Titelthema | Jetzt wird es ernst

Neue Pflichten

Datenschutzbeauftragte

0Kommentare

Durch die Datenschutz-Grundverordnung und das ergänzende na­tio­nale Recht ergeben sich auch Neuerungen für die Perso­nen, die in den Unternehmen auf den Datenschutz zu achten haben.

In diesem Jahr ergeben sich grundlegende Änderungen im Datenschutzrecht. Ab dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO). Damit soll ein ein­heit­licher Daten­schutz­stan­dard in Europa geschaffen werden. Die bislang unter­schied­lichen nationalen Be­stim­mung­en werden im Sinne einer Vollharmonisierung abgelöst und in wesentlichen Punkten durch neue Vorschriften ersetzt. Der deutsche Gesetzgeber hat parallel dazu ein neues Daten­schutz­gesetz (BDSG n. F.) verabschiedet, das ebenfalls zum 25. Mai 2018 in Kraft tritt und an die Stelle des aktuell noch gültigen Daten­schutz­gesetzes (BDSG) tritt. Der wesentliche strukturelle Unter­schied zur bisherigen Rechtslage besteht darin, dass die DSGVO unmittelbare Wirkung in allen EU-Mitgliedstaaten ent­faltet und nationale Datenschutzbestimmungen nur noch dann zulässig sind, wenn die DSGVO ausdrücklich eine entsprechende Öffnungsklausel enthält. Neben zahlreichen bislang unbekannten Informations- und Dokumentationspflichten sowie einer dras­tischen Er­höh­ung des Bußgeldrahmens bei Verstößen ergeben sich durch das Zusam­men­spiel von DSGVO und BDSG n. F. auch Neuerungen hinsichtlich des Daten­schutz­beauf­tragten. Die maßgeblichen Be­stim­mung­en sind Art. 37–39 DSGVO und § 38 in Verbindung mit §§ 5–7 BDSG n. F.

Benennung eines Datenschutzbeauftragten

Während das deutsche Datenschutzrecht für Unternehmen schon seit Langem die Bestellung eines Datenschutzbeauftragten vorsieht, war bei den Verhandlungen über die DSGVO umstritten, ob eine solche Verpflichtung auch auf europäischer Ebene normiert werden sollte. Letztlich wurde eine europaweit einheitliche Verpflichtung zur Benennung (nach bisherigem Recht: Bestellung) eines Datenschutzbeauftragten in die DSGVO auf­ge­nommen. Bislang unterliegen Unternehmen in Deutschland einer Verpflichtung zur Bestellung eines Datenschutzbeauftragten, wenn sie

  • in der Regel zehn oder mehr Personen ständig mit der automatisierten Verarbeitung personen­bezogener Daten beschäftigen oder
  • in der Regel mindestens 20 Personen mit der nicht automatisierten Verarbeitung personen­bezogener Daten beschäftigen (§ 4f BDSG).

Der primäre Geschäftszweck des Unternehmens muss in der Verarbeitung personenbezogener Daten bestehen.

Nach der DSGVO trifft Unternehmen künftig vor allem dann eine Verpflichtung zur Be­nen­nung eines Datenschutzbeauftragten, wenn die Kerntätigkeit des Unternehmens in der Durchführung von Ver­ar­bei­tungs­vor­gäng­en besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine um­fang­reiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit. b) DSGVO). Die DSGVO knüpft damit im Unterschied zum bisherigen deutschen Recht nicht an ein konkret messbares quantitatives, sondern an ein risikobasiertes Kriterium an. Dem­ent­spre­chend ist umstritten, was unter dem Begriff der Kerntätigkeit des Unter­nehmens zu verstehen ist. Nach wohl überwiegender Auffassung muss der primäre Geschäftszweck des Unternehmens in der Verarbeitung per­so­nen­be­zo­ge­ner Daten bestehen. Da auch in der Arbeitswelt 4.0 die meisten Unternehmen einen anderen primären Geschäftszweck, etwa die Herstellung und den Vertrieb von Waren oder die Erbringung von Dienstleistungen, verfolgen und die Verarbeitung per­so­nen­be­zo­ge­ner Daten nur als Nebentätigkeit anfällt, trifft die europaweite Verpflichtung zur Benennung eines Datenschutzbeauftragten nach der DSGVO derzeit nur einen geringen Anteil der Un­ter­neh­men. Der deutsche Gesetzgeber hat jedoch von der Öffnungsklausel der DSGVO (Art. 37 Abs. 4 Satz 1 DSGVO) Gebrauch gemacht. Unternehmen in Deutschland müssen künftig stets dann einen Datenschutzbeauftragten benennen, wenn sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung per­so­nen­be­zo­ge­ner Daten beschäftigen (§ 38 Abs. 1 BDSG n. F.). Die bisherige Regelung zur Bestellpflicht bei nicht automatisierter Verarbeitung per­so­nen­be­zo­ge­ner Daten entfällt. Für Unternehmen, die den vorerwähnten Schwellenwert nicht überschreiten, ist damit die Benennung eines Datenschutzbeauftragten auch künftig freiwillig, es sei denn, ihr primärer Geschäftszweck besteht in der Verarbeitung personenbezogener Daten. Unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen ist ein Datenschutzbeauftragter ferner bei solchen Verarbeitungen zu benennen, die einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) unterliegen oder geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder der Markt- oder Meinungsforschung erfolgen (§ 38 Abs. 1 S. 2 BDSG n. F.).

