Abo

Kurzbeitrag : Der Datenschutzbeauftragte im Fokus – Aktuelle Rechtsprechung und Berichte der Aufsichtsbehörden : aus der RDV 4/2024, Sei­te 221 bis 223

Lesezeit 10 Min.

Sowohl die aktuelle höchstrichterliche Rechtsprechung als auch die Aufsichtsbehörden haben neue bzw. bekräftigte Aussagen zu Rechtsstellung und Funktion betrieblicher/behördlicher Datenschutzbeauftragter getroffen. Bestehende Auffassungen werden bekräftigt und auch fortgeschrieben. Der Beitrag gibt einen kurzen Überblick.

I. Die Unverzichtbarkeit (kommunaler) Datenschutzbeauftragter

Ein ausführliches Plädoyer für behördliche Datenschutzbeauftragte[1] in Kommunen hält der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI).[2] Ihre Bedeutung ergebe sich daraus, dass insbesondere Kommunen sehr viele bürgerbezogene Verwaltungsleistungen erbringen und hierbei eine Vielzahl unterschiedlichster personenbezogener Daten verarbeiten.

Die Datenschutz-Grundverordnung (DS-GVO) und auch das Thüringer Datenschutzgesetz (ThürDSG) drücken sich dabei in Art. 37 Abs. 1 DS-GVO und § 13 Abs. 1 ThürDSG klar aus; öffentliche Stellen müssen einen Datenschutzbeauftragten bestellen. Dieser Verpflichtung sind nach Kenntnis des TLfDI bislang die Kommunen grundsätzlich nachgekommen. In Einzelfällen mussten jedoch fehlende Bestellungen nachgeholt werden. U.a. wurde klargestellt, dass ein behördlicher Datenschutzbeauftragter sowohl für eine Verwaltungsgemeinschaft als auch für die dazugehörigen Gemeinden bestellt werden muss, wobei jedoch die Möglichkeit bestand und genutzt wurde, einen gemeinsamen Datenschutzbeauftragten zu bestellen.

Nach einer ausführlichen Schilderung des Aufgabenkatalogs des Datenschutzbeauftragten schließt er mit der Folgerung, ohne hierbei konkreter zu werden, dass die Arbeit sich auch in einer angemessenen Vergütung widerspiegeln sollte.

II. Bestandsaufnahme mit Ermittlung von Mängeln

Das BayLDA[3] hat sich an einer europaweiten Prüfung zu Stellung und Aufgaben von Datenschutzbeauftragten beteiligt und dabei in einer repräsentativen Auswahl der bei ihm gemeldeten 36.000 Datenschutzbeauftragten (sowohl öffentlicher als auch privater Einrichtungen) mehr als 17.000 Einzelfragen erhoben und analysiert. Die in einem im Januar 2024 vorgelegten Prüfbericht zusammengefassten Daten vermitteln fünf Jahre nach Inkrafttreten der DS-GVO wertvolle Einblicke in das Profil, die Position und die Arbeit der Datenschutzbeauftragten.

In der deutlichen Mehrzahl der Prüfungen ergaben sich Befunde, die zur Ausräumung möglicher Verstöße Nachfragen erforderlich machten. Als problematisch festgestellt wurden u.a. die Angemessenheit der für die Datenschutzbeauftragten verfügbaren Ressourcen, ihnen zugewiesene Zusatzfunktionen oder auch die Art und Weise, wie Datenschutzbeauftragte der obersten Führungsebene Bericht erstatten können.

Ob Interessenkonflikte bei der Wahrnehmung von Zusatzaufgaben bestehen, sieht das BayLDA auf Grundlage der neueren BAG-Rechtsprechung zu Betriebsratsvorsitzenden als Datenschutzbeauftragte,[4] nunmehr insbesondere bei Aufgaben aus anderen Compliance-Funktionen oder auch dann, wenn externe Datenschutzbeauftragte zugleich für eigene Auftragsverarbeiter des Verantwortlichen tätig sind. Festgestellt wurde auch, dass betriebliche Datenschutzbeauftragte aufgrund ihrer organisatorischen Verortung häufig an einem gem. Art. 38 Abs. 3 S. 3 DS-GVO vorgegebenen direkten, anlasslosen Informationsaustausch mit der obersten Führungsebene gehindert sind.

