Datenschutzbeauftragte - 22. März 2018

Neue Pflichten

von Thomas Faas

Durch die Datenschutz-Grundverordnung und das ergänzende na­tio­nale Recht ergeben sich auch Neuerungen für die Perso­nen, die in den Unternehmen auf den Datenschutz zu achten haben.

In diesem Jahr ergeben sich grundlegende Änderungen im Datenschutzrecht. Ab dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO). Damit soll ein einheitlicher Daten­schutz­stan­dard in Europa geschaffen werden. Die bislang unterschiedlichen nationalen Be­stim­mung­en werden im Sinne einer Vollharmonisierung abgelöst und in wesentlichen Punkten durch neue Vorschriften ersetzt. Der deutsche Gesetzgeber hat parallel dazu ein neues Daten­schutz­gesetz (BDSG n. F.) verabschiedet, das ebenfalls zum 25. Mai 2018 in Kraft tritt und an die Stelle des aktuell noch gültigen Datenschutzgesetzes (BDSG) tritt. Der wesentliche strukturelle Unter­schied zur bisherigen Rechtslage besteht darin, dass die DSGVO unmittelbare Wirkung in allen EU-Mitgliedstaaten entfaltet und nationale Datenschutzbestimmungen nur noch dann zulässig sind, wenn die DSGVO ausdrücklich eine entsprechende Öffnungsklausel enthält. Neben zahlreichen bislang unbekannten Informations- und Dokumentationspflichten sowie einer drastischen Er­höh­ung des Bußgeldrahmens bei Verstößen ergeben sich durch das Zusammenspiel von DSGVO und BDSG n. F. auch Neuerungen hinsichtlich des Datenschutzbeauftragten. Die maßgeblichen Be­stim­mung­en sind Art. 37–39 DSGVO und § 38 in Verbindung mit §§ 5–7 BDSG n. F.

Benennung eines Datenschutzbeauftragten

Während das deutsche Datenschutzrecht für Unternehmen schon seit Langem die Bestellung eines Datenschutzbeauftragten vorsieht, war bei den Verhandlungen über die DSGVO umstritten, ob eine solche Verpflichtung auch auf europäischer Ebene normiert werden sollte. Letztlich wurde eine europaweit einheitliche Verpflichtung zur Benennung (nach bisherigem Recht: Bestellung) eines Datenschutzbeauftragten in die DSGVO aufgenommen. Bislang unterliegen Unternehmen in Deutschland einer Verpflichtung zur Bestellung eines Datenschutzbeauftragten, wenn sie

  • in der Regel zehn oder mehr Personen ständig mit der automatisierten Verarbeitung personen­bezogener Daten beschäftigen oder
  • in der Regel mindestens 20 Personen mit der nicht automatisierten Verarbeitung personen­bezogener Daten beschäftigen (§ 4f BDSG).

Der primäre Geschäftszweck des Unternehmens muss in der Verarbeitung personenbezogener Daten bestehen.

Nach der DSGVO trifft Unternehmen künftig vor allem dann eine Verpflichtung zur Benennung eines Datenschutzbeauftragten, wenn die Kerntätigkeit des Unternehmens in der Durchführung von Ver­ar­bei­tungs­vor­gäng­en besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit. b) DSGVO). Die DSGVO knüpft damit im Unterschied zum bisherigen deutschen Recht nicht an ein konkret messbares quantitatives, sondern an ein risikobasiertes Kriterium an. Dem­ent­spre­chend ist umstritten, was unter dem Begriff der Kerntätigkeit des Unternehmens zu verstehen ist. Nach wohl überwiegender Auffassung muss der primäre Geschäftszweck des Unternehmens in der Verarbeitung per­so­nen­be­zo­ge­ner Daten bestehen. Da auch in der Arbeitswelt 4.0 die meisten Unternehmen einen anderen primären Geschäftszweck, etwa die Herstellung und den Vertrieb von Waren oder die Erbringung von Dienstleistungen, verfolgen und die Verarbeitung per­so­nen­be­zo­ge­ner Daten nur als Nebentätigkeit anfällt, trifft die europaweite Verpflichtung zur Benennung eines Datenschutzbeauftragten nach der DSGVO derzeit nur einen geringen Anteil der Un­ter­neh­men. Der deutsche Gesetzgeber hat jedoch von der Öffnungsklausel der DSGVO (Art. 37 Abs. 4 Satz 1 DSGVO) Gebrauch gemacht. Unternehmen in Deutschland müssen künftig stets dann einen Datenschutzbeauftragten benennen, wenn sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung per­so­nen­be­zo­ge­ner Daten beschäftigen (§ 38 Abs. 1 BDSG n. F.). Die bisherige Regelung zur Bestellpflicht bei nicht automatisierter Verarbeitung per­so­nen­be­zo­ge­ner Daten entfällt. Für Unternehmen, die den vorerwähnten Schwellenwert nicht überschreiten, ist damit die Benennung eines Datenschutzbeauftragten auch künftig freiwillig, es sei denn, ihr primärer Geschäftszweck besteht in der Verarbeitung personenbezogener Daten. Unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen ist ein Datenschutzbeauftragter ferner bei solchen Verarbeitungen zu benennen, die einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) unterliegen oder geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder der Markt- oder Meinungsforschung erfolgen (§ 38 Abs. 1 S. 2 BDSG n. F.).

