Das Thema
Die EU-Datenschutz-Grundverordnung (DSGVO) bringt zahlreiche Neuerungen für den Datenschutz im Unternehmen mit sich. Machen Unternehmen Fehler bei der Umsetzung der DSGVO, drohen hohe Bußgelder und Schadensersatzforderungen betroffener Arbeitnehmer. Zudem werden die rechtlichen Anforderungen komplexer als nach dem bislang geltenden Datenschutzrecht. Unter anderem verändert die DSGVO auch die Stellung und die Aufgaben des Datenschutzbeauftragten im Unternehmen. Der Beitrag beschreibt die veränderte Position des Datenschutzbeauftragten und seine neuen Pflichten. Zusätzlich gibt er Handlungsempfehlungen zur Umsetzung der Anforderungen und Neuerungen bezüglich des Datenschutzbeauftragten nach der DSGVO. Im Anhang zum Beitrag finden Sie eine Checkliste u.a. zu typischen Regelungspunkten, die ein Unternehmen bei der Benennung von Datenschutzbeauftragten und der organisatorischen Stellung beachten sollte.
Die neue Rolle des Datenschutzbeauftragten
Der Datenschutzbeauftragte war bereits nach der alten Rechtslage eine zentrale Stelle für den Datenschutz im Unternehmen. Seine Bedeutung nimmt durch die DSGVO und das ab dem 25. Mai 2018 geltende BDSG (BDSG n.F.) noch weiter zu. Der Datenschutzbeauftragte berät und informiert künftig den Verantwortlichen oder Auftragsverarbeiter in Datenschutzfragen. Zudem überwacht er die Einhaltung der Vorgaben der DSGVO und der internen Datenschutzvereinbarungen und arbeitet eng mit den zuständigen Aufsichtsbehörden zusammen. Um seine Aufgaben frei und unabhängig ausführe zu können, handelt er als Datenschutzbeauftragter weisungsfrei und steht nach dem neuen BDSG unter einem besonderen Kündigungsschutz. Aufgrund der Höhe künftig möglicher Bußgeld- oder Schadensersatzrisiken ist es für Unternehmen wichtig, geeignete Datenschutzbeauftragten finden und zu ernennen. Die Hessische Datenschutzbeauftragte hat im letzten Jahr eine Stellungnahme zum behördlichen und betrieblichen Datenschutzbeauftragten nach dem neuen Recht veröffentlicht. Für eine umfassendere Zusammenfassung und einen Überblick über die Ansichten der Datenschutzaufsichtsbehörden zu dem Thema, sollten Unternehmen diese Stellungnahme zu Rate ziehen.
Die Benennung des Datenschutzbeauftragten
Unternehmen sind gemäß Art. 37 Abs.1 DSGVO unter bestimmten Voraussetzungen verpflichtet, einen Datenschutzbeauftragten zu benennen. Nach dieser Regelung müssen Unternehmen beispielsweise einen Datenschutzbeauftragten benennen, wenn die Kerntätigkeit des Unternehmens in Datenverarbeitungen besteht, welche ein besonderes Risiko für die Rechte und Freiheiten der Betroffenen darstellen.
Diese EU-weiten Voraussetzungen werden für Deutschland durch §§ 38 und 6 BDSG n.F. erweitert. Unternehmen müssen danach einen Datenschutzbeauftragten ernennen, wenn sich mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen (ein Mitarbeiter kann bereits als mit automatisierter Datenverarbeitung beschäftigt gelten, wenn er personalisierte E-Mail Adresse zugeordnet bekommen hat). Zu diesen zehn Personen können auch freie Mitarbeiter, Leiharbeitnehmer oder Praktikanten gehören. Der Begriff „ständig“ ist in dem Zusammenhang weit auszulegen. Eine Person ist auch dann Teil des fraglichen Personenkreises, wenn sie ihre datenverarbeitende Tätigkeit nicht als Kernaufgabe wahrnimmt. Auch kleinere Unternehmen müssen einen Datenschutzbeauftragten bestellen, wenn sie Datenverarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO unterliegen oder wenn eine Verarbeitung personenbezogener Daten geschäftsmäßig erfolgt.(Anmerkung der Red.: Zur Frage, ob ein Beteiligungsrecht des Betriebsrates bei der Datenschutz-Folgenabschätzung besteht)
Im Ergebnis führen diese erweiterten Voraussetzungen dazu, dass künftig faktisch jedes mittlere oder größere Unternehmen in Deutschland einen Datenschutzbeauftragten bestellen muss. Verglichen mit der bisherigen Rechtslage bringt das neue Datenschutzrecht für Unternehmen in Deutschland daher keine Erleichterungen. Im Gegenteil, wenn Unternehmen Datenverarbeitungen mit hohen Risiken für die davon Betroffenen durchführen, müssen sie entsprechende Datenschutz-Folgenabschätzungen durchführen und allein aus diesem Grund schon einen Datenschutzbeauftragten benennen.