Die aus der gemeinsamen Prüfaktion gewonnen Erkenntnisse sollen sowohl auf europäischer Ebene in eine Überarbeitung der EDSA- „Leitlinien in Bezug auf Datenschutzbeauftragte“ als auch in die Fortentwicklung der Handreichungen des BayLDA für die Datenschutzpraxis einfließen.

III. Interessenkonflikte bei Datenschutzbeauftragten

Auf nach §  7 Abs.  2 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) zu vermeidende Interessenkonflikte bei nicht full-time wahrgenommener DSB-Funktion weist auch der Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI)[5] hin. Diese sieht er insbesondere bei der Ausübung von Tätigkeiten, die wesentliche Verpflichtungen bei der Umsetzung der Datenschutzvorschriften betreffen, und sich in diesen Fällen der Datenschutzbeauftragte selbst kontrollieren müsste. Jedoch lehnt er es ab, Interessenkonflikte für bestimmte Aufgaben oder Positionen pauschal anzunehmen. Vielmehr sei eine Einzelfallbetrachtung vorzunehmen, ob und inwiefern Entscheidungsbefugnisse hinsichtlich Zweck und Mittel der Verarbeitung personenbezogener Daten bestehen. Dabei weist der LfDI auf die aktuelle Rechtsprechung des EuGH[6] und des BAG hin. Nach dem BAG[7] rechtfertigt nicht jeder Interessenkonflikt den Widerruf der Bestellung des Datenschutzbeauftragten. Erforderlich ist danach ein Grad, der die Unabhängigkeit des Datenschutzbeauftragten nicht nur minimal in Frage stellt. Da das Gesetz die Bestellung eines betrieblichen Datenschutzbeauftragten gestattet, der als Arbeitnehmer beim verantwortlichen Arbeitgeber angestellt ist, könne nicht jede Berührung der verschiedenen Aufgaben die Zuverlässigkeit in Frage stellen[8]. So verlangt der EuGH[9], dass das nationale Gericht im Rahmen der Prüfung des Art. 38 Abs. 6 DS-GVO „im Einzelfall auf der Grundlage einer Würdigung aller relevanten Umstände, insbesondere der Organisationsstruktur des Verantwortlichen oder seines Auftragsverarbeiters, und im Licht aller anwendbaren Rechtsvorschriften, einschließlich etwaiger interner Vorschriften des Verantwortlichen oder des Auftragsverarbeiters“, die Relevanz der Konfliktsituation feststellt.

Einen Interessenkonflikt sieht der HBDI in der Regel bei der Leitung einer Behörde, gehobenen Leitungspositionen und bei Personen, an welche die Behördenleitung Aufgaben delegiert, soweit diese Beschäftigten Datenverarbeitungsprozesse bestimmen oder wesentlich beeinflussen können. Demgemäß unvereinbar mit der Tätigkeit als Datenschutzbeauftragter sei auch die Leitung (nachgeordneter) kommunaler Ämter, sofern damit Entscheidungsbefugnisse hinsichtlich Zwecks und Mittel der Verarbeitung personenbezogener Daten bestehen. Mit der DSB-Funktion inkompatible herausgehobene Leitungstätigkeiten seien bei der Leitung der Personalabteilung ebenso anzunehmen wie bei der Leitung der IT-Abteilung. Gleiches gelte in der Regel auch für die Leitung der Rechtsabteilung.[10] Die Einbindung Beschäftigter in die internen Prozesse dürfe nicht derart sein, dass die notwendige Unabhängigkeit hinsichtlich der Bewertung einzelner Datenverarbeitungsprozesse entfalle. So seien IT-Sicherheitsbeauftragte aufgrund ihres Interesses an umfassenden Sammlungen personenbezogener Daten zwecks Entdeckung von Missbrauch in der Regel als Datenschutzbeauftragte nicht geeignet. Vergleichbares gelte für Digitalisierungsbeauftragte. Probleme werden auch bei Beauftragten im Bereich der Compliance, Antikorruption, Geldwäschebekämpfung, Geheimschutz und Hinweisgeberschutz[11], sowie bei einer Frauen- und Gleichstellungsbeauftragten gesehen. Die gleichzeitige Tätigkeit bei der Beschwerdestelle nach § 13 des Allgemeinen Gleichbehandlungsgesetzes (AGG) wird dagegen als zulässig bejaht.