Anforderungsprofil des Datenschutzbeauftragten

Nach dem bisherigen BDSG muss der Datenschutzbeauftragte die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen (§ 4f Abs. 2 BDSG). Zur persönlichen Eignung gehört auch, dass die Tätigkeit als Datenschutzbeauftragter nicht durch andere Aufgaben und Tätigkeiten beeinträchtigt wird. Personalleiter, Mitglieder der Unternehmensleitung oder Leiter der IT-Abteilung dürfen wegen der insoweit üblicherweise bestehenden Interessenskollision nicht zum Datenschutzbeauftragten bestellt werden. Das Unternehmen hat ein Wahlrecht, ob es einen ei­ge­nen Arbeitnehmer (interner Datenschutzbeauftragter) oder einen außenstehenden Auftragnehmer (externer Datenschutzbeauftragter) bestellt. Nach der DSGVO und dem BDSG n. F. ergeben sich ­hinsichtlich des Anforderungsprofils keine wesentlichen Änderungen. Die DSGVO betont jedoch die Erforderlichkeit des Fachwissens auf dem Gebiet des Datenschutzrechts und der Da­ten­schutz­praxis (Art. 37 Abs. 5 DSGVO), was sich aber im Ergebnis mit den bisherigen Anforderungen decken wird. Auch die Wahlmöglichkeit zwischen internem und externem Da­ten­schutz­be­auf­trag­ten bleibt erhalten (Art. 37 Abs. 6 DSGVO). Es wurde zudem erstmals ausdrücklich normiert, dass eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten ernennen darf, sofern dieser von jeder Niederlassung aus leicht erreicht werden kann (Art. 37 Abs. 2 DSGVO).

Pflichten und Kompetenzen

Der Datenschutzbeauftragte hat nach dem bisherigen deutschen Datenschutzrecht vor allem die Aufgabe, auf die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz hin­zu­wir­ken. Dazu gehören die Überwachung der ordnungsgemäßen Anwendung von Da­ten­ver­ar­bei­tungs­pro­gram­men sowie die Schulung der mit der Verarbeitung betrauten Personen. Darüber hinaus kann sich der Datenschutzbeauftragte in Zweifelsfällen an die Aufsichtsbehörde wenden (§ 4g Abs. 1 BDSG n. F.). Er ist in seiner Amtsführung weisungsfrei und unmittelbar dem Leiter des Unternehmens unterstellt, hat aber keine eigenen Durchsetzungskompetenzen. Nach der DSGVO, deren Vorschriften im BDSG n. F. inhaltsgleich übernommen wurden, treffen den Da­ten­schutz­be­auf­trag­ten demgegenüber zusätzliche Pflichten. Neben der Unterrichtung und Beratung des Unternehmens sowie der Beschäftigten gehört zu den Aufgaben des Datenschutzbeauftragten insbesondere die Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften sowie der im Unternehmen eingerichteten Strategien für den Schutz personenbezogener Daten (Art. 39 Abs. 1 DSGVO, § 38 Abs. 2 in Verbindung mit § 6 BDSG n. F.). Darüber hinaus fungiert er künftig als Anlaufstelle für die Aufsichtsbehörden. Insgesamt ergibt sich ein deutlich um­fang­rei­che­res Aufgabenspektrum. Das hat nach umstrittener Ansicht auch Verschärfungen hinsichtlich einer möglichen Haftung des Datenschutzbeauftragten bei Datenschutzverstößen zur Folge.

Schutz des Datenschutzbeauftragten

Der (interne wie externe) Datenschutzbeauftragte darf nach dem bisherigen deutschen Recht wegen der Erfüllung seiner Aufgaben nicht diskriminiert werden. Die Bestellung zum Da­ten­schutz­be­auf­trag­ten darf nur aus wichtigem Grund widerrufen werden. Der interne Da­ten­schutz­be­auf­trag­te genießt darüber hinaus zusätzlich besonderen Schutz gegen die Kündigung seines Ar­beits­ver­hält­nis­ses. Eine Kündigung ist während der Bestellung und innerhalb eines Jahrs nach der Beendigung der Bestellung nur möglich, wenn Tatsachen vorliegen, die zu einer Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist, §  626 Bürgerliches Gesetzbuch (BGB), berechtigen (§ 4f Abs. 3 BDSG n. F.). Die DSGVO sieht lediglich ein Diskriminierungs- und Ab­be­ruf­ungs­ver­bot vor, enthält jedoch keine Regelung zum besonderen Kündigungsschutz (Art. 38 Abs. 3
DSGVO). Der deutsche Gesetzgeber hat jedoch die bisherigen Bestimmungen über den Son­der­kün­di­gungs­schutz des internen Datenschutzbeauftragten in das BDSG nF aufgenommen. Für Unternehmen in Deutschland ändert sich damit am Schutzniveau des Datenschutzbeauftragten letztlich nichts.

