Datenschutzbeauftragte - 21. Juni 2018

Die Zeit drängt

Welche Anforderungen werden an diese Position gestellt? Wer kann diese Position übernehmen beziehungsweise wer kann oder darf es nicht? Mit diesen oder ähnlichen Fragen müssen sich derzeit viele Unternehmen beschäftigen.

Mit der Datenschutz-Grundverordnung (DSGVO) wird europaweit ein Ansprechpartner eingeführt, der in Deutschland schon Tradition hat: der Datenschutzbeauftragte. Die Grundlage für eine Benennung für Unternehmen, sei es, dass sie als Verantwortlicher oder als Auftragsverarbeiter agieren, ergibt sich künftig aus Artikel 37 DSGVO und über Artikel 37 Abs. 4 DSGVO auch aus § 38 Bundesdatenschutzgedsetz (BDSG 2018). Auch wenn sich in Deutschland an einer Benennungspflicht kaum etwas ändert, wird der Umsetzung dieser Anforderung nun vor dem Hintergrund der geänderten Sanktionsmöglichkeiten eine deutliche höhere Bedeutung beigemessen.

Aufgaben

Die Aufgabenbeschreibung eines Datenschutzbeauftragten wird in Artikel 39 DSGVO aufgeführt. Diese umfasst

  • die Beratung des Verantwortlichen und der Beschäftigten hinsichtlich ihrer Pflichten im Datenschutz;
  • die Überwachung der Einhaltung des Datenschutzes, der Sensibilisierung und Schulung der Mitarbeiter sowie diesbezügliche Kontrollen;
  • die Beratung im Zusammenhang mit einer Datenschutzfolgenabschätzung sowie schließlich
  • die Zusammenarbeit mit der Aufsichtsbehörde und die Tätigkeit als Anlaufstelle für die Aufsichtsbehörde.

Aber auch aus seiner Stellung lassen sich Merkmale für die Aufgabe und die dafür erforderlichen Voraussetzungen ableiten. Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte zurate ziehen (Artikel 38 Abs. 4 DSGVO). Andere Aufgaben können von ihm nur übernommen werden, wenn dies nicht zu einem Interessenskonflikt führt (Artikel 38 Abs. 4 DSGVO).

Ausbildung

Hinsichtlich der Anforderungen an die berufliche Qualifikation von Datenschutzbeauftragten enthält die DSGVO sehr pauschale Vorgaben in Artikel 37 Abs. 5:
„Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“
Es gibt europaweit keine normierte, offizielle Ausbildung zum Datenschutzbeauftragten. Dementsprechend gibt es die unterschiedlichsten Qualifizierungsangebote in Deutschland, die von drei bis zu 16 Tagen schwanken. Auch die Inhalte umfassen bereits deutliche Qualitätsunterschiede. Ausbildungskurse im Schnellverfahren werden angeboten, die in Online-Schulungen das erforderliche Rüstzeug versprechen und nach einem kurzen Test auch zertifizieren. Der Berufsverband der Datenschutzbeauftragten hatte hierzu schon vor Jahren ein berufliches Leitbild formuliert, dessen wesentliche Anforderungen durch die deutschen Aufsichtsbehörden 2010 in einem Beschluss übernommen wurden. Weder ist ein Studium der Rechtswissenschaften oder Informatik erforderlich noch gibt es in der beruflichen Vorbildung Ausschlusskriterien.

Qualifikation

Welche Qualifizierungen tatsächlich ausreichen, hängt nicht nur von der Vorqualifikation ab, sondern auch vom Einsatzbereich.

Welche Qualifizierungen dann tatsächlich ausreichen, hängt nicht nur von der Vorqualifikation der Person ab, sondern auch vom künftigen Einsatzbereich. Die Fragestellungen umfassen beispielsweise schnelle kompetente Beratung zu Wartungssituationen, wenn der Know-how-Träger des Dienstleisters außerhalb der Europäischen Union (EU) seine Tätigkeit ausübt, oder die aktuellen Interpretationen der Aufsichtsbehörden zu den rechtlichen und technischen Anforderungen bei der Gestaltung einer Website. Gibt es eine DIN-Norm zu Löschkonzepten, die den Stand der Technik widerspiegelt? Ist eine Datenschutzfolgenabschätzung erforderlich und wie führe ich sie durch? Auf diese und andere Fragen werden Antworten vom Datenschutzbeauftragten erwartet. Maßgeblich ist also die Kenntnis der rechtlichen sowie technischen Anforderungen und Möglichkeiten; im Rahmen der Beratung sind die denkbaren Optionen in der Auslegung der aktuellen rechtlichen Vorgaben nachvollziehbar zu vermitteln. Allein die Fähigkeit, fremde Checklisten auszufüllen, wird nicht ausreichen.