IV. Der deutsche Kündigungs- und Abberufungsschutz nach aktueller höchstrichterlicher Rechtsprechung

Die Tätigkeit eines betrieblichen Datenschutzbeauftragten kann durch seine Abberufung – hier bleibt das Arbeitsverhältnis bestehen – oder die Kündigung beendet werden. Das Zusammenspiel von diesbezüglichem europäischem und nationalem Recht beschäftigte wiederholt sowohl das BAG als auch den EuGH. Nachdem am 22. Juni 2022 der EuGH[12] entschied, dass der Kündigungsschutz nach § 38 Abs. 2 i.V.m. § 6 Abs. 4 S. 2 BDSG mit den europäischen Vorgaben aus Art. 38 Abs. 3 S. 2 DS-GVO vereinbar ist, sah das BAG[13] die Ziele der DS-GVO insoweit nicht durch den deutschen Kündigungsschutz als beeinträchtigt an.

Des Weiteren wurden durch den EuGH[14] und das BAG[15] die strengen Anforderungen an die Abberufung eines DSB gem. § 6 Abs. 4 S. 1 BDSG als europarechtskonform geklärt. Der EuGH sieht Art.  38 DS-GVO nicht einer nationalen Regelung entgegenstehend an, wenn er die Abberufung eines bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten DSB nur aus wichtigem Grund zulässt, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgabe zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele der DS-GVO nicht beeinträchtigt. Diese Nicht-Beeinträchtigung der Verwirklichung der Ziele der DS-GVO wurde vom BAG bejaht. Die Voraussetzungen, unter denen der DSB rechtswirksam abberufen werden kann, würden zwar auf die Schwelle des „wichtigen Grundes“ erhöht, aber nicht vollständig unmöglich gemacht oder unzumutbar erschwert.

V. Die Inkompatibilität mit dem Vorsitz der Mitarbeitervertretung

Nach Vorlage an den EuGH[16] hat das BAG[17] entschieden, dass der Betriebsratsvorsitz einer Wahrnehmung der Aufgaben des Datenschutzbeauftragten typischerweise entgegenstehe. Im konkreten Fall berechtigte bzw. verpflichtete die Übernahme des Betriebsratsvorsitzes durch den DSB den Arbeitgeber, dessen Bestellung zum Datenschutzbeauftragten zu widerrufen.

Die Frage der Vereinbarkeit der DSB-Tätigkeit einzelner normaler Mitglieder des Betriebsrates war dagegen nicht Gegenstand des Vorlageverfahrens und der Entscheidung des BAG und wurde von ihm offengelassen. Die spezielle funktionale Unvereinbarkeit mit den Aufgaben des Betriebsratsvorsitzenden wurde darin gesehen, dass der Betriebsratsvorsitzende im Rahmen seiner gesetzlichen Aufgaben nicht nur an der Entscheidung des Gremiums mitwirkt, sondern das Organ im Rahmen der gefassten Beschlüsse nach außen vertritt.[18] Als Beauftragter für den Datenschutz wäre er verpflichtet zu prüfen, ob die von ihm nach außen vertretene Beschlusslage des Betriebsrats mit den Bestimmungen des Datenschutzes im Einklang steht.[19]

Diese Aussagen sind auf den Vorsitzenden eines Personalrats übertragbar.

Ob sie unter von der BAG-Entscheidung nicht erwogenen Argumenten auch für sonstige Mitglieder der Mitarbeitervertretung gelten könnten, lässt das BAG offen.