Haftung des Datenschutzbeauftragten

Zu den umstrittensten Fragen im Zusammenhang mit den Neuregelungen gehört eine mögliche Haftung des Datenschutzbeauftragten. Zentraler Anknüpfungspunkt für eine denkbare straf- oder ordnungswidrigkeitsrechtliche Haftung des Datenschutzbeauftragten ist die Frage, ob ihn auf­grund seiner Benennung eine sogenannte Garantenpflicht (§ 13 Strafgesetzbuch – StGB), trifft, also eine rechtliche Verpflichtung, aktiv gegen Rechtsverstöße im Unternehmen vorzugehen und diese zu verhindern. Nach bislang ganz herrschender Auffassung zum noch aktuellen BDSG aF besteht eine solche Garantenpflicht für den Datenschutzbeauftragten in der Regel nicht, sodass er bei unterlassenem Einschreiten gegen Rechtsverstöße Dritter bislang grundsätzlich keine straf- oder ordnungswidrigkeitsrechtliche Verfolgung zu befürchten hat bzw. hatte. Nachdem die bisher be­steh­ende Verpflichtung des Datenschutzbeauftragten zum bloßen Hinwirken auf die Einhaltung der Datenschutzbestimmungen durch die DSGVO nun zu einer ausdrücklichen Über­wach­ungs­ver­pflich­tung aufgewertet wird, spricht aus rechtlicher Sicht viel dafür, dass den Da­ten­schutz­be­auf­trag­ten künftig eine Garantenpflicht mit entsprechenden straf- und ord­nungs­widrig­keits­recht­lichen Haftungsrisiken trifft. Zu beachten ist allerdings, dass die europäischen Da­ten­schutz­auf­sichts­be­hör­den eine persönliche Haftung des Datenschutzbeauftragten im Fall der Nicht­ein­hal­tung von Datenschutzanforderungen bislang pauschal ablehnen.

Ausblick

Bis zur Klärung der geschilderten Fragestellungen durch die Rechtsprechung ist jedenfalls zu er­war­ten, dass Datenschutzbeauftragte künftig mehr denn je darauf bedacht sein werden, Un­re­gel­mä­ßig­kei­ten und Verstöße gegen datenschutzrechtliche Bestimmungen im Unternehmen be­reits im Vorfeld zu verhindern und ihre Rolle insgesamt aktiver als bislang interpretieren. Alles in allem werden die Bedeutung des Datenschutzes sowie die Sensibilisierung für die diesbezüglichen Ge­fah­ren durch die DSGVO und das BDSG n. F. erheblich verstärkt.

Zum Autor

TF
Thomas Faas

Rechtsanwalt und Fachanwalt für Arbeitsrecht, Partner der auf Arbeitsrecht spezialisierten Sozietät Küttner Rechtsanwälte in Köln, berät nationale und internationale Unternehmen insbesondere zu Fragen des Arbeitnehmerdatenschutzes.

 Weitere Artikel des Autors

Meistgelesene Artikel

Portrait von Marcus Ferchland.
Automatisierung und KI-Copilot

„Wir haben gar keine andere Wahl“

Steuerberater Marcus Ferchland erklärt im Interview, wie er seine Kanzlei über die vergangenen Jahre Schritt für Schritt digitalisiert hat.
100-Euro-Scheine, die zu einem Haus mit Dach gefaltet sind.
Immobilienbewertung

Omas Häuschen im Visier des Fiskus

Die Werte von Immobilien im Rahmen der Erbschafts- und Schenkungsteuer haben sich erhöht. Ein Übersteigen der Freibeträge droht.
49-Euro-Ticket

Job-Ticket statt Lohnerhöhung

Wenn Unternehmen ihren Beschäftigten das Deutschlandticket als Jobticket gewähren, sind in der Lohnabrechnung einige Details zu beachten.

Aktuelle Meldungen im Fokus

Produkte & Services 10.01.2024

Komplett digital im Rechnungswesen

Steuern 22.12.2023

Eilmeldung: Quasi-Fristverlängerung für die Offenlegung der Jahresabschlüsse 2022 verkündet!