Abberufung bei mangelnder Eignung

Auch wenn die Ausbildung nicht normiert ist, haben die Aufsichtsbehörden in Deutschland bislang schon – wenn auch selten – ihr Recht genutzt, einen Datenschutzbeauftragten, den sie für ungeeignet hielten, abzuberufen. Eher werden aber Bußgelder wegen Nichtbestellung eines Datenschutzbeauftragten verhängt: Im letzten Tätigkeitsbericht der sächsischen Datenschutzaufsichtsbehörde wird von vier Fällen berichtet, bei denen wegen Verstoßes gegen die Bestellpflicht bei einem maximalen Bußgeld von 50.000 Euro jeweils ein Bußgeld in Höhe von 10.000 Euro verhängt wurde.

Interessenskonflikt

Neben den Aufgaben aus der DSGVO können durch den Datenschutzbeauftragten auch noch andere Aufgaben wahrgenommen werden, es darf nur nicht zu einem Interessenskonflikt kommen. Dieser tritt dann ein, wenn der Datenschutzbeauftragte gleichzeitig auch für Verarbeitungsvorgänge oder Schutzmaßnahmen im Rahmen der Verarbeitung personenbezogener Daten verantwortlich ist. So haben Aufsichtsbehörden einen Interessenskonflikt bei Personalleitern, IT-Verantwortlichen und Geschäftsführern bejaht. Auch bei einem internen Juristen, der auch zu Formulierungen gegenüber Beschäftigten oder Kunden berät, wurde ein Interessenskonflikt angenommen, weil er seine eigenen Formulierungen überwachen müsste.

Kündigungsschutz/Benachteiligungsverbot

Direkt aus der DSGVO lassen sich der Abberufungsschutz sowie ein Benachteiligungsverbot des Datenschutzbeauftragten ableiten. Zugunsten des Datenschutzbeauftragten wird zudem über § 38 Abs. 2 BDSG (2018) ein besonderer Kündigungsschutz begründet – wie bislang auch schon. Allerdings nur, wenn eine Pflicht zur Benennung vorlag.

Externe Datenschutzbeauftragte

Zusammen mit dem Anspruch auf Fortbildung und der erforderlichen Spezialisierung auf Branchen sind arbeitsrechtliche Konsequenzen für viele Unternehmen der Anlass, über die Benennung eines externen Datenschutzbeauftragten nachzudenken. Die DSGVO sieht dies nun auch für öffentliche Einrichtungen vor. Doch auch ein externer Datenschutzbeauftragter darf durch oder bei der Ausübung seiner Aufgaben nicht benachteiligt werden, ihm müssen Zugang und interne Informationen auch zu Schutzmaßnahmen, Marketing-Aktionen und allen weiteren Informationen, die er für seine Aufgaben benötigt, ermöglicht werden. Auch ändert sich durch die Einbeziehung eines externen Datenschutzbeauftragten nichts an der Verantwortlichkeit für die Einhaltung der DSGVO: Diese verbleibt beim Verantwortlichen. Überlegungen, hier eine Garantenstellung des Datenschutzbeauftragten zu konstruieren, weil diesem auch eine Überwachungsaufgabe zugewiesen würde, verkennen, dass die Überwachung auch schon bisher ein Tätigkeitsmerkmal nach § 4g BDSG war und sich deshalb allein deswegen keine Änderung ergibt.

Haftung

Die Haftungssituation ändert sich auch für den externen Datenschutzbeauftragten nicht. Berät er fahrlässig oder vorsätzlich falsch, könnte dies ein Fall für eine Beratungshaftung werden. Hierbei kommt es aber wie bei jeder Haftungsfrage auf den Verschuldensmaßstab sowie die Vorhersehbarkeit des Schadens an. Dies stellt auch die Arbeitsgemeinschaft der europäischen Aufsichtsbehörden (Artikel 29 Datenschutzgruppe) in ihrem Working Paper 243 zum Datenschutzbeauftragten (DSB) unter der DSGVO fest:
„Überwachung der Einhaltung bedeutet nicht, dass der DSB im Fall der Nichteinhaltung persönlich zur Verantwortung gezogen werden kann. Aus der DSGVO geht klar hervor, dass es Sache des Verantwortlichen – und nicht des DSB – ist, geeignete technische und organisatorische Maßnahmen [umzusetzen], um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt“ (Artikel 24 Absatz 1). Die Einhaltung der datenschutzrechtlichen Bestimmungen fällt somit in den Aufgabenbereich des Verantwortlichen und nicht in den des Datenschutzbeauftragten.“
Datenschutzrechtlich bleibt der Verantwortliche beziehungsweise der Auftragsverarbeiter in der Pflicht für rechtskonforme Umsetzungen; und nicht nur angesichts der Höhe des Bußgelds wird es sich rächen, bei der Benennung des Datenschutzbeauftragten weniger auf die Qualifikation, sondern auf den Preis geachtet und somit am falschen Ende gespart zu haben.

