DSGVO – braucht mein Unternehmen einen Datenschutzbeauftragten?
Die DSGVO ist derzeit in aller Munde. Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung nun in Kraft. Ein wichtiger Baustein der DSGVO ist die Pflicht zur Benennung eines Datenschutzbeauftragten. Doch wann und für wen gilt diese Pflicht überhaupt? Datenschutzrechtsexperte Pascal Verma erklärt, was es zu beachten gibt.
Der betriebliche Datenschutzbeauftragte nach der EU-Datenschutz-Grundverordnung (DSGVO)
Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Die DSGVO gilt ab diesem Zeitpunkt unmittelbar – d.h. es bedarf keines weiteren Umsetzungsaktes und es gibt auch keine weitergehende Übergangsfrist mehr. Alle Vorgaben der DSGVO müssen also am 25. Mai 2018, 0:00 Uhr umgesetzt sein.
Dies hat zur Folge, dass Unternehmen eine Vielzahl ihrer Prozesse überprüfen und an die neue (und strengere) Rechtslage anpassen müssen. Anderenfalls können die Aufsichtsbehörden Maßnahmen nach § 58 Abs. 2 DSGVO anordnen. Zusätzlich kann die Verhängung einer Geldbuße drohen, wobei die DSGVO im Vergleich zur bisherigen nationalen Rechtslage einen drastisch erhöhten Bußgeldrahmen vorsieht.
Dem deutschen Gesetzesanwender schon nach der alten Gesetzeslage bekannt ist die Figur des Datenschutzbeauftragten. Die DSGVO sieht nun erstmals vor, dass ab dem 25. Mai 2018 europaweit eine verbindliche Pflicht zur Bestellung eines Datenschutzbeauftragten besteht. Das bislang nur deutsche Modell des Datenschutzbeauftragten ist somit ab 25. Mai 2018 auch auf europäischer Ebene maßgebend.
Im Folgenden werden die wesentlichen Fragen und Antworten, die sich im Zusammenhang mit der Benennung eines betrieblichen Datenschutzbeauftragten nach der DSGVO und des – ebenfalls am 25. Mai 2018 in Kraft tretenden – BDSG-neu stellen, im Rahmen eines Katalogs zusammengefasst.
Wann ist ein Datenschutzbeauftragter zu benennen?
Die DSGVO selbst sieht in Art. 37 Abs. 1 DSGVO drei Fallgruppen vor, bei deren Erfüllung auf jeden Fall ein Datenschutzbeauftragter zu benennen ist. Die erste Fallgruppe (Art. 37 Abs. 1 lit. a) ist für die Privatwirtschaft nicht relevant, da dort eine Pflicht zur Benennung eines Datenschutzbeauftragten für die Verarbeitung personenbezogener Daten durch eine Behörde oder eine öffentliche Stelle (mit Ausnahme von Gerichten) festgelegt wird. Die zweite und dritte Fallgruppe hingegen sind für die Privatwirtschaft von Bedeutung.
- Die zweite Fallgruppe (Art. 37 Abs. 1 lit. b) sieht eine Pflicht zur Benennung eines Datenschutzbeauftragten vor, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Davon sind in erster Linie Datenverarbeitungen umfasst, die mit Profiling-Maßnahmen einhergehen. Es spricht daher vieles dafür, dass z.B. Auskunfteien, die die Kreditwürdigkeit beurteilen oder Unternehmen, die das Nutzungsverhalten zum Zwecke des gezielten und verhaltensbasierten Marketings analysieren oder Videoüberwachungsunternehmen in diese Fallgruppe einzuordnen sind.
- Die dritte Fallgruppe (Art. 37 Abs. 1 lit. c) sieht eine Pflicht zur Benennung eines Datenschutzbeauftragten vor, wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonders sensibler Daten i.S.d. Art. 9 DSGVO (z.B. personenbezogene Daten über Herkunft, politische Meinung, Weltanschauung, Gesundheitsdaten usw.) oder Art. 10 DSGVO (strafrechtliche Verurteilungen und Straftaten) besteht.