Neue Anforderungen an die Datenschutzbeauftragten
Der Datenschutzbeauftragte kann seine umfangreichen Aufgaben nur erfüllen, wenn er über hinreichende Qualifikationen und das nötige Fachwissen verfügt. Welche Qualifikationen ein Datenschutzbeauftragter erfüllen muss, ist vor allem von der Art und dem Umfang der durchgeführten Datenverarbeitungsvorgänge im Unternehmen abhängig. Bei einem geringen Ausmaß an Datenverarbeitungsvorgängen mit einem geringen Risiko für die Rechte und Freiheiten der Betroffenen kann sich ein entsprechend qualifizierter Mitarbeiter (bspw. aus der IT-Abteilung oder der Rechtsabteilung) das nötige Wissen und die entsprechenden Qualifikationen aneignen, etwa mit geeigneter Fachliteratur oder in Seminaren). Wenn ein Unternehmen besonders sensible Daten im Sinne des Art. 9 DSGVO in größerem Ausmaß verarbeitet, sollte es einen Fachmann mit umfangreichen Kenntnissen und Erfahrungen als Datenschutzbeauftragten ernennen. Gerade in Bezug auf die drohenden Bußgelder und mögliche Schadensersatzforderungen kann ein kompetenter Datenschutzbeauftragter effektiv dabei helfen, Haftungsrisiken zu verringern.
Interner oder externer Datenschutzbeauftragter
Unternehmen die einen Datenschutzbeauftragten bestellen, sollten prüfen, ob für sie ein interner oder ein externer Datenschutzbeauftragter geeigneter ist. Beide Möglichkeiten sind nach der DSGVO erlaubt. Ein externer Datenschutzbeauftragter bietet sich an, wenn im Unternehmen selbst kein ausreichend qualifizierter Mitarbeiter beschäftigt ist – oder wenn ein eigens eingestellter Datenschutzbeauftragter angesichts der Risikostruktur des Unternehmens nicht notwendig ist. Der Vorteil von externen Datenschutzbeauftragten ist sicherlich das bereits vorhandene Fachwissen. Andererseits dürfte diese Lösung in den meisten Fällen für Unternehmen deutlich teurer sein als ein interner Datenschutzbeauftragter. Eine interne Lösung hat zudem den Vorteil, dass der Mitarbeiter die internen Unternehmensstrukturen und Abläufe bereits kennt. Im Ergebnis muss jedes Unternehmen selbstständig entscheiden, welche Lösung zur eigenen Datenverarbeitungsstruktur am besten passt.
Pflichten des Datenschutzbeauftragten
Die DSGVO formuliert in Art. 39 Abs. 1 DSGVO umfassende „Mindestpflichten“, die der Datenschutzbeauftragte erfüllen muss. Zusätzlich können die Mitgliedstaaten gemäß Art. 38 Abs. 6 S. 1 DSGVO dem Datenschutzbeauftragten durch nationale Regelungen oder durch die Möglichkeit zu vertraglichen Vereinbarungen weitere Pflichten auferlegen.
Die Mindestpflichten des Datenschutzbeauftragten nach der DSGVO umfassen insbesondere:
- Information und Beratung
- Überwachung der Einhaltung der Vorgaben der DSGVO
- Überwachung der Datenschutzstrategien
- Beratung zu Datenschutz-Folgenabschätzung
- Zusammenarbeit mit Aufsichtsbehörden
- Risikobeurteilung.
(Überwacher-)Garantenstellung des Datenschutzbeauftragten?
