Abo

Kurzbeitrag : Aus den aktuellen Berichten der Aufsichtsbehörden (61): Feststellungen zu betrieblichen/behördlichen Datenschutzbeauftragten in Tätigkeitsberichten für das Jahr 2021 : aus der RDV 4/2022, Seite 208 bis 209

Zusammengestellt von Prof. Peter Gola*

Prof. Peter Gola
Lesezeit 1 Min.

Die Benennung von Datenschutzbeauftragten war auch weiterhin Thema in den im 1. Halbjahr 2022 erschienenen Tätigkeitsberichten der Aufsichtsbehörden. Der BayLfD[1]ordnete die zur Ermittlung von Grundstückswerten und für sonstige Wertermittlungen gebildeten Gutachterausschüsse (§ 192 Abs. 1, Abs. 4 BauGB) als Verantwortlicher gemäß Art. 1 Abs. 1 BayDSG ein und leitete hieraus die zwingende Konsequenz zur Benennung eines behördlichen Datenschutzbeauftragten (Art. 37 Abs. 1 Buchst. a DS-GVO) ab. Neben eigenen datenschutzrechtlich geschulten Bediensteten der Geschäftsstelle könnten behördlichen Datenschutzbeauftragte der Kreisverwaltungsbehörde, bei welcher der Gutachterausschuss angesiedelt ist, benannt werden.

Eine gleichgelagerte Problematik stellte er bei Luftsicherheitsbehörden[2] für die dort mit hoheitlichen Aufgaben beliehenen (Art. 1 Abs. 4 Bay-DSG) Luftsicherheitsassistenten fest.

Unternehmen in einer Unternehmensgruppe (Art. 4 Nr. 19 DS-GVO) ist es möglich, einen gemeinsamen Konzerndatenschutzbeauftragten zu benennen. Mit den „begrenzten“ Kompetenzen solcher Beauftragter befasst sich der Berliner LfDI.[3] Konzerndatenschutzbeauftragte sollten von jeder Niederlassung des Unternehmens aus leicht zu erreichen sein. Die Mitarbeitenden sollten diese innerhalb eines Werktages persönlich erreichen können. Die Mitarbeitenden sollen sich mit allen Fragen in Bezug auf die Verarbeitung ihrer Daten und mit der Wahrnehmung ihrer Rechte an die Person wenden können. Diese Vorgaben seien aber gerade bei internationalen Unternehmensgruppen oft nur schwer zu erfüllen. Zur Unterstützung der Arbeit sollte das jeweilige Einzelunternehmen deshalb zusätzlich Datenschutzkoordinatoren berufen. Diese unterstützen die Konzerndatenschutzbeauftragten bei der Umsetzung von deren Aufgaben an ihrem Standort bzw. in ihrem Fachbereich. Sie sind zudem Ansprechpartnerinnen für Anfragen der Mitarbeitenden vor.

Ob der Datenschutzbeauftragte einer Kommune auch zugleich als Beauftragter für Informationssicherheit tätig werden könne, beurteilt der SächsLfDI[4] grundsätzlich nicht negativ, da Informationssicherheit und Datenschutz meist parallel laufen. Dies gelte auch vor dem Hintergrund, dass für die Informationssicherheit umfassende Sammlungen personenbezogener Daten verarbeiten werden müssen, um Missbrauch aufzudecken. Anders stelle sich dies jedoch dar, wenn der Informationssicherheitsbeauftragte auch noch Aufgaben der Umsetzung, gar mit Budgetverantwortung, habe. Die LfD Niedersachsen beurteilt diese von den Kommentaren zur DS-GVO als auch von den Aufsichtsbehörden kontrovers gesehene Frage dahingehend, dass eine enge Zusammenarbeit zwischen DSB und ISB stets förderlich und erforderlich sei. Wenn die Wahrnehmung der Aufgaben von ISB und DSB in Personalunion als erforderlich gesehen wird, sollte jedoch vor der Benennung zumindest Folgendes festgelegt werden:

  • Die Aufgaben und Schnittstellen beider Rollen sowie die Vorbehalte bei möglichen Interessenkollisionen sind klar zu definieren und – im Rahmen der Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO – zu dokumentieren;
  • eventuelle Zielkonflikte, die durch die Wahrnehmung der beiden unterschiedlichen Rollen durch eine Person (Beratung, Überwachung) entstehen können, sind stets dem Verantwortlichen zur Entscheidung vorzulegen;
  • konfliktträchtige Themen sollten zusätzlich nachrichtlich der Revision oder sonstigen Gremien oder Personen mit Überwachungsaufgaben gemeldet werden;
  • es bedarf geeigneter Vertretungsregelungen.

Der HessLfDI[5] erörtert ausführlich nach Art. 38 Abs. 1 DSGVO zu vermeidenden Interessenkonflikten bei Teilzeit-Datenschutzbeauftragten. Kritisch bewertet er die Kombination der Funktionen als DSB und als Mitglied oder sogar Vorsitzender des Betriebsrates. Infolge einer Vorlage des BAG[6] an den EuGH wird dieser demnächst über diese Streitfrage entscheiden.

Die LfD Niedersachsen lehnt eine Kontrolle des E-Mailverkehrs des DSB durch die interne Revision ab. Nach Art. 38 Abs. 5 DS-GVO sind DSB bei der Erfüllung ihrer Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden. Besondere Rechtsvorschriften, die eine Offenlegung der Akten der DSB gegenüber der Revision erlauben (Einsichtsrecht) oder einschränkende Regelungen zur Geheimhaltungspflicht von DSB enthalten, sind der Landesbeauftragten für den Datenschutz (LfD) nicht bekannt. Datenschutzbeauftragte sollten der Revision auch kein Einsichtsrecht gewähren, da dies strafbewehrt ist: Bei unbefugter Offenlegung von Daten, welche DSB verarbeiten, komme § 203 Abs. 4 Strafgesetzbuch (Verletzung von Privatgeheimnissen) zum Tragen.

Jedoch besteht ein Kontrollrecht der Revision insoweit, wie weitere Aufgaben, die von DSB neben den ihnen nach Art. 39 DS-GVO obliegenden Aufgaben und Pflichten wahrgenommen werden (vgl. Art. 38 Abs. 6 DS-GVO: Ferner ist es Aufgabe der Revision zu prüfen, ob der DSB die ihm nach Art. 39 DS-GVO obliegenden Aufgaben im Rahmen seines weisungsfreien Spielraums auch tatsächlich wahrnimmt (Überprüfung der Handlungspflicht): “Selbstverständlich sollte die Vorlage eines „Tätigkeitsberichts“ sein. Gleiches gilt hinsichtlich der Kon trolle der Einhaltung arbeitsrechtlicher Vorgaben für DSB, wie zum Beispiel auf die Einhaltung von Arbeitszeitregelungen oder zur Vorlage von Arbeitsunfähigkeitsbescheinigungen.

* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.

[1] 31. TB (2021) v. 25.05.2022, Ziff. 5.7.3.

[2] 31. TB, Absch. 5.7.4.

[3] TB 2021 v. 24.05.2022, Ziff. 10.6.

[4] TB 2021 v. 25.05.2022, Ziff. 14.5.

[5] 30. TB vom 27.05.2022 S. 140.

[6] BAG, Beschl. v. 27.04.2021 – 9 AZR 383/19 (A).