Aufsatz : Der Datenschutzbeauftragte nach der Datenschutz- Grundverordnung: Bestellpflicht, Rechtsstellung und Aufgaben : aus der RDV 2/2016, Seite 61 bis 68
Der betriebliche und behördliche Datenschutzbeauftragte wird in der EU-Datenschutz-Grundverordnung (DS-GVO) erstmals europaweit verbindlich geregelt. Die Regelungen umfassen die Bestellungsvoraussetzungen sowie Rechtsstellung und Aufgaben des Datenschutzbeauftragten. Wenngleich offensichtlich das deutsche Modell Pate für die europäische Regelung gestanden hat, gibt es doch im Detail Unterschiede. Der Beitrag analysiert auf Grundlage des Ergebnisses des Trilogs die einschlägigen Artikel 35 bis 37 und vergleicht sie mit den Vorschriften des BDSG.
I. Bestellung eines Datenschutzbeauftragten
1. Voraussetzungen der Bestellpflicht nach der DS-GVO
Nach dem Ergebnis des Trilogs soll sich eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten künftig in folgenden Fällen ergeben: − die personenbezogene Datenverarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt, mit Ausnahme von Gerichten, die in ihrer gerichtlichen Eigenschaft handeln (Art. 35 Abs. 1 Buchstabe a) DS-GVO-E),
- die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen (Art. 35 Abs. 1 Buchstabe b) DS-GVO-E) oder
- die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 9a (Art. 35 Abs. 1 Buchstabe c) DS-GVO-E).
Die Bestellpflicht nach den letzten beiden Spiegelstrichen hat jeweils zwei Voraussetzungen. Erstens muss die die Bestellpflicht auslösende personenbezogene Datenverarbeitung zur „Kerntätigkeit“ bzw. zu den „core activities“ des für die Verarbeitung Verantwortlichen bzw. Auftragsverarbeiters gehören. „Core activities“ sind alle Geschäftsbereiche, die entscheidend sind für die Umsetzung der Unternehmensstrategie, die ihren Ausdruck findet in Kundenservice, Marketing, Produktdesign etc. Keine Aktivitäten in diesem Sinne sind routinemäßige Verwaltungs- und Erhaltungsaufgaben. Nach alledem reicht es folglich aus, wenn die die Bestellpflicht auslösende Tätigkeit einen Hauptzweck der betreffenden Stelle darstellt. Zweitens muss die Tätigkeit bestimmte inhaltliche Voraussetzungen erfüllen, nämlich das Erfordernis einer umfangreichen, regelmäßigen und systematischen Beobachtung im Sinne von Art. 35 Abs. 1 Buchstabe b) DS-GVO-E oder die umfangreiche Verarbeitung von Daten im Sinne von Art. 35 Abs. 1 Buchstabe c) DS-GVO-E. „Beobachtung“ ist dabei nicht im engeren Wortsinne als Wahrnehmung mit den Augen zu verstehen. Gemeint ist vielmehr, dass umfangreiche regelmäßige und systematische personenbezogene Auswertungen, insbesondere Profilbildungen erfolgen. Dies trifft etwa auf die Tätigkeit von Auskunfteien und Detekteien[1] zu. Auch Versicherungsunternehmen, die zwecks Beurteilung ihrer Risiken und zur ggf. notwendigen Anpassung der Verträge ihre Versicherungsnehmer „beobachten“ oder individualisierte Tarife („Pay as you drive“) anbieten, werden erfasst.
Auch personenbezogene Marketingmaßnahmen, die nicht pauschal gegenüber dem jeweiligen Kunden-/Interessentenstamm erfolgen, sondern auf zuvor erstellten gezielten Kunden-/Interessentenprofilen beruhen, können eine Bestellpflicht gemäß Art. 35 Abs. 1 Buchstabe b) DS-GVO-E auslösen. Insbesondere wird das Marketing für Stellen, die es betreiben, regelmäßig auch Bestandteil der Kerntätigkeit sein.
Eine Bestellpflicht nach Buchstabe c) wird sich etwa für Gesundheitseinrichtungen, wie z.B. Krankenhäuser, mit genetischen Untersuchungen befasste Labors, Beratungsstellen wie Pro Familia, Dienstleister im biometrischen ID-Management oder Anbieter erotischen Zubehörs ergeben.
Die Pflicht zur Bestellung eines Datenschutzbeauftragten soll sich künftig im Übrigen nicht nur aus der DS-GVO selbst ergeben können. Insbesondere aufgrund des Bestrebens Deutschlands im Rahmen der Verhandlungen zur DS-GVO wurde in Art. 35 Abs. 4 DS-GVO-E eine Öffnungsklausel vorgesehen, die es ermöglicht, auf der Ebene des EU-Rechts bzw. des nationalen Rechts im Verhältnis zur DS-GVO weitergehende Verpflichtungen zur Bestellung von Datenschutzbeauftragten vorzusehen. Art. 35 Abs. 4 DS-GVO-E stellt überdies klar, dass die freiwillige Bestellung von Datenschutzbeauftragten unbenommen ist.
Mit Blick darauf, dass das in Deutschland bestehende und bewährte System der Beauftragten für Datenschutz in Unternehmen und Verwaltung nach ausdrücklicher Positionierung des Bundestags nicht gefährdet werden soll[2], sind die Bestellvoraussetzungen, wie sie aktuell in § 4f Abs. 1 BDSG geregelt sind, beizubehalten. Nach BDSG vorgenommene Bestellungen bestehen in diesem Fall fort, allerdings bestimmen sich Aufgaben und Rechtsstellung des Datenschutzbeauftragten nunmehr nach der DS-GVO.