Der Datenschutzbeauftragte informiert das Unternehmen (die DSGVO spricht hier vom „Verantwortlichen“), eventuelle Auftragsverarbeiter und die mit der Datenverarbeitung betrauten Mitarbeiter über datenschutzrechtliche Anforderungen und berät sie bei der Umsetzung der DSGVO (Art. 39 Abs. 1 lit. a DSGVO). Zusätzlich überwacht der Datenschutzbeauftragte die Einhaltung der Verordnung. Der Datenschutzbeauftragte berichtet hierzu direkt an die höchste Managementebene und arbeitet mit den Aufsichtsbehörden zusammen. Hierbei kann die Formulierung „Überwachung der Einhaltung“ in Art. 39 Abs. 1 lit. b DSGVO gegebenenfalls eine strafrechtliche oder ordnungswidrigkeitenrechtliche Verantwortlichkeit des Datenschutzbeauftragten nach sich ziehen, da sich hieraus wohl eine (Überwacher-) Garantenstellung ergibt. Einige Aufsichtsbehörden haben jedoch bereits betont, dass sie eine Haftung des Datenschutzbeauftragten für Datenschutzverstöße des Unternehmens nicht gegeben sehen. Die Einhaltung des Datenschutzes ist primär unternehmerische Pflicht und kann nicht auf einen Datenschutzbeauftragten ausgelagert werden. Persönliche Haftungsrisiken des Datenschutzbeauftragten können jedoch bestehen, wenn er seine Aufgaben nach der DSGVO nicht erfüllt. Um jegliche Risiken zu reduzieren sollten Datenschutzbeauftragte darauf bedacht zu sein, dass sie die angemessene Erfüllung ihrer Aufgaben entsprechend dokumentieren.
Eine weitere Aufgabe des Datenschutzbeauftragten ist die Umsetzung von Datenschutzstrategien. Dafür prüft er unter anderem die Zuweisung von Zuständigkeiten, die Sensibilisierung und Schulung der datenverarbeitenden Mitarbeiter und die Tauglichkeit der Strategien zur Umsetzung der Anforderungen aus der DSGVO. Bei der Durchführung von Datenschutz-Folgenabschätzungen berät der Datenschutzbeauftragte den Verantwortlichen. Der Verantwortliche teilt den Aufsichtsbehörden zudem die Kontaktdaten des Datenschutzbeauftragten mit. Dieser ist ihr erster Ansprechpartner in allen datenschutzrechtlichen Fragen und soll möglichst eng mit der Aufsichtsbehörde zusammenarbeiten. Es empfiehlt sich hierbei ein gut dokumentiertes schriftliches Verfahren um möglichen Beweisschwierigkeiten aus dem Weg zu gehen. In Deutschland sind gemäß § 40 Abs. 1 BDSG n.F. die jeweiligen Landesdatenschutzbeauftragten für diese Zusammenarbeit und Überwachung zuständig.
Der Datenschutzbeauftrage muss bei der Erfüllung aller seiner Aufgaben den Risiken der jeweiligen Datenverarbeitungsvorgänge gerecht werden. Dafür muss er zunächst das konkrete Risiko bestimmter Verarbeitungsvorgänge für die Rechte und Freiheiten der Betroffenen bestimmen. Anschließend kann er seinen Aufwand und den Umfang seiner Tätigkeit dem jeweiligen Risiko anpassen.
Mögliche zusätzliche Verpflichtungen
Für Unternehmen kann es unter Umständen vorteilhaft sein, dem Datenschutzbeauftragten neben den gesetzlichen Mindestpflichten vertraglich geregelt weitere Zusatzpflichten zu übertragen. Auf diese Weise können Unternehmen etwa das Fachwissen eines erfahrenen Datenschutzbeauftragte effizient einsetzen. Der Datenschutzbeauftragte könnte zum Beispiel nicht nur die Umsetzung von internen Datenschutzstrategien überwachen, sondern das Unternehmen auch bei der Entwicklung dieser Strategien beraten und unterstützen. Entwickelt der Datenschutzbeauftragte die Strategien zum Datenschutz selbst, so kann er auch am effizientesten die Umsetzung kontrollieren. Gegebenenfalls können Unternehmen dem Datenschutzbeauftragten auch die Durchführung der Datenschutz-Folgenabschätzung übertragen und nicht lediglich seinen Rat zur Datenschutz-Folgenabschätzung einholen (Anmerkung der Red.: Zur Frage, ob ein Beteiligungsrecht des Betriebsrates bei der Datenschutz-Folgenabschätzung besteht). Als weitere mögliche zusätzliche Pflichten des Datenschutzbeauftragten kommen die Pflicht zur Führung des Verzeichnisses von Verarbeitungstätigkeiten oder die Durchführung von Mitarbeiterschulungen zum Datenschutz in Frage. Gerade wenn Unternehmen mit dem Datenschutzbeauftragten über die DSGVO hinausgehende Pflichten vereinbaren, müssen sie immer sicherstellen, dass dem Datenschutzbeauftragten genug Ressourcen für die Erfüllung der Mindestpflichten verbleiben.
