Die DSGVO verpflichtet den Verantwortlichen und den Auftragsverarbeiter, den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen. Eine enge Zusammenarbeit ist damit bereits gesetzlich gefordert. Die Verweigerung der Unterstützung kann grundsätzlich mit einem Bußgeld geahndet werden.
Der Inhalt im Überblick
Ansprüche des Datenschutzbeauftragten
Damit der Datenschutzbeauftragte seine Aufgaben erfüllen kann, müssen der Verantwortliche bzw. der Auftragsverarbeiter diesem
- die erforderlichen Ressourcen und
- den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie
- die zur Erhaltung seines Fachwissens erforderlichen Ressourcen
zur Verfügung stellen (vgl. Art 38 Abs. 2 DSGVO). Wird die Unterstützung nicht in ausreichendem Maße gewährt, kann die Aufsichtsbehörde grundsätzlich ein Bußgeld erlassen.
Zur Erfüllung der Aufgaben erforderliche Ressourcen
Der Verantwortliche bzw. der Auftragsverarbeiter hat seinem Datenschutzbeauftragten nicht nur die geeigneten Räumlichkeiten oder auch Fachzeitschriften, Kommentare und Lehrbücher zur Verfügung zu stellen. Sondern gemeint sind auch Mittel, die der Datenschutzbeauftragte regelmäßig bei seiner Arbeit benötigt, soweit diese erforderlich sind. Das Wichtigste ist oftmals die Zeit. Viele interne Datenschutzbeauftragte sollen den Job zusätzlich zu ihrer eigentlichen Aufgabe ausüben. Das ist häufig allerdings schwierig bis nicht möglich. Je nach Umfang und Komplexität der Datenverarbeitungen ist dem Datenschutzbeauftragten ein ausreichendes Zeitbudget zur Verfügung zu stellen. Im Zweifel muss er dafür von anderer Arbeit entbunden werden. Hat der Datenschutzbeauftragte das Gefühl seinen Aufgaben aus der DSGVO nicht ausreichend nachkommen zu können, sollte er das auf jeden Fall ansprechen und entsprechend mehr Zeit fordern.
Je nach Größe des Unternehmens spielt auch ausreichendes Personal eine Rolle. In größeren Organisationen sind aus den einzelnen Fachgebieten Ansprechpartner zur Verfügung zu stellen, die den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben unterstützen. Ein externer Datenschutzbeauftragter benötigt regelmäßig zumindest eine interne Kontaktperson als Ansprechpartner.
Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen
Datenschutzbeauftragte haben grundsätzlich Zutrittsrechte zu sämtlichen Bereichen und Räumlichkeiten, in denen Datenverarbeitungen durchgeführt werden. Daneben müssen dem Datenschutzbeauftragten regelmäßig Zugang zu sämtlichen Unterlagen sowie Zugangs- und Zugriffsrechte zu IT-Systemen gewährt werden. Diese Rechte bestehen nicht nur soweit „erforderlich“, sondern uneingeschränkt, sodass es grundsätzlich keine Verarbeitung gibt, die der Datenschutzbeauftragte nicht kontrollieren kann.
Dieses umfassende Recht ist wichtig, da der Datenschutzbeauftragte insbesondere dort genauer hinsehen muss, wo es dem Verantwortlichen oder dem Auftragsverarbeiter unangenehm ist und wo dieser den Zugang entsprechend gerne verwehren würde. Soweit der Datenschutzbeauftragte von seiner Arbeit dadurch abgehalten wird, dass ihm der Zugang verwehrt wird, sollte auch hier auf die Pflicht zur Unterstützung hingewiesen werden, die gerade den ungehinderten Zugang umfasst.
Erhaltung des Fachwissens
Der letzte Punkt ist insbesondere für interne Datenschutzbeauftragte relevant. Wer einen Datenschutzbeauftragten benennt, muss nicht nur bei Benennung auf seine Qualifikation achten, sondern auch darauf, dass dieser sich regelmäßig fortbildet. Die Teilnahme an Fortbildungen ist dem Datenschutzbeauftragten zu ermöglichen, wobei auch die Kosten vom Arbeitgeber zu übernehmen sind.
