Wissen, woher der Wind weht.

Topthema 07/2019: Die Zeit drängt – Datenschutzbeauftragte

Welche Anforderungen werden an diese Position gestellt? Wer kann diese Position übernehmen beziehungsweise wer kann oder darf es nicht? Mit diesen oder ähnlichen Fragen müssen sich derzeit viele Unternehmen beschäftigen.

Mit der Datenschutz-Grundverordnung (DSGVO) wird europaweit ein Ansprechpartner eingeführt, der in Deutschland schon Tradition hat: der Datenschutzbeauftragte. Die Grundlage für eine Benennung für Unternehmen, sei es, dass sie als Verantwortlicher oder als Auftragsverarbeiter agieren, ergibt sich künftig aus Artikel 37 DSGVO und über Artikel 37 Abs. 4 DSGVO auch aus § 38 Bundesdatenschutzgedsetz (BDSG 2018). Auch wenn sich in Deutschland an einer Be­nen­nungs­pflicht kaum etwas ändert, wird der Umsetzung dieser Anforderung nun vor dem Hintergrund der geänderten Sanktionsmöglichkeiten eine deutliche höhere Bedeutung beigemessen.

Aufgaben

Die Aufgabenbeschreibung eines Datenschutzbeauftragten wird in Artikel 39 DSGVO aufgeführt. Diese umfasst

  • die Beratung des Verantwortlichen und der Beschäftigten hinsichtlich ihrer Pflichten im Datenschutz;
  • die Überwachung der Einhaltung des Datenschutzes, der Sensibilisierung und Schulung der Mitarbeiter sowie diesbezügliche Kontrollen;
  • die Beratung im Zusammenhang mit einer Datenschutzfolgenabschätzung sowie schließlich
  • die Zusammenarbeit mit der Aufsichtsbehörde und die Tätigkeit als Anlaufstelle für die Aufsichtsbehörde.

Aber auch aus seiner Stellung lassen sich Merkmale für die Aufgabe und die dafür erforderlichen Voraussetzungen ableiten. Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte zurate ziehen (Artikel 38 Abs. 4 DSGVO). Andere Aufgaben können von ihm nur übernommen werden, wenn dies nicht zu einem Interessenskonflikt führt (Artikel 38 Abs. 4 DSGVO).

Ausbildung

Hinsichtlich der Anforderungen an die berufliche Qualifikation von Daten­schutz­be­auf­tragten enthält die DSGVO sehr pauschale Vorgaben in Artikel 37 Abs. 5:
„Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Daten­schutz­rechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“
Es gibt europaweit keine normierte, offizielle Ausbildung zum Daten­schutz­be­auf­tragten. Dementsprechend gibt es die unterschiedlichsten Qualifizierungsangebote in Deutschland, die von drei bis zu 16 Tagen schwanken. Auch die Inhalte umfassen bereits deutliche Qua­li­täts­unter­schiede. Ausbildungskurse im Schnellverfahren werden angeboten, die in Online-Schulungen das erforderliche Rüstzeug versprechen und nach einem kurzen Test auch zertifizieren. Der Berufs­ver­band der Daten­schutz­be­auf­tragten hatte hierzu schon vor Jahren ein berufliches Leitbild formuliert, dessen wesentliche Anforderungen durch die deutschen Auf­sichts­be­hörden 2010 in einem Beschluss übernommen wurden. Weder ist ein Studium der Rechtswissenschaften oder Informatik erforderlich noch gibt es in der beruflichen Vorbildung Ausschlusskriterien.

Qualifikation

Welche Qualifizierungen dann tatsächlich ausreichen, hängt nicht nur von der Vorqualifikation der Person ab, sondern auch vom künftigen Einsatzbereich. Die Fragestellungen umfassen bei­spiels­weise schnelle kompetente Beratung zu Wartungssituationen, wenn der Know-how-Träger des Dienstleisters außerhalb der Europäischen Union (EU) seine Tätigkeit ausübt, oder die aktuellen Interpretationen der Auf­sichts­be­hörden zu den rechtlichen und technischen Anforderungen bei der Gestaltung einer Website. Gibt es eine DIN-Norm zu Löschkonzepten, die den Stand der Technik widerspiegelt? Ist eine Daten­schutz­fol­gen­ab­schätzung erforderlich und wie führe ich sie durch? Auf diese und andere Fragen werden Antworten vom Datenschutzbeauftragten erwartet. Maßgeblich ist also die Kenntnis der rechtlichen sowie technischen Anforderungen und Möglichkeiten; im Rahmen der Beratung sind die denkbaren Optionen in der Auslegung der aktuellen rechtlichen Vorgaben nachvollziehbar zu vermitteln. Allein die Fähigkeit, fremde Checklisten auszufüllen, wird nicht ausreichen.