Stellung des Datenschutzbeauftragten im Unternehmen
Der Datenschutzbeauftragte erhält durch die DSGVO eine wichtige organisatorische Stellung im Unternehmen. Dem Verantwortlichen oder Auftragsverarbeiter drohen empfindliche Bußgelder, wenn der Datenschutzbeauftragte im Unternehmen seine Stellung nicht entsprechend der gesetzlichen Vorgaben ausüben kann.
Die Vorgaben zur Unterstützung des Datenschutzbeauftragten durch das Unternehmen umfassen insbesondere:
- Vor- und Weiterbildung
- Ressourcen zur Aufgabenerfüllung
- Weisungsfreiheit
- Schutz des Datenschutzbeauftragten
- Geheimhaltungspflicht
- Interner oder externer Datenschutzbeauftragter
- Gemeinsamer Datenschutzbeauftragter
- Veröffentlichung von Kontaktdaten
- Beteiligung des Datenschutzbeauftragten
- Unterstützung des Datenschutzbeauftragten
Gerade bei den Ressourcen und den internen Befugnissen des Datenschutzbeauftragten werden die Aufsichtsbehörden für den Datenschutz künftig wohl genau hinsehen.
Nötige Ressourcen und Weisungsfreiheit
Unternehmen müssen es dem Datenschutzbeauftragten ermöglichen, sein Fachwissen aufzubauen und aktuell zu halten. Zusätzlich müssen sie ihm ausreichend Ressourcen und Zeit zur Erfüllung aller seiner Aufgaben zur Verfügung stellen. Das Unternehmen muss dem Datenschutzbeauftragen gegebenenfalls eine geeignete IT-Ausstattung, Räumlichkeiten, Büroeinrichtung, Fachliteratur, Fortbildungen, Zeitbudget, finanzielle und personelle Mittel zur Verfügung stellen. Auch muss das Unternehmen dem Datenschutzbeauftragten Zugang zu allen Bereichen des Unternehmens, in denen Datenverarbeitungen durchgeführt werden, gewähren.
Vermeidung von Interessenkonflikten
Auch nach der DSGVO müssen Unternehmen sicherstellen, dass ihre Datenschutzbeauftragten keinen unvertretbaren Interessenkonflikten ausgesetzt sind. Soweit es dadurch nicht zu einem Interessenkonflikt kommt, darf der Datenschutzbeauftragte darf neben seiner Tätigkeit als Datenschutzbeauftragter auch noch andere Aufgaben im Unternehmen wahrnehmen. Ein Interessenskonflikt könnte insbesondere dann bestehen, wenn der Datenschutzbeauftragte sich selbst oder seine eigene Arbeit kontrollieren müsste oder wenn er ein eigenes wirtschaftliches Interesse am Unternehmenserfolg hat. Bereits bei der Benennung eines Datenschutzbeauftragten sollten Unternehmen prüfen, ob es zu Interessenskonflikten kommen kann. Womöglich kann es besser sein, einen externen Datenschutzbeauftragten zu bestellen, wenn das Unternehmen einen Interessenskonflikt bei keinem geeigneten Mitarbeiter sicher ausschließen kann. Auch externe Datenschutzbeauftragte dürfen natürlich keine Interessenskonflikte haben.
Ein Konzern beziehungsweise eine Unternehmensgruppe darf auch einen gemeinsamen Datenschutzbeauftragten ernennen, sofern gewährleistet ist, dass dieser von jeder Niederlassung leicht erreichbar ist. Durch die modernen Kommunikationstechnologien sollte diese Anforderung keine allzu große Hürde darstellen. Bei einer Länderübergreifenden Tätigkeit müssen Unternehmen jedoch sicherstellen, dass alle betroffenen Personen den Datenschutzbeauftragten in ihrer Landessprache kontaktieren können.
Bei der Ausübung seiner Tätigkeit ist der Datenschutzbeauftragte völlig weisungsfrei. Bei internen Datenschutzbeauftragten betrifft die Weisungsfreiheit aber lediglich die Tätigkeit, die in unmittelbarem Zusammenhang mit der Stellung als Datenschutzbeauftragter zusammenhängt. Das Unternehmen muss den Datenschutzbeauftragten frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängende Fragen einbeziehen. Er muss dabei noch in der Lage sein, den Einzelfall einer umfassenden Prüfung zu unterziehen und Einfluss auf die Beantwortung datenschutzrechtlicher Fragen auszuüben. Um der durch Art. 24 Abs. 1 DSGVO angeordneten Beweislast gerecht zu werden, empfiehlt es sich ein dokumentiertes Informationsverfahren für den Datenschutzbeauftragten zu etablieren.