Die Kerntätigkeit eines Unternehmens (vgl. zweite und dritte Fallgruppe) umfasst alle Geschäftsbereiche, die für die Umsetzung der Unternehmensstrategie und die Erreichung des primären Geschäftszwecks entscheidend sind.
Über die drei Fallgruppen in Art. 37 Abs. 1 DSGVO hinaus sieht eine Öffnungsklausel (Art. 37 Abs. 4 DSGVO) vor, dass es den Mitgliedstaaten möglich ist, weitere Fallgruppen festzulegen, bei deren Erfüllung eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht.
Der deutsche Gesetzgeber hat von dieser Öffnungsklausel Gebrauch gemacht und zwei weitere Fallgruppen festgelegt, in denen ein Datenschutzbeauftragter zu benennen ist. Insbesondere ist entschieden worden, das bereits aus dem BDSG-alt bekannte Kriterium der Mitarbeiterzahl beizubehalten. Diese Fallgruppe ist von besonderer Bedeutung für die Anwendungspraxis.
- § 38 S. 1 BDSG-neu sieht zusätzlich zur DSGVO vor, dass eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Dabei spricht vieles dafür, dass das Merkmal des automatisierten Verarbeitens personenbezogener Daten bereits für beschäftigte Personen erfüllt ist, für die eine personalisierte Unternehmens-E-Mail-Adresse eingerichtet ist. Nicht erforderlich ist hingegen, dass die Verarbeitung personenbezogener Daten die Kernaufgabe der beschäftigten Personen darstellt. Bei der Anzahl der beschäftigten Personen sind neben Vollzeitbeschäftigten, sämtliche Teilzeitbeschäftigte (auch geringfügig Beschäftigte), Leiharbeitnehmer, Auszubildende, Praktikanten nach der Kopfzahl zu berücksichtigen.
- Daneben sieht § 38 S. 2 vor, dass unabhängig von der Anzahl der beschäftigten Personen eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht, wenn Datenverarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen oder personenbezogene Daten geschäftsmäßig zum Zweck der (anonymisierten) Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
Gibt es bei der Benennung des Datenschutzbeauftragten ein Konzernprivileg?
Nach Art. 37 Abs. 2 DSGVO darf eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten benennen, sofern der Datenschutzbeauftragte von jeder Niederlassung aus leicht erreicht werden kann. Dies stellt eine Erleichterung im Vergleich zur alten Rechtslage dar.
Für eine leichte Erreichbarkeit ist erforderlich, dass eine persönliche Kommunikation sichergestellt ist, z.B. durch ein Kontaktformular, Bereitstellung einer E-Mail-Adresse/Telefonnummer oder regelmäßige Sprechstunden für Beschäftigte.
Ist eine Form für die Benennung des Datenschutzbeauftragten vorgesehen?
Die DSGVO spricht nur von einer Benennung des Datenschutzbeauftragten.
Die Einhaltung der Schriftform ist daher nach der neuen Gesetzeslage nicht mehr erforderlich. Die Benennung des Datenschutzbeauftragten wird zukünftig in formeller Hinsicht durch die Veröffentlichung der Kontaktdaten und der Mitteilung an die Aufsichtsbehörden vollzogen.
Aus Gründen der Rechtssicherheit und der gesteigerten Nachweispflichten nach der DSGVO (vgl. Art. 5 Abs. 2 DSGVO, Art. 24 Abs. 1 DSGVO) ist dennoch dringend zu empfehlen, die Benennung des Datenschutzbeauftragten in geeigneter Form zu dokumentieren.
Interner oder externer Datenschutzbeauftragter?
Der Datenschutzbeauftragte kann Beschäftigter des benennpflichtigen Unternehmens sein (interner Datenschutzbeauftragter) oder auf der Grundlage eines Dienstleistungsvertrags tätig werden (externer Datenschutzbeauftragter).
Welche persönlichen Voraussetzungen hat der Datenschutzbeauftragte zu erfüllen?