Rechtsberatung?

Eine Beratung in den relevanten Rechtsgebieten durch einen bestellten Datenschutzbeauftragten wurde bisher nicht als Verstoß gegen das Rechtsdienstleistungsgesetz (RDG) gewertet – daran wird sich auch bei einer Benennung unter der DSGVO nichts ändern. Rechtliche Beratungen zu datenschutzrechtlichen Fragestellungen außerhalb des Tätigkeitsgebiets als benannter Datenschutzbeauftragter oder ohne rechtsanwaltliche Zulassung beinhalten aber weiterhin das Risiko, als unerlaubte Rechtsberatung angegriffen zu werden.

Auswahlkriterien

Doch welche Möglichkeiten hat man, wenn man einen externen Datenschutzbeauftragten sucht, den man benennen kann und für den man bislang keine Empfehlung hat? Stößt man auf einen Anbieter, etwa im Internet, wird man nur schwer eine Qualitätsaussage treffen können. Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V. versucht hier entgegenzuwirken und bietet seinen Mitgliedern eine Selbstverpflichtung an, die unter anderem eine regelmäßige Fortbildung und Qualifizierung sicherstellt. Die Übersicht über die dementsprechend verpflichteten Datenschutzbeauftragten kann man beim BvD abrufen. Die persönlichen Auswahlkriterien sollten sich dann an der persönlichen Akzeptanz orientieren, berücksichtigt werden sollte zudem der äußere Eindruck, etwa inwieweit auf der Homepage des Anbieters konkrete Aussagen zur DSGVO erfolgen. Zudem helfen die Fragen: Wie weist der externe Anbieter seine Fachkunde nach? Ist der Datenschutzbeauftragte zertifiziert? Bildet er sich regelmäßig fort, vor allem auch zur DSGVO? Erst als letztes Kriterium sollte der Preis berücksichtigt werden.

Fazit

Die Aufgaben des Datenschutzbeauftragten sind in den Zeiten der digitalen Transformation und des technischen Fortschritts genauso erforderlich wie auch herausfordernd. Sowohl die Auswahl eines Datenschutzbeauftragten als auch die Entscheidung, selbst diese Dienstleistung anzubieten, sollten nicht unüberlegt vorgenommen werden.

Steuerberater als Datenschutzbeauftragter?

Die Funktion des externen Datenschutzbeauftragten kann auch durch einen Steuerberater übernommen werden und ist berufsrechtlich zulässig. Steuerrechtlich handelt es sich bei der Tätigkeit als externer Datenschutzbeauftragter grundsätzlich um eine gewerbliche Tätigkeit (Bundesgerichtshof – BGH, Urteil vom 05.06.2003 – IV R 34/01; zuletzt Finanzgericht – FG München, Urteil vom 25.07.2017 – 5 K 1403/16 – noch nicht rechtskräftig). Das bedeutet aber nicht, dass es sich aus berufsrechtlicher Sicht um eine unzulässige gewerbliche Tätigkeit nach § 57 Abs. 4 Steuerberatungsgesetz (StBerG) handelt. Dies vor dem Hintergrund, dass § 57 Abs. 3 StBerG eine berufsrechtliche Spezialregelung darstellt. Dadurch werden bestimmte Tätigkeiten, die gewerberechtlich als gewerbliche Tätigkeit einzustufen sind, wie etwa die Tätigkeit als Berufsbetreuer oder als Hausverwalter, berufsrechtlich für zulässig und als mit dem Beruf vereinbar erklärt. Gemäß § 57 Abs. 3 Nr. 2 StBerG ist eine freiberufliche Tätigkeit, die die Wahrnehmung fremder Interessen einschließlich der Beratung zum Gegenstand hat, mit dem Beruf des Steuerberaters vereinbar. Unter die Wahrnehmung fremder Interessen fällt auch eine Tätigkeit als Datenschutzbeauftragter, soweit es die technischen und organisatorischen Fragestellungen der Datenverarbeitung betrifft. Datenschutzrechtliche Fragestellungen können insofern behandelt werden, als diese Nebenleistung zum Berufs- und/oder Tätigkeitsbild des Datenschutzbeauftragten gemäß § 5 RDG gehört.

Andreas Raab
Syndikusrechtsanwalt und Referent unter anderem für das Berufs-, Vergütungs- sowie Wettbewerbsrecht bei der Steuerberaterkammer in Nürnberg

Fotos: Yagi Studio / Getty Images

Zum Autor

TS
Thomas Spaeing

Vorstandsvorsitzender des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e. V.

Weitere Artikel des Autors