2. Reichweite der Öffnungsklausel nach Art. 35 Abs. 4 DS-GVO-E
Die Öffnungsklausel in Art. 35 Abs. 4 DS-GVO-E bezieht sich ausschließlich auf die Voraussetzungen, unter denen ein Datenschutzbeauftragter zu bestellen ist. Aufgaben und Rechtsstellung des Datenschutzbeauftragten können vom nationalen Gesetzgeber nicht in Abweichung von der DSGVO geregelt werden.
3. Anforderungen an die Bestellung
a) Notwendige Qualifikation und persönliche Voraussetzungen
Im Hinblick auf die notwendige Qualifikation des zu bestellenden Datenschutzbeauftragten ist als Ergebnis der Trilogverhandlungen vorgesehen, dass dieser nach Maßgabe der beruflichen Qualifikation und insbesondere des Fachwissens, das dieser auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie nach Maßgabe seiner Fähigkeit zur Erfüllung der in Art. 37 genannten Aufgaben zu benennen ist (Art. 35 Abs. 5 DS-GVO-E). Gravierende Unterschiede im Verhältnis zu den sich bislang aus § 4f Abs. 2 Satz 1 BDSG ergebenden Fachkundeanforderungen, wonach eine Trias rechtlicher, technischer und organisatorischer Kenntnisse erforderlich ist[3], dürften sich insofern kaum ergeben.
Gemäß Art. 36 Abs. 4a BDSG dürfen dem Datenschutzbeauftragten auch Aufgaben und Pflichten außerhalb des Datenschutzes obliegen, sofern sichergestellt ist, dass hie raus kein Interessenkonflikt resultiert. Auch insofern werden sich im Wesentlichen keine Unterschiede zu den möglichen Interessenkollisionen für den Datenschutzbeauftragten ergeben, die im Zusammenhang mit der notwendigen Zuverlässigkeit nach § 4f Abs. 2 Satz 1 BDSG diskutiert werden[4]. Das Erfordernis der persönlichen Integrität, welches im BDSG als Teilaspekt der notwendigen Zuverlässigkeit angesehen wird, wird im Entwurf der DS-GVO nicht explizit aufgestellt. Jedoch wird sich dieses aus seiner Aufgabenstellung, Ansprechpartner des Unternehmens und der betroffenen Personen zu sein, ableiten lassen.
b) Form der Bestellung
Anders als das BDSG, das insofern die Wahrung der Schriftform (§ 126 BGB) verlangt (§ 4f Abs. 1 Satz 1), stellt der Entwurf der DS-GVO keine bestimmten Anforderungen an die Form der Bestellung des Datenschutzbeauftragten. Zur Gewährleistung von Rechtssicherheit und aus Dokumentationsgründen erscheint eine schriftliche Bestellung jedoch weiterhin ratsam.
c) Dauer der Bestellung bzw. Möglichkeit der Befristung
Nach dem Kommissionsentwurf von 2012 war der Datenschutzbeauftragte für eine Mindestdauer von zwei Jahren zu benennen, wobei eine Wiederernennung möglich sein sollte (Art. 35 Abs. 7 des Entwurfs der EU-Kommission). Während seiner Amtszeit sollte er seines Postens nur dann enthoben werden können, wenn er die Voraussetzungen für die Erfüllung seiner Pflichten nicht erfüllt. Die Anforderungen bezüglich einer Mindestdauer der Bestellung sind im Rahmen der Trilogverhandlungen ersatzlos entfallen, so dass nunmehr auch kürzere Befristungen als zwei Jahre möglich wären. Vor dem Hintergrund der unabhängigen Aufgabenwahrnehmung ist dies als kritisch anzusehen[5]. Wer ständig fürchten muss, dass seine Bestellung nicht verlängert wird, dem wird es schwer fallen, im Interesse des Datenschutzes auch Positionen einzunehmen, die der Unternehmensleitung bzw. Fachabteilung unlieb sind. Effektive Selbstkontrolle ist aber nur möglich, wenn der Datenschutzbeauftragte in die Position versetzt wird, unter Umständen auch gegen die Interessen der ihn bestellenden Stelle zu handeln[6].
Der Abberufungsschutz zugunsten des Datenschutzbeauftragten soll nach dem Ergebnis des Trilogs erhalten bleiben, allerdings in geänderter Form[7].
d) Möglichkeit der externen Bestellung bzw. der Bestellung von Konzerndatenschutzbeauftragten
Art. 35 Abs. 8 DS-GVO-E erlaubt, dass nicht nur ein Beschäftigungsverhältnis Grundlage für die Bestellung eines Datenschutzbeauftragten sein kann, sondern auch ein Dienstleistungsvertrag. Damit wird die Bestellung sog. externer Datenschutzbeauftragter wie zuvor nach § 4f Abs. 2 Satz 3 Halbsatz 1 BDSG weiterhin ermöglicht. Die Frage, ob auch eine juristische Person die Aufgabe des Datenschutzbeauftragten wahrnehmen kann, wird damit und auch durch die übrigen Regelungen des Entwurfs der DS-GVO nicht entschieden[8].