Der HessLfDI[20] geht aber vermutlich davon aus, da er die DSB-Funktion in der Regel u.a. für Mitglieder der Schwerbehindertenvertretung als allgemein unvereinbar bewertet.

VI: Datenschutzbeauftragte in Eigenbetrieben

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB)[21] hatte zu klären, ob ein Eigenbetrieb einer Gemeinde, der als ein eigenständiger Verantwortlicher im Sinne der DS-GVO zu qualifizieren ist, auch einen Datenschutzbeauftragten zu bestellen hat (Art. 4 Nr. 7 DS-GVO). Nach § 95a Sächsische Gemeindeordnung (SächsGemO) kann eine Gemeinde Unternehmen ohne eigene Rechtspersönlichkeit, also als unselbstständigen Eigenbetrieb führen, wenn Art und Umfang der Tätigkeit eine selbstständige Wirtschaftsführung rechtfertigen (SächsGemO). Der Eigenbetrieb ist demnach unselbstständiger Teil der jeweiligen Gemeinde. Zu entscheiden war, ob aus der fehlenden kommunalrechtlichen Selbstständigkeit auch eine datenschutzrechtliche „Unselbstständigkeit“ folgt und die oder der Datenschutzbeauftragte der Stadt oder Kommune auch für Belange des Eigenbetriebs verantwortlich ist.

Im Gegensatz zu anderen Bundesländern sieht die Sächsische Datenschutz- und Transparenzbeauftragte Eigenbetriebe auch datenschutzrechtlich als Teil der jeweiligen Gebietskörperschaft. Einen hinreichenden rechtlichen Grund, eine abweichende datenschutzrechtliche Wertung als in der übrigen Rechtsordnung vorzunehmen, besteht aus seiner Sicht nicht, wobei er jedoch kein Hindernis sieht, dass für den Eigenbetrieb ein eigener Datenschutzbeauftragter von der Gebietskörperschaft bestellt wird. Insoweit verweist er auch auf die Erwägungsgründe zur DS-GVO (ErwG 97).

VII. Datenschutzbeauftragte als Vertragsgestalter

Die Sächsische Datenschutz- und Transparenzbeauftragte äußert sich ferner zum Aufgabenumfang von Datenschutzbeauftragten gem. Artt. 37, 39 Abs. 1 Buchst. a) DS-GVO[22] und ob diese im Zuge von Vertragsentwicklungen sowie -verhandlungen rechtliche Regelungen selbst bzw. mit zu gestalten haben. Sie ist der Auffassung, dass gem. Art. 39 Abs. 1 Buchst.  a) DS-GVO Datenschutzbeauftragte – wie ErwG 77 ausweist –, gegenüber dem Verantwortlichen Hinweise zur Durchführung geeigneter Maßnahmen und Einhaltung der Anforderungen der DS-GVO geben können. Hieraus sei jedoch keine Pflicht zur Mitgestaltung von rechtlichen Regelungen im Zuge von Vertragsentwicklungen sowie –verhandlungen zu entnehmen. Wenn offensichtlich nicht für pflichtgemäß aber zumindest für zweckmäßig hält sie es, eventuell bestehende Datenschutzbedenken gegen entsprechende Entwürfe vorzutragen.

VIII. Datenschutzbeauftragte bei Detekteien

Detekteien, die Observationen und andere Überwachungstätigkeiten umfangreich ausüben, benötigen, worauf die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)[23] ausführlich erläuternd hinweist, unabhängig von der Anzahl ihrer Beschäftigten Datenschutzbeauftragte. Dies ergibt sich aus Art.  37 Abs.  1 Buchst.  b) DS-GVO, welcher den Verantwortlichen und Auftragsverarbeitern auf jeden Fall die Bestellung eines Datenschutzbeauftragten vorschreibt, wenn die Kerntätigkeit in einer Datenverarbeitung besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht. Dabei macht es keinen Unterschied, ob es sich bei der Detektei um ein Ein-Personen-Unternehmen oder um ein größeres Unternehmen handelt. Die LDI NRW geht von einer umfangreichen, regelmäßigen und systematischen Überwachung im Rahmen der Kerntätigkeit dann aus, wenn Observationen von Personen öfter als in einer niedrigen einstelligen Anzahl pro Jahr durchgeführt werden, wobei auch die Dauer einzelner Observationen (etwa Dauerbeobachtungen) zu berücksichtigen seien.

