beauftragen möchte. Das ist zwar – trotz der schon heute bestehenden Interessenskollision – derzeit gängige Praxis, aber deswegen nicht weniger rechtswidrig. Und wie eben alles andere auch, wird dieser datenschutzrechtliche Verstoß in Zukunft teuer.
Was müssen Unternehmen sonst noch beachten?
Die Bestellung eines DSB ist der erste Schritt, dem – wie soll es auch anders sein – noch weitere folgen müssen. Für das Unternehmen besteht nämlich zusätzlich die Pflicht, dem DSB bei der Erledigung seiner Aufgaben unterstützend beizustehen. Das umfasst die frühzeitige und ordnungsgemäße Einbindung in datenschutzrechtliche Fragen (Art. 38 Abs. 1 DSGVO) ebenso, wie die Bereitstellung dafür erforderlicher Ressourcen (Personal, Räume, Geräte etc.), den Zugang zu personenbezogenen Daten und Verarbeitungsprozessen sowie die Eröffnung von Weiterbildungsmöglichkeiten (Art. 38 Abs. 2 DSGVO). Weder im BDSG noch in der DSGVO wird dagegen explizit erwähnt, dass dem DSB – sollte er dieses Amt neben seiner Haupttätigkeit betreiben – genügend Zeit zur Arbeit als DSB zur Verfügung gestellt werden muss. Das macht aber nichts, da diese Voraussetzung allgemein anerkannt ist und vom Unternehmen daher erfüllt werden muss.
Interne oder externe Bestellung?
Hier gibt es kein richtig und kein falsch. Wichtig sind nur zwei Dinge: Zum einen darf keiner der eben erörterten Interessenskonflikte bestehen. Es wäre also ebenso unklug den IT-Leiter als interne wie den langjährig beratenden Anwalt als externe Lösung zu favorisieren. Zum anderen sollte den – aus Marketing-Gründen verständlichen – Lockungen der vielen Anbieter externer Datenschutzbeauftragung, welche vor allem mit den „Ersparnissen“ und der „Haftungsauslagerung“ winken, kritisch gegenüber gestanden werden. Ein Datenschutzbeauftragter braucht – gerade zu Beginn – Zeit. Zeit sich in die Prozesse einzufinden (Call it „Audit“, if you like), diese zu strukturieren und alles, was damit zu tun hat datenschutzrechtlich und -technisch auf die richtigen Füße zu stellen. Nun ist leicht vorstellbar, dass ein externer DSB im Hinblick auf (das Dirigieren) dieses Audit aufgrund mangelnder Kenntnisse der Betriebsabläufe nicht zwingend schneller ist. Und auch wenn die Prozesse gesetzt sind, ergeben sich nun einmal naturgemäß ständig Änderungen und Fragen dazu. All dies lässt sich natürlich ganz wunderbar auch von und mit externen DSB be- und abarbeiten. Nur glauben Sie aber bitte nicht, dass es da mit einem Retainer über 150,00 EUR im Monat getan sein wird. Diese „Feigenblatt“-Beauftragung sieht gegenüber dem Unkundigen sicher gut aus, wenn aber die Datenschutzbehörde bei Ihnen – aus welchen Gründen auch immer – auf dem Hof, bzw. im Datenraum steht, dann wird das kaum etwas helfen. Und ach ja, noch zur „Auslagerung der Haftung“: Wie Sie oben gelesen haben, ist es mit der Auslagerung der Haftung unter DSGVO endgültig gar nicht mehr weit her…
Lange Rede, kurzer Sinn: Sowohl die interne wie die externe Beauftragung kann für Ihr Unternehmen sinnvoll sein. Prüfen Sie die verschiedenen Argumente jedoch ebenso sorgfältig wie die Anbieter und die Angebote zu externen Datenschutzbeauftragten.
[My 2Cent: Ich rate Unternehmen regelmäßig zum Aufbau eines internen DSB. Zum einen ist dies schon mittelfristig regelmäßig nicht teuer als ein externer DSB, der sich seine Zeit und sein Wissen auch entsprechend bezahlen lässt. Zum anderen, weil damit langfristig benötigtes Knowhow im Unternehmen aufgebaut wird, das auch an Nachfolger übergeben werden kann. Und das wiegt mE den Punkt „Sonderkündigungsschutz“ grds. auf; schließlich wird das Wissen im Unternehmen langfristig benötigt. Trotzdem können natürlich im konkreten Fall auch die besseren Argumente für den externen sprechen]
Fazit
Ob nach neuer oder alter Rechtslage: Das Unternehmen ist für die Einhaltung datenschutzrechtlicher Vorgaben verantwortlich, der Datenschutzbeauftragte wirkt auf die tatsächliche Einhaltung dieser Pflicht hin. Seine Bestellung ist und bleibt deshalb gesetzlich vorgeschrieben, so dass sich daraus zunächst für jedes Unternehmen Berührungspunkte mit diesem Thema ergeben.
Unternehmensverantwortliche haben zunächst die Frage zu klären, ob im jeweiligen Fall tatsächlich eine Bestellpflicht besteht? Wird dies bejaht, folgt die zweite Frage: Wer soll‘s machen? Ob interne oder externe Person, spielt dem Grunde nach keine Rolle. Entscheidend ist – wie gesagt – nur zweierlei. Zum einen dürfen keine Interessenkonflikte entstehen, die einer Eignung entgegenstehen würden. Und zum anderen darf die Bestellung des DSB, gleich ob intern oder extern, kein Feigenblatt sein. Darüber hinaus ist es allein mit der Bestellung des DSB ist es aus Unternehmenssicht jedoch noch nicht getan, da auch darüber hinaus noch Mitwirkungs- und Unterstützungspflichten bestehen.
Und wird dieses Themenkomplex gar nicht oder zu lax angegangen, drohen am Ende des Tages (künftig noch höhere) Bußgelder.
In diesem Sinne,
auf konstruktive Datenschutzbeauftragte!
[Btw: Noch mehr Infos zum DSB, den Aufgaben und Praxistipps gibt es in der vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit veröffentlichten Broschüre zum Datenschutzbeauftragten in Behörde und Betrieb.]
*Der Jurist Christian Frerix promoviert derzeit an der Universität Hamburg und war daneben bis November 2017 in der Anwaltskanzlei Diercks (vormals: im Hamburger Büro von Dirks & Diercks Rechtsanwälte) als Jurist tätig.
Bisher in der Reihe zur DSGVO außerdem erschienen:
Teil 1 – Der erste einordnende Überblick zur neuen EU-Datenschutzgrundverordnung
Teil 2 – Die wichtig(st)en Begriffe der Datenschutzgrundverordnung kurz erklärt.
Teil 5 – Die Pflichten der Unternehmen, genau genommen: Informationspflichten und Auskunftspflichten
Teil 6 – Big Data im Zeitalter der EU-Datenschutzgrundverordnung (DSGVO)
Teil 9 – Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO – I