Datenschutzbeauftragter Qualifikation: Diese Fachkunde ist nötig

Welche Fachkunde und Qualifikation muss ein Datenschutzbeauftragter (DSB) verfügen? Bei dieser Frage schafft die DSGVO allein leider nicht Klarheit. Was Aufsichtsbehörden und Gerichte noch hierzu sagen, damit beschäftigt sich der folgende Artikel.

Qualifikation: Erforderliche Fachkunde richtet sich nach Tätigkeit des DSB

Das Gesetz knüpft die Tätigkeit als Datenschutzbeauftragter nicht an eine bestimmte Ausbildung oder näher bezeichnete Fachkenntnisse. Die erforderliche Qualifikation des Datenschutzbeauftragten richtet sich nach EG 97 Abs. 3 DSGVO insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz der Daten. Das Prinzip gilt es, dass je risikoreicher Verarbeitungen vorgenommen werden, desto höher muss die entsprechenden fachlichen Qualifikationen des DSB sein.

Nach Art. 37 Abs. 5 DSGVO erfolgt die Benennung auf Grundlage

• der beruflichen Qualifikation,
• des Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis
• sowie der Fähigkeit zur Erfüllung der in Art. 39 genannten Aufgaben.

Nach EG 97 Abs. 3 DSGVO

„sollte sich das Niveau des erforderlichen Fachwissens insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten.“

Bei der Datenverarbeitungsvorgänge kommen diese Elemente in Betracht: der Größe der zu betreuenden Organisationseinheit, dem Umfang der anfallenden Datenverarbeitungsvorgänge, den eingesetzten IT-Verfahren, dem Typus der anfallenden Daten usw..

Diese Fachkunde kann allerdings durch die deutsche Besonderheit – einen Datenschutzbeauftragten auch abhängig von der Mitarbeiterzahl bestellen zu müssen – im Vergleich zu anderen EU-Ländern niedriger ausfallen. Eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht nach § 38 Abs. 1 Satz 1 BDSG,

„wenn mindestens 20 Mitarbeitende ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.“

Umfang der Fachkunde eines Datenschutzbeauftragten

Zwar kann lässt sich konkret erst sagen, welche Anforderungen die Qualifikation eines Datenschutzbeauftragten genügen muss, wenn im Einzelnen die Umstände seiner Tätigkeit nach Art. 39 DSGVO feststehen. Denn erst anhand dieser zeichnet sich ab, wo die Schwerpunkte bei der notwendigen rechtlichen, organisatorischen und technischen Fachkunde zu setzen sind. Nichtsdestotrotz können folgende Ausführungen von Institutionen und Gerichten, die sich zum Umfang der Fachkunde eines Datenschutzbeauftragten geäußert haben, als Richtwert dienen.

Vorschlag zur Mindestanforderung an die Qualifikation eines Datenschutzbeauftragten

Das EU-Parlament hatte in EG 75a seines Entwurfs als Mindestqualifikation vorgeschlagen:

• umfassende Kenntnisse des Datenschutzrechts und seiner Anwendung, einschließlich technischer und organisatorischer Maßnahmen und Verfahren
• Beherrschung der fachlichen Anforderungen an den Datenschutz durch Technik, die datenschutzfreundlichen Voreinstellungen und die Datensicherheit
• sektorspezifisches Wissen entsprechend der Größe des für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters und der Sensibilität der zu verarbeitenden Daten
• die Fähigkeit, Überprüfungen, Konsultationen, Dokumentationen und Protokolldateianalysen durchzuführen
• die Fähigkeit, mit Arbeitnehmervertretungen zu arbeiten

Auch wenn diese Liste nicht Gesetz geworden ist, zeigt sie doch die Anforderungen auf, die in der Praxis regelmäßig zu stellen sein werden.

Leitlinien der Aufsichtsbehörden zum Datenschutzbeauftragten

Die Artikel-29-Datenschutzgruppe hat in seinen „Leitlinien in Bezug auf Datenschutzbeauftragte“ auch die Frage erklärt, über welche beruflichen Qualifikationen der Datenschutzbeauftragten verfügen sollten und die folgende entsprechende Sachkunde und Erfahrung aufgezählt:

• Fachkompetenz auf dem Gebiet des nationalen und europäischen Datenschutzrechts und der Datenschutzpraxis, einschließlich eines umfassenden Verständnisses der DSGVO
• Verständnis der jeweils durchgeführten Verarbeitungsvorgänge
• Kenntnisse in den Bereichen IT und Datensicherheit
• Kenntnis der jeweiligen Branche und Einrichtung
• die Fähigkeit, eine Datenschutzkultur innerhalb der Einrichtung zu fördern

Aussagen der Gerichte zur Fachkunde eines Datenschutzbeauftragten

Der BGH betont in der Entscheidung, dass der Kern und Schwerpunkt der Tätigkeit eines Datenschutzbeauftragten auf der rechtlichen Ebene liege, auch wenn Sachkunde in weiteren Bereichen (z. B. der Informations- und Kommunikationstechnik und der Betriebswirtschaft) erforderlich sei (vgl. BGH-Urteil in NJW 2018, 3701, Rz 71 bis 73).