Einen Konzernbeauftragten für den Datenschutz sah das BDSG nicht explizit vor, die Figur war jedoch durch die Möglichkeit der Bestellung eines externen Datenschutzbeauftragten legitimiert[9]. Da das BDSG bezüglich der Bestellung auf die verantwortliche Stelle abstellt, bedarf es jedoch der Bestellung durch jedes einzelne Unternehmen[10]. Der Entwurf der DS-GVO nimmt sich dieses administrativen Aufwandes der Mehrfachbestellung an, indem er in Art. 35 Abs. 2 einer Unternehmensgruppe erlaubt, einen gemeinsamen Datenschutzbeauftragten zu ernennen. Die Unternehmensgruppe ist dabei in Art. 4 Ziffer 16 DS-GVO-E als Gruppe definiert, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht. Diese Definition entspricht der des Konzerns in § 18 AktG. Somit kann ein Konzern für alle konzernangehörigen Unternehmen verpflichtende oder freiwillige Bestellungen in einem Akt vornehmen.
In diesem Zusammenhang stellt sich die Frage, ob die Möglichkeit der Bestellung eines Konzernbeauftragten zur Abberufung eines vorher auf Grundlage des BDSG berufenen betrieblichen Datenschutzbeauftragten berechtigt. Nach Rechtsprechung des BAG führt die Absicht der konzernweiten Betreuung des Datenschutzes durch einen externen Beauftragten nicht zu einem wichtigen Grund gemäß § 4f Abs. 3 Satz 4 BDSG zur Abberufung[11]. Die Vergleichsvorschrift in Art. 36 Abs. 3 DS-GVO-E beschränkt sich allerdings darauf, dass der Datenschutzbeauftragte nicht „wegen der Erfüllung seiner Aufgaben“ abberufen werden darf. Zu fragen ist, ob die Abberufung des betrieblichen Datenschutzbe auftragten aus Gründen der Konzerneinheitlichkeit nicht gleichwohl eine Umgehung des vom Verordnungsgeber inten dierten Schutzes darstellen würde. Die Regelung zur konzernweiten Bestellung wird nach Sinn und Zweck nur dahingehend verstanden werden können, in Konzernen grundsätzlich aufwendige Einzelbestellungen zu vermeiden. Ein Abberufungsgrund sollte nicht begründet werden.
Die Möglichkeit der Berufung eines Konzerndatenschutzbeauftragten ist weiterhin mit der Bedingung verbunden, dass dieser von jeder Niederlassung aus „leicht erreicht werden kann“. Diese Voraussetzung muss mit Blick auf die Aufgaben des Datenschutzbeauftragten sowohl für die Verantwortlichen der einzelnen Konzernunternehmen als auch für die Beschäftigten als betroffene Personen erfüllt sein. Die leichte Erreichbarkeit impliziert den persönlichen und sprachlichen Zugang. Der ausschließlich französischsprachige Konzerndatenschutzbeauftragte bei der Konzernmutter in Paris mit Töchtern in anderen europäischen Staaten wird diese Voraussetzung wohl nicht erfüllen können.
Auch im öffentlichen Bereich können mehrere Stellen einen gemeinsamen Datenschutzbeauftragten bestellen. Dies steht jedoch unter dem Vorbehalt der Organisationsstruktur und der Größe der jeweiligen Behörden bzw. öffentlichen Stellen (Art. 35 Abs. 3 DS-GVO-E). Da die Regelung des Art. 35 Abs. 8 DS-GVO-E zur Bestellung eines externen Datenschutzbeauftragten sowohl für die Privatwirtschaft als auch für den öffentlichen Bereich Anwendung findet, können auch öffentliche Stellen einen externen Datenschutzbeauftragten auf Grundlage eines Dienstleistungsvertrages bestellen. Regelungen in Landesdatenschutzgesetzen, die ausschließlich einen internen Datenschutzbeauftragten erlauben (z.B. § 32a DSG NRW), sind insofern künftig nicht mehr zulässig.
II. Rechtsstellung des Datenschutzbeauftragten
1. Unabhängigkeit und Stellung
Wie nach dem BDSG ist der Datenschutzbeauftragte weisungsunabhängig im Hinblick auf die Ausübung seiner Tätigkeit (Art. 36 Abs. 3 Satz 1 DS-GVO-E). Er berichtet unmittelbar der höchsten Managementebene des für die Verarbeitung Verantwortlichen bzw. des Auftragsverarbeiters (Art. 36 Abs. 3 Satz 3 DS-GVO-E).
Anders als noch im Kommissionsentwurf wird die Unabhängigkeit des Datenschutzbeauftragten nicht mehr in Art. 36 DS-GVO-E erwähnt, sondern nur noch in den Erwägungsgründen, nämlich am Ende des Erwägungsgrundes 75[12]. Dies ist insofern bemerkenswert, als die Unabhängigkeit des Datenschutzbeauftragten Dreh- und Angelpunkt für eine effektive Selbstkontrolle des Datenschutzes ist. Allerdings ist die Unabhängigkeit als solche im BDSG ebenfalls nicht explizit erwähnt, geregelt werden vielmehr nur ihre konkreten Ausprägungen, also insbesondere die unmittelbare Unterstellung unter die Leitung der verantwortlichen Stelle und die Weisungsfreiheit (§ 4f Abs. 3 Satz 1 und 2 BDSG) sowie der Abberufungs- und Kündigungsschutz (§ 4f Abs. 3 Satz 4 bis 6 BDSG). Auch wenn die einem unionsrechtlichen Rechtsakt vorausgehenden Erwägungsgründe keine unmittelbare normative Wirkung entfalten, stellen sie im Übrigen aber gleichwohl einen integralen Bestandteil des Rechtsakts insgesamt dar und sind als Auslegungshilfe des Gesetzgebers entsprechend zu beachten[13].