Anforderungsprofil des Datenschutzbeauftragten

Nach dem bisherigen BDSG muss der Datenschutzbeauftragte die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen (§ 4f Abs. 2 BDSG). Zur persönlichen Eignung gehört auch, dass die Tätigkeit als Datenschutzbeauftragter nicht durch andere Aufgaben und Tätigkeiten beeinträchtigt wird. Personalleiter, Mitglieder der Unternehmensleitung oder Leiter der IT-Abteilung dürfen wegen der insoweit übli­cher­weise bestehenden Interessenskollision nicht zum Datenschutzbeauftragten bestellt werden. Das Unternehmen hat ein Wahlrecht, ob es einen ei­ge­nen Arbeitnehmer (interner Datenschutzbeauftragter) oder einen außenstehenden Auftragnehmer (externer Datenschutzbeauftragter) bestellt. Nach der DSGVO und dem BDSG n. F. ergeben sich ­hinsichtlich des Anforderungsprofils keine wesentlichen Änderungen. Die DSGVO betont jedoch die Erforderlichkeit des Fachwissens auf dem Gebiet des Datenschutzrechts und der Da­ten­schutz­praxis (Art. 37 Abs. 5 DSGVO), was sich aber im Ergebnis mit den bisherigen Anforderungen decken wird. Auch die Wahlmöglichkeit zwischen internem und externem Da­ten­schutz­be­auf­trag­ten bleibt erhalten (Art. 37 Abs. 6 DSGVO). Es wurde zudem erstmals ausdrücklich normiert, dass eine Unternehmensgruppe einen gemein­samen Datenschutzbeauftragten ernennen darf, sofern dieser von jeder Nieder­lassung aus leicht erreicht werden kann (Art. 37 Abs. 2 DSGVO).

Pflichten und Kompetenzen

Der Datenschutzbeauftragte hat nach dem bisherigen deutschen Datenschutzrecht vor allem die Aufgabe, auf die Einhaltung des BDSG und anderer Vorschriften über den Daten­schutz hin­zu­wir­ken. Dazu gehören die Überwachung der ordnungsgemäßen An­wend­ung von Da­ten­ver­ar­bei­tungs­pro­gram­men sowie die Schulung der mit der Verar­beitung betrauten Personen. Darüber hinaus kann sich der Datenschutzbeauftragte in Zweifelsfällen an die Aufsichtsbehörde wenden (§ 4g Abs. 1 BDSG n. F.). Er ist in seiner Amtsführung weisungsfrei und unmittelbar dem Leiter des Unternehmens unterstellt, hat aber keine eigenen Durchsetzungskompetenzen. Nach der DSGVO, deren Vorschriften im BDSG n. F. inhaltsgleich übernommen wurden, treffen den Da­ten­schutz­be­auf­trag­ten demgegenüber zusätzliche Pflichten. Neben der Unterrichtung und Beratung des Un­ter­neh­mens sowie der Beschäftigten gehört zu den Aufgaben des Daten­schutz­beauf­tragten insbesondere die Überwachung der Einhaltung der DSGVO und anderer Daten­schutz­vor­schrif­ten sowie der im Unternehmen eingerichteten Strategien für den Schutz per­so­nen­be­zogener Daten (Art. 39 Abs. 1 DSGVO, § 38 Abs. 2 in Verbindung mit § 6 BDSG n. F.). Darüber hinaus fungiert er künftig als Anlaufstelle für die Aufsichtsbehörden. Insgesamt ergibt sich ein deutlich um­fang­rei­che­res Aufgabenspektrum. Das hat nach umstrittener Ansicht auch Verschärfungen hinsichtlich einer möglichen Haftung des Daten­schutz­beauftragten bei Datenschutzverstößen zur Folge.