Art. 37 Abs. 5 DSGVO sieht für die Benennung eines Datenschutzbeauftragten drei Voraussetzungen vor. Ein Datenschutzbeauftragter wird (I.) auf der Grundlage seiner beruflichen Qualifikation, (II.) seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie (III.) auf der Grundlage seiner Fähigkeit zur Erfüllung der in der DSGVO und dem BDSG-neu benannten Pflichten benannt.
Hinsichtlich der beruflichen Qualifikation und des erforderlichen Fachwissens sind vom Datenschutzbeauftragten zumindest Kenntnisse des nationalen und des Europäischen Datenschutzrechts sowie ein vertieftes Verständnis der DSGVO zu fordern.
Hinsichtlich der Fähigkeit zur Erfüllung der genannten Aufgaben ist vom Datenschutzbeauftragten zumindest ein hohes Maß an persönlicher Integrität und Berufsethik zu fordern.
Der Datenschutzbeauftragte kann ferner parallel auch zusätzliche Aufgaben und Pflichten wahrnehmen. Es ist dabei aber sicherzustellen, dass die parallel wahrgenommenen Aufgaben und Pflichten nicht zu einem Interessenskonflikt führen. Ein solcher Interessenskonflikt ist anzunehmen, wenn eine Person Datenschutzbeauftragter ist und zugleich die Befähigung besteht, Datenverarbeitungsprozesse des Unternehmens zu bestimmen oder wesentlich zu beeinflussen – also z.B. beim Geschäftsführer, beim Personaleiter, beim Marketingleiter, beim Vertriebsleiter oder beim IT-Leiter. Zudem ist bei anderen unternehmensweiten Tätigkeiten, wie eines IT-Sicherheitsbeauftragten oder Compliance-Beauftragten ein Interessenskonflikt anzunehmen.
Welche Aufgaben hat der Datenschutzbeauftragte zu erfüllen?
Die DSGVO und das BDSG-neu sehen folgende Kernaufgaben für den Datenschutzbeauftragten vor:
- Unterrichtung und Beratung des Verantwortlichen hinsichtlich der Datenschutzpflichten
Der Datenschutzbeauftragte informiert über datenschutzrelevante Vorschriften und Vorgänge und schlägt zudem Wege zur Lösung bestehender datenschutzrechtlicher Probleme vor. Die Unterrichtungs- und Beratungspflicht besteht unmittelbar gegenüber der höchsten Management- und Leitungsebene. - Überwachung der Einhaltung der DSGVO/ des BDSG-neu
Der Datenschutzbeauftragte kontrolliert die Einhaltung des einschlägigen Datenschutzrechts im Unternehmen. Daneben hat der Datenschutzbeauftragte die Einhaltung der Strategie bzw. der Regeln und Richtlinien, die sich das Unternehmen im Zusammenhang mit dem Datenschutz selbst auferlegt hat (z.B. durch Betriebsvereinbarungen, Handlungsanweisungen, Dienstvereinbarungen, usw.), zu überwachen. Ferner umfasst die Überwachungsbefugnis des Datenschutzbeauftragten auch die interne Zuständigkeitsverteilung, sodass der Datenschutzbeauftragte auch auf die organisatorische Umsetzung des Datenschutzes Einfluss nehmen kann. - Überwachung der Sensibilisierung und Schulung der handelnden Mitarbeiter
Für eine wirkungsvolle Datenschutzorganisation ist es unerlässlich, dass die personenbezogene Daten verarbeitenden Personen datenschutzrechtlich geschult, an die Einhaltung der datenschutzrechtlichen Vorschriften erinnert und über akute und aktuelle Gefahren informiert werden. Nach dem Wortlaut der DSGVO obliegt die Pflicht zur Sensibilisierung und Schulung dem Verantwortlichen selbst. Der Datenschutzbeauftragte hat zu überwachen, dass ausreichend sensibilisiert und geschult wird. In diesem Zusammenhang ist jedoch empfehlenswert, dem Datenschutzbeauftragten die Durchführung von Sensibilisierungen und Schulungen als zusätzliche Aufgabe zu übertragen (siehe unten). - Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung
Der Datenschutzbeauftragte hat im Zusammenhang mit der Datenschutz-Folgenabschätzung (Art. 35 DSGVO) zu überwachen, ob diese durchgeführt wird. Zudem besteht für den Datenschutzbeauftragten die Verpflichtung, auf Anfrage im Hinblick auf die Durchführung der Datenschutz-Folgenabschätzung zu beraten. - Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für die Aufsichtsbehörde
Der Datenschutzbeauftragte bildet die zentrale Anlaufstelle für Betroffene, Verantwortliche, Auftragsverarbeiter und Aufsichtsbehörden. Die Betroffenen und die Aufsichtsbehörden können sich dabei unmittelbar an den Datenschutzbeauftragten wenden, ohne vorab die Unternehmensleitung kontaktieren zu müssen. Der Datenschutzbeauftragte ist an erster Stelle interne Kontrollinstanz und hat wegen der Treuepflicht gegenüber dem Unternehmen und der Behörde zunächst interne Maßnahmen zu ergreifen, um Datenschutzverstöße zu beseitigen.