Die vorgesehene Regelung eröffnet dem Datenschutzbeauftragten lediglich einen Berichtsweg und bleibt insofern hinter dem aktuellen nationalen Recht zurück, wonach der Datenschutzbeauftragte der Leitung der verantwortlichen Stelle unmittelbar zu unterstellen ist (§ 4f Abs. 3 Satz 1 BDSG)[14]. Die unmittelbare Unterstellung unter die Unternehmensleitung ist nach nationalem Verständnis die organisatorische Umsetzung zur Gewährleistung der unabhängigen Arbeit des Datenschutzbeauftragten. Seine Sonderstellung verschafft ihm bei denjenigen, die personenbezogene Daten verarbeiten, die notwendige Autorität[15]. Im Sinne der Gewährleistung eines effektiven Datenschutzmanagements ist die unmittelbare Unterstellung des Datenschutzbeauftragten unter die Leitung folglich auch weiterhin angezeigt.
2. Abberufungsschutz
Im Kommissionsentwurf war der Abberufungsschutz des Datenschutzbeauftragten in Art. 35 Abs. 7 Satz 3 DS-GVO-E in der Form geregelt, dass er während seiner Amtszeit seines Postens nur enthoben werden können sollte, wenn er die Voraussetzungen für die Erfüllung seiner Pflichten nicht mehr erfüllt. Nach dem Ergebnis des Trilogs soll der Abberufungsschutz nunmehr in Art. 36 DS-GVO-E im Zusammenhang mit der Weisungsfreiheit des Datenschutzbeauftragten geregelt werden. Geplant ist eine Regelung, wonach der Datenschutzbeauftragte nicht aus Gründen seines Amtes enthoben oder sonst benachteiligt werden darf, die mit der Wahrnehmung seines Amtes zusammenhängen (Art. 36 Abs. 3 Satz 2 DS-GVO-E).
Zugunsten des Datenschutzbeauftragten ist nunmehr also – vergleichbar § 4f Abs. 3 Satz 3 BDSG – auch ein allgemeines Benachteiligungsverbot vorgesehen. Zu seinen Lasten bieten allerdings nach dem neuen Entwurf mehr Gründe Anlass für seine Abberufung. Mit dem neuen Entwurf ist insbesondere klargestellt, dass die Bestellung auch betriebsbedingt entfallen kann. Ansonsten hätte sich insofern dieselbe Frage gestellt, wie sie sich vor Einführung des besonderen Kündigungsschutzes für den Datenschutzbeauftragten (§ 4f Abs. 3 Satz 5 und 6 BDSG) auch schon nach nationalem Recht stellte, nämlich, inwiefern der Abberufungsschutz mittelbar auch einen arbeitsrechtlichen Schutz vor Kündigung begründet[16].
Kündigungsschutz soll der Datenschutzbeauftragte – wie auch schon nach dem Kommissionsentwurf – nach dem Ergebnis des Trilogs nicht genießen.
Auf Grund seiner Befugnis zur Regelung des materiellen Arbeitsrechts bleibt es dem nationalen Gesetzgeber jedoch unbenommen, einen Sonderkündigungsschutz für Datenschutzbeauftragte auf nationaler Ebene weiterhin vorzusehen. Hinsichtlich der Notwendigkeit einer solchen Regelung sei auf den nationalen Gesetzgeber selbst, nämlich die Gesetzesbegründung zur BDSG-Novellierung aus 2009 verwiesen. Dort ist explizit festgestellt, dass die erschwerte Abberufung allein sich nicht als ausreichender Schutz für den Datenschutzbeauftragten erwiesen habe, vor allem dann – was der Regelfall ist –, wenn die Aufgabe nur als Teilaufgabe wahrgenommen werde[17].
3. Einbindung und Unterstützung des Datenschutzbeauftragten
Art. 36 Abs. 1 und 2 DS-GVO-E regeln den Anspruch des Datenschutzbeauftragten auf Einbindung und Unterstützung, welcher im Einzelnen Folgendes umfasst und insofern im Wesentlichen der bisherigen nationalen Rechtslage entspricht:
- ordnungsgemäße und frühzeitige Einbindung in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen;
- Unterstützung bei der Erfüllung der Aufgaben nach Art. 37 DS-GVO-E;
- Zurverfügungstellung der erforderlichen Ressourcen zur Aufgabenwahrnehmung und Erhaltung des Fachwissens;
- Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen.
Die relevanten Ressourcen im Rahmen der Unterstützung des Datenschutzbeauftragten entsprechen u.a. den in § 4f Abs. 5 Satz 1 BDSG Genannten, also Hilfspersonal, Räume, Einrichtungen, Geräte und sonstige Mittel. Wichtiger Bestandteil der Unterstützungspflicht ist darüber hinaus, dass einem Mitarbeiter, dem die Aufgabe als Datenschutzbeauftragter zusätzlich zu den bisher wahrgenommenen Aufgaben übertragen wird, die erforderliche Zeit zur Wahrnehmung der Aufgabe bereitgestellt, er also von anderen Aufgaben entlastet wird[18]. Begrüßenswert ist, dass der Fortbildungsanspruch des Datenschutzbeauftragten wie im BDSG 2009 explizit geregelt werden soll, da es die praktische Durchsetzung desselben erleichtert.