Schutz des Datenschutzbeauftragten

Der (interne wie externe) Datenschutzbeauftragte darf nach dem bisherigen deutschen Recht wegen der Erfüllung seiner Aufgaben nicht diskriminiert werden. Die Bestellung zum Da­ten­schutz­be­auf­trag­ten darf nur aus wichtigem Grund widerrufen werden. Der interne Da­ten­schutz­be­auf­trag­te genießt darüber hinaus zusätzlich besonderen Schutz gegen die Kündigung seines Ar­beits­ver­hält­nis­ses. Eine Kündigung ist während der Bestellung und innerhalb eines Jahrs nach der Beendigung der Bestellung nur möglich, wenn Tatsachen vorliegen, die zu einer Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist, §  626 Bürgerliches Gesetzbuch (BGB), berechtigen (§ 4f Abs. 3 BDSG n. F.). Die DSGVO sieht lediglich ein Diskriminierungs- und Ab­be­ruf­ungs­ver­bot vor, enthält jedoch keine Regelung zum besonderen Kündigungsschutz (Art. 38 Abs. 3
DSGVO). Der deutsche Gesetzgeber hat jedoch die bisherigen Bestimmungen über den Son­der­kün­di­gungs­schutz des internen Datenschutzbeauftragten in das BDSG nF auf­genommen. Für Unternehmen in Deutschland ändert sich damit am Schutzniveau des Datenschutzbeauftragten letztlich nichts.

Haftung des Datenschutzbeauftragten

Zu den umstrittensten Fragen im Zusammenhang mit den Neuregelungen gehört eine mögliche Haftung des Daten­schutz­beauf­tragten. Zentraler Anknüpfungspunkt für eine denkbare straf- oder ordnungswidrigkeitsrechtliche Haftung des Daten­schutz­beauf­tragten ist die Frage, ob ihn auf­grund seiner Benennung eine sogenannte Garan­ten­pflicht (§ 13 Strafgesetzbuch – StGB), trifft, also eine rechtliche Verpflichtung, aktiv gegen Rechtsverstöße im Unternehmen vorzugehen und diese zu verhindern. Nach bislang ganz herrschender Auffassung zum noch aktuellen BDSG aF besteht eine solche Garan­ten­pflicht für den Datenschutzbeauftragten in der Regel nicht, sodass er bei unterlassenem Einschreiten gegen Rechtsverstöße Dritter bislang grundsätzlich keine straf- oder ordnungswidrigkeitsrechtliche Verfolgung zu befürchten hat bzw. hatte. Nachdem die bisher be­steh­ende Verpflichtung des Datenschutzbeauftragten zum bloßen Hinwirken auf die Einhaltung der Datenschutzbestimmungen durch die DSGVO nun zu einer ausdrücklichen Über­wach­ungs­ver­pflich­tung aufgewertet wird, spricht aus rechtlicher Sicht viel dafür, dass den Da­ten­schutz­be­auf­trag­ten künftig eine Garantenpflicht mit entsprechenden straf- und ord­nungs­widrig­keits­recht­lichen Haftungsrisiken trifft. Zu beachten ist allerdings, dass die europäischen Da­ten­schutz­auf­sichts­be­hör­den eine persönliche Haftung des Datenschutzbeauftragten im Fall der Nicht­ein­hal­tung von Datenschutzanforderungen bislang pauschal ablehnen.

Ausblick

Bis zur Klärung der geschilderten Fragestellungen durch die Rechtsprechung ist jedenfalls zu er­war­ten, dass Datenschutzbeauftragte künftig mehr denn je darauf bedacht sein werden, Un­re­gel­mä­ßig­kei­ten und Verstöße gegen datenschutzrechtliche Bestimmungen im Unternehmen be­reits im Vorfeld zu verhindern und ihre Rolle insgesamt aktiver als bislang interpretieren. Alles in allem werden die Bedeutung des Datenschutzes sowie die Sensibilisierung für die diesbezüglichen Ge­fah­ren durch die DSGVO und das BDSG n. F. erheblich verstärkt.

0Kommentare Neuen Kommentar verfassen

Einen neuen Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.