Abberufung bei mangelnder Eignung

Auch wenn die Ausbildung nicht normiert ist, haben die Aufsichtsbehörden in Deutschland bislang schon – wenn auch selten – ihr Recht genutzt, einen Datenschutzbeauftragten, den sie für ungeeignet hielten, abzuberufen. Eher werden aber Bußgelder wegen Nichtbestellung eines Datenschutzbeauftragten verhängt: Im letzten Tätigkeitsbericht der sächsischen Daten­schutz­auf­sichts­behörde wird von vier Fällen berichtet, bei denen wegen Verstoßes gegen die Bestellpflicht bei einem maximalen Bußgeld von 50.000 Euro jeweils ein Bußgeld in Höhe von 10.000 Euro verhängt wurde.

Interessenskonflikt

Neben den Aufgaben aus der DSGVO können durch den Datenschutzbeauftragten auch noch andere Aufgaben wahrgenommen werden, es darf nur nicht zu einem Interessenskonflikt kommen. Dieser tritt dann ein, wenn der Datenschutzbeauftragte gleichzeitig auch für Ver­ar­bei­tungs­vorgänge oder Schutzmaßnahmen im Rahmen der Verarbeitung per­so­nen­be­zogener Daten ver­ant­wort­lich ist. So haben Auf­sichts­be­hörden einen Interessenskonflikt bei Personalleitern, IT-Verantwortlichen und Geschäftsführern bejaht. Auch bei einem internen Juristen, der auch zu For­mu­lie­rungen gegenüber Beschäftigten oder Kunden berät, wurde ein In­te­res­sens­konflikt an­ge­nom­men, weil er seine eigenen Formulierungen überwachen müsste.

Kündigungsschutz/Benachteiligungsverbot

Direkt aus der DSGVO lassen sich der Abberufungsschutz sowie ein Be­nach­tei­li­gungs­verbot des Daten­schutz­be­auf­tragten ableiten. Zugunsten des Daten­schutz­be­auf­tragten wird zudem über § 38 Abs. 2 BDSG (2018) ein besonderer Kün­di­gungs­schutz begründet – wie bislang auch schon. Allerdings nur, wenn eine Pflicht zur Benennung vorlag.

Externe Datenschutzbeauftragte

Zusammen mit dem Anspruch auf Fortbildung und der erforderlichen Spezialisierung auf Branchen sind arbeitsrechtliche Konsequenzen für viele Unternehmen der Anlass, über die Benennung eines externen Datenschutzbeauftragten nachzudenken. Die DSGVO sieht dies nun auch für öffentliche Einrichtungen vor. Doch auch ein externer Datenschutzbeauftragter darf durch oder bei der Ausübung seiner Aufgaben nicht benachteiligt werden, ihm müssen Zugang und interne Informationen auch zu Schutzmaßnahmen, Marketing-Aktionen und allen weiteren Informationen, die er für seine Aufgaben benötigt, ermöglicht werden. Auch ändert sich durch die Ein­be­zie­hung eines externen Datenschutzbeauftragten nichts an der Verantwortlichkeit für die Einhaltung der DSGVO: Diese verbleibt beim Verantwortlichen. Überlegungen, hier eine Garantenstellung des Datenschutzbeauftragten zu konstruieren, weil diesem auch eine Überwachungsaufgabe zugewiesen würde, verkennen, dass die Über­wachung auch schon bisher ein Tätigkeitsmerkmal nach § 4g BDSG war und sich deshalb allein deswegen keine Änderung ergibt.