4. Datenschutzbeauftragter als „Anwalt der Betroffenen“ / Pflicht zur Geheimhaltung bzw. Vertraulichkeit
Nach Art. 36 Abs. 2a DS-GVO-E können betroffene Personen den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte aus der Verordnung in Zusammenhang stehenden Fragen zu Rate ziehen. Diese Regelung entspricht im Wesentlichen der nationalen Regelung in § 4f Abs. 5 Satz 2 BDSG, wonach sich Betroffene jederzeit an den Beauftragten für den Datenschutz wenden können.
Nach nationalem Recht steht die Tätigkeit des Datenschutzbeauftragten als „Anwalt der Betroffenen“ in engem Zusammenhang mit dessen Verschwiegenheitspflicht aus § 4f Abs. 4 BDSG. Nach dieser Regelung ist der Datenschutzbeauftragte zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf diesen zulassen, verpflichtet, soweit er nicht hiervon befreit wird. Besondere Bedeutung erlangt die Verpflichtung zur Wahrung der Vertraulichkeit im Bereich des Beschäftigtendatenschutzes, drohen doch ggf. karrieremäßige Nachteile, wenn bekannt wird, dass sich ein Mitarbeiter zwecks Überprüfung der Verarbeitung seiner personenbezogenen Daten an den Datenschutzbeauftragten gewandt hat. Eine vergleichbare Pflicht wie in § 4f Abs. 4 BDSG ist im Entwurf der DS-GVO nicht vorgesehen. Festgestellt wird nur, dass der Datenschutzbeauftragte nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden ist (Art. 36 Abs. 4 DS-GVO-E). Insofern ist es zulässig und dringend geboten, die bisherigen nationalen Vorschriften zur Verschwiegenheit des Datenschutzbeauftragten aufrechtzuerhalten. Hierzu zählen auch § 4f Abs. 4a BDSG und § 203 Abs. 2a StGB.
5. Publizität der Person des Datenschutzbeauftragten / Kontaktdaten
Nach Art. 35 Abs. 9 DS-GVO-E veröffentlicht der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit. Damit verbunden ist eine neue Publizität der Person des Datenschutzbeauftragten, die dessen Bedeutung als „Anwalt der Betroffenen“[19] und fachlicher Ansprechpartner der Aufsichtsbehörde[20] gerecht wird.
III. Aufgaben des Datenschutzbeauftragten
1. Grundsätzliches zum Ergebnis des Trilogs
Im Hinblick auf den Kommissionsentwurf wurde von den Autoren ausgeführt[21], dass hinsichtlich der Beschreibung der Aufgaben des Datenschutzbeauftragten eine graduelle Verschiebung stattfand, weg vom Datenschutzbeauftragten als unabhängigem betrieblichen Kontroll- hin zum Compliance-Organ mit Verpflichtung zur Unterstützung der staatlichen Fremdkontrolle.
Die Trilogverhandlungen haben insofern zu einer deutlichen Verbesserung geführt. Nicht mehr vorgesehen sind die Verpflichtung sicherzustellen, dass die in Art. 28 DS-GVO-E genannte Dokumentation vorgenommen wird, sowie die vorgeschlagenen Überwachungspflichten im Zusammenhang mit der Data Breach Notification (Art. 37 Abs. 1 Buchstabe d) und e) des Entwurfs der EU-Kommission). Ebenfalls fortgefallen ist die Überwachungspflicht des Datenschutzbeauftragten im Hinblick auf die Einhaltung des Art. 34 DS-GVOE, also der vorherigen Konsultation der Aufsichtsbehörde.
Begrüßenswert ist insbesondere auch, dass nach der Einigung im Trilog der Ansatz des Kommissionsentwurfs entfallen soll, wonach der Datenschutzbeauftragte quasi als verlängerter Arm der Aufsichtsbehörde im Unternehmen tätig werden und dort auf Anfrage der Aufsichtsbehörde ergriffene Maßnahmen überwachen sollte (Art. 37 Abs. 1 Buchstabe g) des Entwurfs der EU-Kommission). Im Hinblick auf dessen Unabhängigkeit erschien diese Aufgabenzuweisung an den Datenschutzbeauftragten bedenklich.
Verbleiben sollen nach dem Trilog folgende Aufgaben des Datenschutzbeauftragten:
- Unterrichtung und Beratung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die personenbezogene Daten verarbeiten, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie anderen Datenschutzvorschriften der Union oder der Mitgliedstaaten;
- Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union oder der Mitgliedstaaten sowie der Strategien des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen; − Überwachung, dass die Datenschutz-Folgenabschätzung nach Maßgabe von Art. 33 DS-GVO-E durchgeführt wird, sowie auf Anfrage diesbezügliche Beratung ;
- Zusammenarbeit mit der Datenschutzaufsichtsbehörde;
- Tätigkeit als Ansprechpartner für die Aufsichtsbehörde in mit der Verarbeitung personenbezogener Daten zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 34, und gegebenenfalls Beratung zu allen sonstigen Fragen.
Durch den Trilog wurden die Aufgaben des Datenschutzbeauftragten damit wieder mehr an die aktuell geltenden Regelungen in § 4g BDSG angenähert. Neu im Verhältnis zum nationalen Recht und zu begrüßen ist, dass dem Datenschutzbeauftragten explizit die Wahrnehmung von Außenkontakten im Verhältnis zur Aufsichtsbehörde übertragen werden soll[22].