Das Münchener Finanzgericht stellte ebenfalls in seinem Urteil (Urteil v. 25.07.2017 – 5 K 1403/16) fest, dass der Datenschutzbeauftragte über umfangreiche juristische Kenntnisse zum Datenschutz verfügen, was nicht nur vertiefte Kenntnisse der Reglungen des Bundes- und des jeweiligen Landesdatenschutzgesetzes voraussetzt, sondern auch Kenntnisse bezüglich der datenschutzrelevanten Spezialregelungen im Zivil-, Straf-, Steuer-, Sozial-, Arbeits- und Verwaltungsrecht. Daneben muss er umfangreiche technische Kenntnisse auf dem Gebiet der sog. Computer-Hardware und der unterschiedlichen System- und Anwendersoftware aufweisen. Im Hinblick auf die ihm obliegende Mitarbeiterschulung muss der Datenschutzbeauftragte zudem über pädagogische Fähigkeiten und Kenntnisse verfügen.

Also ein allgemeingültiges Qualifikationsprofil gibt es dabei nicht, ein paar Gemeinsamkeiten lassen sich trotzdem finden: Kenntnisse des Datenschutzrechts, zur Technik der Datenverarbeitung und zu den betrieblichen Abläufen sind regelmäßig erforderlich.

Pflicht zur Weiterbildung und Erhalt der Fachkunde des DSB

Durch stetige Neuentwicklungen werden Datenschutzbeauftragte ständig gefordert, so dass eine stete Weiterbildung im IT- und juristischen Bereich unerlässlich ist, um den immer komplexeren Fragestellungen gerecht werden zu können. Die Komplexität der Fragestellung wird dabei nicht nur durch technologische Neuentwicklungen, sondern auch durch die Komplexität der Datenverarbeitung und Größe des Betriebs definiert.

Der Datenschutzbeauftragte verpflichtet sich daher, dass er sich regelmäßig weiterbilden muss, um seine Aufgaben weiterhin ordnungsmäßig durchzuführen. Beim Erhalt dieser Fachkunde darf der Datenschutzbeauftragte von der Geschäftsführung unterstützt werden. Der Datenschutzbeauftragte kann also verlangen, dass er für die Zeit der Fortbildung von seiner eigentlichen Tätigkeit freigestellt wird und die Kosten der Fortbildung von den Unternehmen getragen werden.

Datenschutz-Team: Einschränkung des Umfangs der Fachkunde

Das Landesarbeitsgericht Magdeburg hat in seinem Urteil erwähnt, dass der DSB fehlende Fachkenntnisse in einem Bereich durch ein Team kompensieren kann.

„Verfügt der Datenschutzbeauftragte nur in einem Teilbereich über eine eigene Qualifikation, genügt es, wenn er im Übrigen auf fachkundige Mitarbeiter zurückgreifen kann“ (Kühling/Buchner/Bergt, 2. Aufl. 2018, DS-GVO Art. 37, Rn. 34).

Dieser Wortlaut kann allerdings missverständlich sein. Denn damit ist wohl nicht gemeint, dass der Datenschutzbeauftragte überhaupt keine Kenntnisse in dem anderen Teilbereich aufweisen muss. Der im Urteil zitierte Kommentar verweist in seiner Fußnote wiederum auf diese Passage im Kommentar von Simitis:

„Die beträchtlichen Anforderungen an die Fachkunde des Beauftragten legen es zudem nahe, seine in gewissen Gebieten möglicherweise weniger ausgeprägten Kenntnisse durch eine entsprechende Qualifikation einzelner Mitarbeiterinnen oder Mitarbeiter zu kompensieren.“

In dieser wird deutlich, dass der Datenschutzbeauftragte in allen Bereichen genügend Kenntnisse braucht, um Empfehlungen und vorgeschlagene Maßnahmen seiner fachkundigen Mitarbeiter einschätzen und im Rahmen der Datenschutzstrategie des Unternehmens bewerten zu können.