Haftung

Die Haftungssituation ändert sich auch für den externen Datenschutzbeauftragten nicht. Berät er fahrlässig oder vorsätzlich falsch, könnte dies ein Fall für eine Beratungshaftung werden. Hierbei kommt es aber wie bei jeder Haftungsfrage auf den Verschuldensmaßstab sowie die Vor­her­seh­bar­keit des Schadens an. Dies stellt auch die Arbeitsgemeinschaft der europäischen Auf­sichts­be­hörden (Artikel 29 Daten­schutz­gruppe) in ihrem Working Paper 243 zum Daten­schutz­be­auf­tragten (DSB) unter der DSGVO fest:
„Überwachung der Einhaltung bedeutet nicht, dass der DSB im Fall der Nicht­ein­hal­tung persönlich zur Verantwortung gezogen werden kann. Aus der DSGVO geht klar hervor, dass es Sache des Verantwortlichen – und nicht des DSB – ist, geeignete technische und organisatorische Maßnahmen [umzusetzen], um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt“ (Artikel 24 Absatz 1). Die Einhaltung der datenschutzrechtlichen Bestimmungen fällt somit in den Aufgabenbereich des Verantwortlichen und nicht in den des Datenschutzbeauftragten.“
Datenschutzrechtlich bleibt der Verantwortliche beziehungsweise der Auf­trags­ver­ar­beiter in der Pflicht für rechtskonforme Umsetzungen; und nicht nur angesichts der Höhe des Bußgelds wird es sich rächen, bei der Benennung des Daten­schutz­be­auf­tragten weniger auf die Qualifikation, sondern auf den Preis geachtet und somit am falschen Ende gespart zu haben.

Rechtsberatung?

Eine Beratung in den relevanten Rechtsgebieten durch einen bestellten Daten­schutz­be­auf­tragten wurde bisher nicht als Verstoß gegen das Rechts­dienst­leis­tungs­gesetz (RDG) gewertet – daran wird sich auch bei einer Benennung unter der DSGVO nichts ändern. Rechtliche Beratungen zu datenschutzrechtlichen Fragestellungen außerhalb des Tätigkeitsgebiets als benannter Datenschutzbeauftragter oder ohne rechts­an­walt­liche Zulassung beinhalten aber weiterhin das Risiko, als unerlaubte Rechtsberatung angegriffen zu werden.

Auswahlkriterien

Doch welche Möglichkeiten hat man, wenn man einen externen Daten­schutz­be­auf­tragten sucht, den man benennen kann und für den man bislang keine Empfehlung hat? Stößt man auf einen Anbieter, etwa im Internet, wird man nur schwer eine Qualitätsaussage treffen können. Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V. versucht hier ent­ge­gen­zuwirken und bietet seinen Mitgliedern eine Selbstverpflichtung an, die unter anderem eine regelmäßige Fortbildung und Qualifizierung sicherstellt. Die Übersicht über die dementsprechend verpflichteten Datenschutzbeauftragten kann man beim BvD abrufen. Die per­sön­lichen Auswahlkriterien sollten sich dann an der persönlichen Akzeptanz orientieren, berücksichtigt werden sollte zudem der äußere Eindruck, etwa inwieweit auf der Homepage des Anbieters konkrete Aussagen zur DSGVO erfolgen. Zudem helfen die Fragen: Wie weist der externe Anbieter seine Fachkunde nach? Ist der Daten­schutz­be­auf­tragte zertifiziert? Bildet er sich regelmäßig fort, vor allem auch zur DSGVO? Erst als letztes Kriterium sollte der Preis berücksichtigt werden.

Fazit

Die Aufgaben des Datenschutzbeauftragten sind in den Zeiten der digitalen Transformation und des technischen Fortschritts genauso erforderlich wie auch herausfordernd. Sowohl die Auswahl eines Datenschutzbeauftragten als auch die Entscheidung, selbst diese Dienstleistung anzubieten, sollten nicht unüberlegt vorgenommen werden.

Quelle: DATEV magazin, Herausgeber: DATEV eG, Nürnberg, Ausgabe 07/2019. Autor: Thomas Spaeing Vorstandsvorsitzender des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e. V.. Artikel aufrufbar unter: https://www.datev-magazin.de/2018-07/praxis-2018-07/die-zeit-draengt/

Kontaktieren Sie uns

    Rufen Sie mich an

    * Pflichtfeld