Das erforderliche Niveau und Fachwissen des Datenschutzbeauftragten richtet sich nach den konkreten vom Verantwortlichen oder Auftragsverarbeiter durchgeführten Verarbeitungsvorgängen (vgl. Erwägungsgrund 97). Werden beispielsweise Sozialdaten verarbeitet, sollte darauf geachtet werden, dass der Datenschutzbeauftragte im Bereich Sozialdatenschutz vertiefte Kenntnisse hat oder diese in einer Fortbildung erlangt. Der Datenschutzbeauftragte eines Handwerksbetriebs benötigt dagegen regelmäßig lediglich allgemeine Kenntnisse aus dem Bereich Datenschutz.
Und wer haftet?
Grundsätzlich haftet der Datenschutzbeauftragte nicht für die Verstöße des Verantwortlichen. Denn er kann diesen nicht zum Ergreifen und der Umsetzung von Maßnahmen zwingen, die zur Einhaltung der DSGVO angemessen wären. Probleme müssen vom Datenschutzbeauftragten aber angesprochen werden. Übernimmt der Datenschutzbeauftragte Aufgaben, die er vorhersehbar nicht ordentlich erledigen kann oder spricht er offensichtliche Mängel nicht an, kann gegebenenfalls auch eine Haftung des Datenschutzbeauftragten in Betracht kommen. Dem betrieblichen Datenschutzbeauftragten kommen dabei die Regelungen über den innerbetrieblichen Schadensausgleich zugute, falls er beim Verantwortlichen als Arbeitnehmer beschäftigt ist.
Hier werden drei Haftungsstufen unterschieden:
- Vorsatz und grob fahrlässiges Handeln: Volle Haftung des Arbeitnehmers
- Mittlere Fahrlässigkeit: Haftungsteilung
- Leichte Fahrlässigkeit: Keine Haftung des Arbeitnehmers
Eine stumme Aufgabenwahrnehmung im Bewusstsein, dass erforderliche Ressourcen oder Fachkunde fehlen, aus der dann eine Sanktion durch die Aufsichtsbehörde resultiert, kann als grob fahrlässig eingestuft werden.
Nur Mut
Hauen Sie als Datenschutzbeauftragter daher ruhig mal auf den Tisch, wenn diesen Pflichten nicht nachgekommen wird. Ihre Arbeit können Sie nur dann ordentlich erledigen, wenn Sie die benötigte Unterstützung erhalten. Das ist Grundvoraussetzung und muss gegebenenfalls hin und wieder kommuniziert werden. Dokumentieren Sie außerdem, dass Sie den Verantwortlichen bzw. Auftragsverarbeiter auf Missstände hingewiesen haben. Damit sind Sie Ihrer Pflicht als Datenschutzbeauftragter nachgekommen.
Guter Artikel, ist es grundsätzlich möglich im Vertrag zur Ernennung des Datenschutzbeauftragten oder im Arbeitsvertrag eine Haftungsfreiheit einzufügen? Z.B. der Datenschutzbeauftragte haftet nicht persönlich für Sanktionen bzw. Schäden an Dritte?
Grundsätzlich sind sog. Haftungsklauseln in Verträgen möglich, ein genereller Ausschluss der Haftung jedoch nicht. Die Haftung des internen betrieblichen Datenschutzbeauftragten ist eingeschränkt (innerbetrieblicher Schadensausgleich). Die persönliche Haftung des internen betrieblichen Datenschutzbeauftragten
Der Arbeitgeber kann über eine Betriebs- und Berufshaftpflichtversicherung für das Unternehmen auch dem Betrieblichen Datenschutzbeauftragten Schutz gewähren. Wir haben das im Unternehmen über unseren Versicherungsmakler klären lassen, der dann auch auf die entsprechenden Klauseln in den bereits bestehenden Verträgen (VHV und Allianz) hingewiesen hat.
Vielen Dank für eure Hilfe!