Im Nachfolgenden sollen nun die Aufgaben des Datenschutzbeauftragten nach der DS-GVO im Einzelnen dargestellt werden.
2. Unterrichtung und Beratung
Der Datenschutzbeauftragte hat nach dem Leitbild der DSGVO neben der Kontroll- auch eine Beratungsfunktion. Dabei hat er gemäß Art. 35 Abs. 1 Buchstabe a) DS-GVO-E nicht nur das Unternehmen, sondern auch die Beschäftigten hinsichtlich ihrer Pflichten nach den datenschutzrechtlichen Vorschriften zu unterrichten und beraten. Diese Aufgabe entspricht dem Hinwirkungsauftrag nach § 4g Abs. 1 Satz 1 BDSG. „Hinwirken“ bedeutet neben einer Kontrollbzw. Überwachungskomponente auch die Aufgabe, durch aktive Beratung tätig zu werden[23]. Auch die Pflicht zum „Hinwirken“ besteht nicht nur im Verhältnis zur Unternehmensleitung, sondern auch gegenüber den mit der Datenverarbeitung beauftragten Beschäftigten.
Im Rahmen der Datenschutz-Folgenabschätzung ist der Beratungsauftrag noch einmal speziell normiert (Art. 37 Abs. 1 Buchstabe f) DS-GVO-E)[24].
3. Überwachung der Einhaltung des Datenschutzes
Die Überwachung der Compliance des Unternehmens mit den datenschutzrechtlichen Vorschriften ist weitere Hauptaufgabe des Datenschutzbeauftragten (Art. 37 Abs. 1 Buchstabe b) DS-GVO-E). Die Überwachungspflicht bezieht sich auch auf die Strategien („policies“) des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen.
Weggefallen ist die Vorabkontrolle als persönlich zugewiesene Aufgabe des Datenschutzbeauftragten und damit auch seine Pflicht zur Konsultation der Aufsichtsbehörde in Zweifelsfällen. Die Schulung der Beschäftigten ist dem Datenschutzbeauftragten nicht mehr wie in § 4g Abs. 1 Satz 4 Nr. 2 BDSG als operative Aufgabe zugewiesen, vielmehr hat er nur noch deren Durchführung zu kontrollieren. Aber auch wenn operative Tätigkeiten wie die Mitarbeiterschulung oder die Entwicklung von Strategien und Richtlinien im Rahmen der Datenschutzorganisation nicht mehr zu seinem rechtlich verpflichtenden Aufgabengebiet gehören, können diese im Rahmen einer weiteren Kompetenzzuweisung vom Datenschutzbeauftragten wahrgenommen werden. Der Entwurf der DS-GVO beinhaltet keine abschließende Aufgabenzuweisung. Dies unterstreicht Art. 36 Abs. 4a DS-GVO-E, der die Wahrnehmung anderer Aufgaben nur unter den Vorbehalt eines Interessenkonflikts stellt. Sollen vom Datenschutzbeauftragten über den normativ verbindlich geregelten Bereich hinaus Aufgaben übernommen werden, bedarf es einer entsprechenden Zuweisung in der Stellenbeschreibung.
4. Aufgaben des Datenschutzbeauftragten im Zusammenhang mit der Datenschutz-Folgenabschätzung
Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge, so ist gemäß Art. 33 DS-GVO-E vorab eine Datenschutz-Folgenabschätzung durchzuführen. Sinnvoll wäre gewesen, die Datenschutz-Folgenabschätzung – nach dem Vorbild der deutschen Vorabkontrolle – unmittelbar vom Datenschutzbeauftragten als der unternehmensinternen Fachperson zur Kontrolle des Datenschutzes durchführen zu lassen[25]. Stattdessen soll diese wesentliche Aufgabe im Bereich des Datenschutzes den einzelnen Fachabteilungen überantwortet werden, die sich hierzu wiederum erst das erforderliche Know-how aneignen müssen.
Der Datenschutzbeauftragte hat zu überwachen, dass die Datenschutz-Folgenabschätzung gemäß Art. 33 durchgeführt wird, und – auf Anfrage – im Zusammenhang mit dieser zu beraten (Art. 37 Abs. 1 Buchstabe f) DS-GVO-E). Mit dem Beratungsauftrag des Datenschutzbeauftragten korrespondiert gemäß Art. 33 Abs. 1a DS-GVO-E eine entsprechende Verpflichtung des für die Verarbeitung Verantwortlichen, dessen Rat auch einzuholen. Es besteht insofern kein Ermessen dahingehend, ob der Datenschutzbeauftragte im Rahmen der Datenschutz-Folgenabschätzung befragt wird. Sofern ein Datenschutzbeauftragter bestellt ist, muss sein Rat auch eingeholt werden.
5. Zusammenarbeit mit der Datenschutzaufsichtsbehörde
Art. 37 Abs. 1 Buchstabe g) und h) DS-GVO-E regeln das Verhältnis des Datenschutzbeauftragten zur Aufsichtsbehörde. Danach ist es Aufgabe des Datenschutzbeauftragten, mit der Aufsichtsbehörde zusammenzuarbeiten („to cooperate“) und als Ansprechpartner für diese in mit der Verarbeitung personenbezogener Daten zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 34, zu fungieren. Gegebenenfalls („as appropriate“) hat der Datenschutzbeauftragte außerdem von sich aus die Behörde zu konsultieren (Art. 37 Abs. 1 Buchstabe h) am Ende DS-GVO-E).