Demgemäß entfalle bei Detekteien, die ihre Kerntätigkeit so ausgerichtet haben, dass sie keine regelmäßige und systematische Überwachung erfordert, weil sie sich z.B. auf die Recherche von Wirtschaftsinformationen oder Urheberrechtsverstößen oder auf den Objektschutz spezialisiert haben und dafür keine Observationen oder andere Überwachungen von Personen durchführen.

Aber auch hier greift ggf. die Regelung nach §  38 BDSG, wonach Stellen bei einer Anzahl von mindestens 20 Personen, die in der Regel ständig automatisiert personenbezogene Daten verarbeiten, generell Datenschutzbeauftragte benennen müssen.

IX. Fazit

Auch nachdem vor 47 Jahren im BDSG 1. Fassung für Deutschland und dann 2018 mit der DS-GVO für die EU betriebliche/behördliche Datenschutzbeauftragte verbindlich wurden, bestehen bei der Rechtsanwendung und bei der Praxisumsetzung der Normen gleichwohl immer wieder Probleme.

* Peter Gola war Professor für Dienstrecht an der Verwaltungsfachhochschule Wiesbaden. Er ist Ehrenherausgeber der Fachzeitschrift RDV sowie Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn.

[1] Vgl. u.a. auch LfD Bremen, TB 2023, Abschnitt 5.2 zu den Anforderungen an die Benennung von internen und externen Datenschutzbeauftragten.

[2] TLfDI, 5. TB DS-GVO 2023, Abschnitt 1.2.

[3] 13. TB des BayLDA für das Jahr 2023, Abschnitt 17.2.

[4] BAG, Urt. v. 06.06.2023 – 9 AZR 383/19; siehe nachfolgend Abschnitt III.

[5] HessLfDI, 52. TB 2023, Ziff. 5.4.

[6] EuGH, Urt. v. 09.02.2023 – C-453/21, EuGH, Urt. v. 22.06.2022 – C 534/20.

[7] BAG, Urt. v. 06.06.2023 – 9 AZR 383/19, RN 8.

[8] BAG, Urt. v. 06.06.2023 – 9 AZR 383/19; RN 19.

[9] EuGH, Urt. v. 09.02.2023 – C-453/21.

[10] HBDI, Behördliche und betriebliche Datenschutzbeauftragte, 09.10.2023, S. 17, https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/202310/behoerdliche_und_betriebliche_datenschutzbeauftragte_231009_1.pdf.

[11] Vgl. hierzu Gola, RDV 2023, 213 (219) und die entsprechende Gesetzesbegründung BT-Drs.: 20/5992 v. 14. 03. 2023, 66; a. A. Jaspers, RDV 2023, 211.

[12] EuGH, Urt. v. 22.06.2022 – C-534/20.

[13] BAG, Urt. v. 25.08.2022 – 2 AZR 225/20.

[14] EuGH, Urt. v. 09.02.2023 – C-560/21.

[15] BAG, Urt. v. 06.06.2023 – 9 AZR 621/19.

[16] EuGH, Urt. v. 09.02.2023 – C-453/21.

[17] BAG. Urt. v. 06.06.2023 – 9 AZR 383/19.

[18] BAG, Urt. v. 06.06.2023 – 9 AZR 383/19; Rn. 25.

[19] BAG, Urt. v. 06.06.2023 – 9 AZR 383/19, Rn. 36.

[20] HessLfDI, 52. TB 2023; Abschnitt 5.4.

[21] SDTB, TB 2023, Abschnitt 2.1.1.

[22] TB 2023, Abschnitt 4.5.1.

[23] LDI NRW, 23 TB 2022, Abschnitt 9.2.