Neben den gesetzlich vorgesehenen Pflichten können dem Datenschutzbeauftragten durch Vereinbarung auch weitere Pflichten (z.B. die Führung des Verarbeitungsverzeichnisses, die generelle Beantwortung von Auskunfts- und Löschgesuchen usw.) übertragen werden.
Der Datenschutzbeauftragte nimmt seine Aufgaben risikoorientiert wahr, d.h. er trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung (Art. 39 Abs. 2 DSGVO). Der Datenschutzbeauftragte trifft mithin Abwägungsentscheidungen, bei dem ihm ein Ermessensspielraum zusteht.
Welche Stellung hat der Datenschutzbeauftragte?
Dem Datenschutzbeauftragten ist von der Unternehmensleitung eine unabhängige und organisatorisch herausgehobene Stellung einzuräumen.
An erster Stelle ist zu gewährleisten, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle Fragen einbezogen wird, die mit dem Schutz personenbezogener Daten zusammenhängen.
Seine Aufgaben nimmt der Datenschutzbeauftragte unabhängig wahr. Dafür ist vom Verantwortlichen einerseits die Weisungsfreiheit sicherzustellen. Anderseits gewährleistet ein Schutz vor Abberufung und Benachteiligung die Unabhängigkeit des Datenschutzbeauftragten. Der deutsche Gesetzgeber ist über die Vorgaben der DSGVO hinausgegangen und hat in § 6 Abs. 4 BDSG-neu strengere Vorgaben für die Abberufung und die Kündigung eines Datenschutzbeauftragten festgelegt, sofern eine Verpflichtung zur Benennung eines Datenschutzbeauftragten besteht. Eine Abberufung eines Datenschutzbeauftragten ist daher nur in entsprechender Anwendung des § 626 BGB und dessen Kündigung nur aus wichtigem Grund zulässig.
Zudem ist dem Datenschutzbeauftragten ein unmittelbarer Berichtsweg zur Unternehmensleitung zu eröffnen. Gemäß Art. 38 Abs. 5 DSGVO ist der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung und der Vertraulichkeit gebunden.
Was passiert bei einem Verstoß gegen die Pflicht zur Benennung eines Datenschutzbeauftragten?
Neben den Abhilfebefugnissen nach § 58 Abs. 2 DSGVO kommt bei Verstößen gegen die DSGVO vor allem die Verhängung einer Geldbuße in Betracht. In diesem Zusammenhang sieht die DSGVO generell eine drastische Verschärfung der möglichen Sanktion vor.
Art. 83 Abs. 4 lit a) DSGVO sieht z.B. vor, dass eine Geldbuße verhängt werden kann, wenn trotz Verpflichtung zur Benennung eines Datenschutzbeauftragten hierauf verzichtet wird. Der maßgebliche Bußgeldrahmen eröffnet die Möglichkeit zur Verhängung einer Geldbuße von bis zu 10 Millionen Euro oder von bis zu 2 Prozent des gesamten weltweit erzielten Umsatzes des vorangegangenen Geschäftsjahres (je nachdem welcher Betrag höher ist).