Die geplante Regelung, wonach der Datenschutzbeauftragte Ansprechpartner für die Aufsichtsbehörde ist, stärkt die Position des Datenschutzbeauftragten, indem diesem die verantwortliche Wahrnehmung von Außenkontakten zugewiesen wird. Sinnvoll ist sie auch insofern, als der Behörde mit dem Datenschutzbeauftragten regelmäßig die fachkundigste Auskunftsperson zur Verfügung gestellt wird[26].
Die Aufgabe des Datenschutzbeauftragten, gegebenenfalls die Aufsichtsbehörde zu Rate zu ziehen, entspricht im Wesentlichen der bisherigen nationalen Regelung in § 4g Abs. 1 Satz 2 BDSG, wonach sich der Datenschutzbeauftragte in Zweifelsfällen an die zuständige Datenschutzaufsichtsbehörde wenden kann. Ein Anlass zur Anrufung der Aufsichtsbehörde wird insbesondere dann vorliegen, wenn sich der Datenschutzbeauftragte über die Auslegung einschlägiger gesetzlicher Regelungen oder die Angemessenheit einzelner Datenschutzmaßnahmen im Unklaren ist[27]. Bezüglich der Anzeige von Datenschutzverstößen gegenüber der Aufsichtsbehörde wird auf nationaler Ebene bislang vertreten, dass der Datenschutzbeauftragte insofern auch seine eigene Treueverpflichtung gegenüber der verantwortlichen Stelle zu beachten habe, was dazu führe, dass er in jedem Fall zunächst alle internen Möglichkeiten zur Beseitigung des Verstoßes auszuschöpfen habe, bevor er sich an die staatliche Stelle wendet[28]. Wenn eine vertrauensvolle Zusammenarbeit zwischen dem Datenschutzbeauftragten und der Unternehmensleitung möglich bleiben soll, muss diese Interpretation auch im Rahmen der Konsultationspflicht nach Art. 37 Abs. 1 Buchstabe h) DS-GVO-E gelten.
6. Pflicht zur risikoorientierten Tätigkeit
Auf Initiative des Rats der Europäischen Union neu eingeführt in den Verordnungsentwurf wurde die Pflicht des Datenschutzbeauftragten zur risikoorientierten Tätigkeit. Danach trägt der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt (Art. 37 Abs. 2a DS-GVO-E).
Gegen die Verpflichtung ist im Grundsatz nichts einzuwenden. Zur Gewährleistung der garantierten Unabhängigkeit des Datenschutzbeauftragten[29] muss die Bewertung, welche Verarbeitungsvorgänge wegen des mit ihnen verbundenen Risikos einer vorrangigen Bewertung bedürfen, aber dem Datenschutzbeauftragten selbst obliegen. Bestandteil von dessen Unabhängigkeit ist auch, grundsätzlich selbst darüber befinden zu können, wie die eigenen Aufgaben priorisiert werden und welche Systeme und Prozesse einer Prüfung unterzogen werden sollen. Zwar ist nicht ausgeschlossen, dass dem Datenschutzbeauftragten auch Prüfaufträge erteilt werden. Diese dürfen ihn aber nicht darin hindern, aus seiner Sicht vordringlichen datenschutzrechtlichen Angelegenheiten nachzugehen[30].
IV. Wegfall der Ermächtigungen zum Erlass delegierter Rechtsakte
Die im Kommissionsentwurf im Hinblick auf die Bestellvoraussetzungen, die berufliche Qualifikation, die Aufgaben, die Zertifizierung, die Stellung, die Befugnisse und die Ressourcen des Datenschutzbeauftragten vorgesehenen Ermächtigungen zum Erlass delegierter Rechtsakte durch die Kommission (Art. 35 Abs. 11 und Art. 37 Abs. 2 des Entwurfs der EU-Kommission) sollen als Ergebnis des Trilogs entfallen. Nach Auffassung der Kommission sollten die Ermächtigungen der Flexibilität bei der Anpassung an neue Herausforderungen dienen. Insbesondere die Vielzahl[31] der Ermächtigungen zugunsten der Kommission war jedoch kritisch. Alle für den Grundrechtsschutz wesentlichen Regelungen müssen in der Verordnung selbst bzw. durch Gesetze der Mitgliedstaaten getroffen werden[32].
V. Fazit
Ein Vergleich der Regelungen des Entwurfs der DS-GVO und des BDSG führt zu dem Ergebnis, dass Aufgaben und Rechtsstellung des betrieblichen und behördlichen Datenschutzbeauftragten weitgehend übereinstimmen. Es lässt sich jedoch feststellen, dass mit Blick auf die Aufgaben der Datenschutzbeauftragte verstärkt der Compliance zuzuordnen ist. Operative Aufgaben wie Mitarbeiterschulung oder Vorabkontrolle entfallen. Operative Aufgaben können dem Datenschutzbeauftragten vom für die Verarbeitung Verantwortlichen bzw. Auftragsverarbeiter jedoch zusätzlich zugewiesen werden.
Gleichwohl gibt es Veranlassung für den deutschen Gesetzgeber tätig zu werden. Da die Bestellungsvoraussetzungen im privatwirtschaftlichen Bereich unscharf konturiert sind, sollten zur Beibehaltung des deutschen Datenschutzniveaus, zu dem die betriebliche Selbstkontrolle einen wesentlichen Beitrag liefert, die Bestellungsvoraussetzungen des § 4f BDSG im Rahmen der nationalen Öffnungsklausel übernommen werden.