Verantwortlicher haftet für fehlende Fachkunde des Datenschutzbeauftragten

Art. 38 Abs. 2 DSGVO ist die gesetzliche Pflicht des Verantwortlichen, das heißt, dass dieser am Ende dafür verantwortlich ist, dass der Datenschutzbeauftragte eine ausreichende Fachkunde besitzt und dass er dem DSB ausreichende Ressourcen zur Verfügung stellt, um diese Fachkunde aufrechtzuerhalten. Für die Verstöße des Verantwortlichen haftet der Datenschutzbeauftragte grundsätzlich nicht. Denn er kann diesen nicht zum Ergreifen und der Umsetzung von Maßnahmen zwingen, die zur Einhaltung der DSGVO angemessen wären. Die Verweigerung der Unterstützung kann also grundsätzlich mit einem Bußgeld – gegen den Verantwortlichen – geahndet werden.

Wie überprüft die Behörde die Fachkunde des Datenschutzbeauftragten?

Die Aufsichtsbehörden können das jeweilige Fachwissen des Datenschutzbeauftragten überprüfen – stets individuell im Einzelfall, z.B. im Rahmen eines Beschwerdeverfahrens oder bei einer Kontrolle (LfDI Baden-Württemberg). Es empfehlt sich daher, fachspezifische Nachweise sowie beruflich/fachliche einschlägige Erfahrungen der Datenschutzbeauftragten zu dokumentieren.

Welche Unterlage einzureichen sind, hängt theoretisch von dem jeweiligen Verfahren ab. Die luxemburgische Aufsichtsbehörde hat in einem Verfahren z.B. folgende Unterlage über den Datenschutzbeauftragten angefordert:

1. eine Kopie des Organigramms des Unternehmens mit einer Erläuterung der genauen Position des Datenschutzbeauftragten
2. eine Kopie der Unterlagen des Unternehmens, aus denen hervorgeht, wie die Arbeit des Datenschutzbeauftragten in der Praxis aussieht
3. eine Kopie der Unterlagen, aus denen hervorgeht, wie die beruflichen Qualitäten des Datenschutzbeauftragten und insbesondere sein Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie seine Eignung zur Wahrnehmung der in Artikel 39 der Datenschutz-Grundverordnung genannten Aufgaben bei der Entscheidung über seine Bestellung analysiert und bewertet wurden
4. eine Kopie der Stellungnahmen, die der Datenschutzbeauftragte des Unternehmens in Bezug auf [den Auszug aus dem Register der Datenverarbeitungsvorgänge] abgegeben hat.

Welche Konsequenzen kann die fehlende Fachkunde eines Datenschutzbeauftragten haben?

Wenn die nötige Fachkunde des Datenschutzbeauftragten fehlt, kann das unterschiedliche Konsequenzen haben:

Verhängen einer Geldbuße

Ein solches Verfahren stellt grundsätzlich einen Verstoß gegen Art. 37 Abs. 5 und Art. 38 Abs. 2 DSGVO dar. Im Falle von Verstößen gegen die DSGVO steht der Aufsichtsbehörde der vollständige Maßnahmen-Katalog des Art. 58 DSGVO zur Verfügung. Wohl am härtesten ist dabei die Verhängung eines Bußgelds nach Art. 83 DSGVO. Dieses kann gemäß Art. 83 Abs. 4 lit. a DSGVO bis zu 10.000.000 EUR oder im Fall eines Unternehmens bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen.

Beispielhaft verhängte die luxemburgische Aufsichtsbehörde ein Bußgeld i.H.v. 10.700 Euro gegen eine Stiftung, weil der Datenschutzbeauftragte unzureichend qualifiziert war, um seine Aufgaben erfüllen zu können.

Abberufung des Datenschutzbeauftragten

Nach § 40 Abs. 6 S.2 BDSG kann die Aufsichtsbehörde die Abberufung verlangen, wenn dieser feststellt, dass ein von einem Unternehmen bestellter betrieblicher Datenschutzbeauftragter nicht über die erforderliche Fachkunde verfügt oder nicht hinreichend zuverlässig ist.

Fachkunde ist kein starrer Begriff

Die nötige Fachkunde orientiert sich den Schutzbedarf personenbezogener Daten und kann sich im Laufe der Durchführungen der Datenverarbeitungsvorgängen weiterentwickeln. Dieses Thema könnte nächste Jahr durch das vorgesehene koordinierte Prüfverfahren eindeutiger werden: der EDSB beschloss das Thema für seine koordinierte Durchsetzungsmaßnahme, die die Benennung und Stellung des Datenschutzbeauftragten betreffen wird. Deutschland wird daran wahrscheinlich auch teilnehmen.