Der Sonderkündigungsschutz des Datenschutzbeauftragten
Unternehmen dürfen gemäß Art. 38 Abs. 3 DSGVO den Datenschutzbeauftragten wegen der Erfüllung seiner Aufgaben weder abberufen noch benachteiligen. Dieser Schutz des Datenschutzbeauftragten wird, wenn die Benennung eines Datenschutzbeauftragten verpflichtend ist, durch das BDSG n.F. erweitert (§§ 38 Abs. 2, 6 Abs. 4 BDSG n.F.). Die Kündigung des Arbeitsverhältnisses des (internen) Datenschutzbeauftragten ist danach nur unter den strengen Voraussetzungen des § 626 BGB zulässig. Dieser Kündigungsschutz wirkt ein Jahr nach Abberufung des Datenschutzbeauftragten nach. Dieser zusätzliche Schutz stellt die Unabhängigkeit des Datenschutzbeauftragten gegenüber dem Unternehmen sicher.
Verschwiegenheitspflichten und Auskunft
Der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität von Betroffenen sowie über die Umstände verpflichtet, die Rückschlüsse auf Betroffene zulassen. Aus §§ 6 Abs. 6, 38 Abs. 2 BDSG neu ergibt sich für den Datenschutzbeauftragten unter bestimmten Umständen sogar ein Zeugnisverweigerungsrecht. Diese weitreichenden Geheimhaltungspflichten und –rechte sollen die Betroffenen schützen. Sie müssen ohne Angst vor negativen Konsequenzen den Datenschutzbeauftragten kontaktieren können. Gemäß Art. 38 Abs. 4 DSGVO können betroffene Personen den Datenschutzbeauftragten wegen der Verarbeitung ihrer personenbezogenen Daten und der Wahrnehmung ihrer Rechte kontaktieren. Damit betroffene Personen dieses Recht ausüben können, müssen Unternehmen Kontaktdaten des Datenschutzbeauftragten veröffentlichen. Die Veröffentlichung auf einer nicht zugangsbeschränkten Internetseite sollte dabei ausreichend sein.
Zusammenfassung
Die Rolle des Datenschutzbeauftragten wird durch die DSGVO und das BDSG n.F. weiter gestärkt und erweitert. Ist es einem Datenschutzbeauftragten möglich, seine Aufgaben ordnungsgemäß und gewissenhaft umzusetzen, so steigt das Datenschutzniveau im gesamten Unternehmen und die Gefahr von Bußgeldern oder Schadensersatzforderungen sinkt. Unternehmen sollten daher bei der Benennung, Einarbeitung und Ausstattung des Datenschutzbeauftragten besonders sorgsam vorgehen.

Partner bei Hogan Lovells International LLP (Büro Frankfurt)
Autorenprofile in den sozialen Medien: Twitter, Xing oder LinkedIn.

Hogan Lovells International LLP
(Büro Frankfurt)
Autorenprofile in den sozialen Medien: Xing .
Aktuelle Buchveröffentlichung des Autors zum Thema:
Anhang: Checkliste zur Benennung, Pflichten und Stellung des Datenschutzbeauftragten
Die nachstehende Checkliste zählt typische Regelungspunkte auf, die ein Unternehmen bei der Benennung und der organisatorischen Stellung beachten sollte und welche Mindestpflichten ein Datenschutzbeauftragter hat.
1. Benennung:
- Voraussetzungen des Art. 37 Abs. 1 DSGVO
- Voraussetzungen des § 38 BDSG n.F.
- Berufliche Qualifikationen und das nötige Fachwissen (Art. 37 Abs. 5 DSGVO)
- Mitteilung der Kontaktdaten an Aufsichtsbehörden sowie Veröffentlichung (Art. 37 Abs. 7 DSGVO)
2. Stellung:
- Ermöglichung der Vor- und Weiterbildung
- Bereitstellen der Ressourcen zur Aufgabenerfüllung
- Weisungsfreiheit in datenschutzrechtlichen Angelegenheiten
- Sonderkündigungsschutz (§§ 6 Abs. 4, 38 Abs. 2 BDSG n.F.)
- Vermeiden von Interessenkonflikten
- Frühzeitige und ausreichende Beteiligung
3. Pflichten:
- Information und Beratung
- Überwachung der Einhaltung der Vorgaben der DSGVO
- Überwachung der Datenschutzstrategien
- Beratung bei der Datenschutz-Folgenabschätzung
- Zusammenarbeit mit Aufsichtsbehörden
- Risikobeurteilung