Um die unabhängige Aufgabenwahrnehmung auch arbeitsrechtlich zu flankieren, ist der deutsche Gesetzgeber zudem aufgefordert, die Regelungen der DS-GVO zum Abberufungsschutz um diejenigen des BDSG zum besonderen Kündigungsschutz zu ergänzen. Auch eine Konkretisierung der Verschwiegenheitsverpflichtung, die zugleich ein Verschwiegenheitsrecht darstellt, ist geboten, damit der Datenschutzbeauftragte seiner Stellung als „Anwalt der Betroffenen“ gerecht werden kann. Nur so ergibt sich ein stabiles Funktions- und Berufsbild für den betrieblichen und behördlichen Datenschutzbeauftragten.
RA Andreas Jaspers Rechtsanwalt Andreas Jaspers ist Geschäftsführer der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.
RAin Yvette Reif, LL.M.
RAin Yvette Reif, LL.M. (Informationsrecht) ist stellvertretende Geschäftsführerin der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. und Verfasserin des GDD-Ratgebers „Der betriebliche Datenschutzbeauftragte“.
[1] Zur Eröffnung des sachlichen Anwendungsbereichs der DS-GVO für Detekteien vgl. Art. 2 Abs. 1 und Art. 4 Ziffer 4 DS-GVO-E.
[2] BT-Drs. 17/11325, Abschnitt II., Nr. 21.
[3] Zur Interpretation der Fachkunde nach BDSG siehe GDD-Ratgeber, Der betriebliche Datenschutzbeauftragte, 2014, S. 30 ff.; GDD – Statement of Function – Funktionsbeschreibung des Datenschutzbeauftragten, RDV 2006, 34; Düsseldorfer Kreis, Beschluss vom 24./25.11.2010.
[4] Vgl. hierzu GDD-Ratgeber, Der betriebliche Datenschutzbeauftragte, 2014, S. 33 ff. (mit zahlreichen weiteren Nachweisen).
[5] Jaspers/Reif, RDV 2012, 78 (79).
[6] Gola/Schomerus, § 4f Rn. 23.
[7] Vgl. hierzu im Einzelnen die Ausführungen zum Abberufungsschutz unter II. 2.
[8] Zum Streitstand vgl. GDD-Ratgeber, Der betriebliche Datenschutzbeauftragte, 2014, S. 38 f.
[9] Haag in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 2014, Teil II Kapitel 1 Rn. 20.
[10] GDD-Ratgeber, Der betriebliche Datenschutzbeauftragte, 2014, S. 28.
[11] BAG, Urteil vom 23.3.2011 – 10 AZR 562/09 –, RDV 2011, S. 237 ff.
[12] Such data protection officers, whether or not they are an employee of the controller, should be in a position to perform their duties and tasks in an independent manner.”
[13] Zur Bedeutung von Erwägungsgründen unionsrechtlicher Rechtsakte ausführlich VGH Baden-Württemberg, Beschluss vom 11.06.2013 – A 11 S 1158/13.
[14] Vgl. hierzu bereits Jaspers/Reif, RDV 2012, 78 (80).
[15] Gola/Schomerus, § 4f Rn. 47; Scheja in: Taeger/Gabel (Hrsg.), § 4f Rn. 84.
[16] Siehe hierzu die Darstellung bei Gola/Schomerus, 9. Aufl. (2007), § 4f Rn. 40 f.
[17] BT-Drs. 16/12011, S. 30.
[18] Gola/Schomerus, § 4f Rn. 54.
[19] Vgl. dazu den vorstehenden Abschnitt
[20] Vgl. dazu im Einzelnen den Abschnitt III. 5.
[21] Jaspers/Reif, RDV 2012, 78 (84)
[22] Siehe auch nachstehend unter 5.
[23] GDD-Ratgeber, Der betriebliche Datenschutzbeauftragte, 2014, S. 41.
[24] Siehe auch nachstehend unter 4.
[25] Jaspers/Reif, RDV 2012, 78 (82).
[26] Zum gesamten Abs. bereits Jaspers/Reif, RDV 2012, 78 (83).
[27] Zur Interpretation von § 4g Abs. 1 Satz 2 BDSG vgl. insofern exemplarisch Gola/Schomerus, § 4g Rn. 14.
[28] Gola/Schomerus, § 4g Rn. 16; Moos in: Wolff/Brink, § 4g Rn. 13; Schaffland/Wiltfang, § 4g Rn. 5; einschränkend, aber im Ergebnis auch dafür, dass in aller Regel zunächst alle internen Mittel auszuschöpfen sind Simitis, in: Simitis (Hrsg.), § 4g Rn. 23 und Raum, in: Auernhammer, § 4g Rn. 74. Scheja, in: Taeger/Gabel (Hrsg.), § 4g Rn. 37 bejaht eine Pflicht zur Anrufung der Behörde nur bei strafrechtlich relevanten Sachverhalten.
[29] Vgl. dazu unter II.1
[30] GDD-Ratgeber, Der betriebliche Datenschutzbeauftragte, 2014, S. 55.
[31] Vgl. Art. 86 des Entwurfs der EU-Kommission.
[32] Entschließung der 83. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 21./22. März 2012 in Potsdam: Ein hohes Datenschutzniveau für ganz Europa.