Die Benennung des Datenschutzbeauftragten

Fachbeitrag

Verarbeiten Unternehmen personenbezogene Daten, muss bei Vorliegen bestimmter Voraussetzungen ein Datenschutzbeauftragter bestellt werden. Vorgaben hinsichtlich der Benennungspflicht des Datenschutzbeauftragten ergeben sich dabei sowohl aus der Datenschutzgrundverordnung (DSGVO) als auch aus den Regelungen des Bundesdatenschutzgesetzes (BDSG). Welche formalen Anforderungen an eine solche Benennung geknüpft sind, welche Folgen eine fehlerhafte Benennung hat und welche Interessenkonflikte zu vermeiden sind, wird im folgenden Beitrag dargestellt.

Wann muss der Datenschutzbeauftragte benannt werden?

Die Pflicht zur Benennung eines Datenschutzbeauftragten ergibt sich für Verantwortliche und Auftragsverarbeiter aus Art. 37 DSGVO. Hiernach muss in den folgenden drei Fällen ein Datenschutzbeauftragter benannt werden:

  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht

Doch aufgepasst! Sofern keiner der hier genannten Fälle einschlägig ist, ist noch nach Art. 37 Abs. 4 DSGVO ein Blick in das jeweilige nationale Datenschutzgesetz notwendig. So werden bei uns in § 38 BDSG weitere, bestimmte Fälle aufgeführt, in welchen ein Datenschutzbeauftragter unerlässlich ist.

Benennungspflicht nach dem BDSG

Hiernach ist ein Datenschutzbeauftragter zu benennen, wenn:

  • in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
  • Verarbeitungen erfolgen, die einer Datenschutz-Folgenabschätzung (Art.35 DSGVO) unterliegen (d.h. die für die betroffenen Personen besonders riskant sind, z.B. Videoüberwachung öffentlich zugänglicher Bereiche).
  • Verarbeitungen erfolgen, die geschäftsmäßig zum Zweck der Übermittlung, anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung dienen.

Die erste Regelung kann weit verstanden werden und gilt bereits als erfüllt, sofern mindestens 20 Mitarbeiter bspw. an Bildschirmarbeitsplätzen arbeiten oder auf gespeicherte Daten Zugriff nehmen. Das war jedoch nicht immer so. Erst durch die Änderung aufgrund des Datenschutz-Anpassungs- und Umsetzungsgesetzes (DSAnpUG) wurde die Zahl von 10 Personen auf 20 Personen angehoben.

Auslöser für diese Änderung waren die Stimmen von SPD und Union, die auf eine Entschärfung der Datenschutzgesetze abzielten, um gerade kleinen Unternehmen und Vereinen Kosten zu ersparen. Inwieweit der Bundesdatenschutzbeauftragte Ulrich Kelber diese Lockerungsmaßnahmen kritisierte und wir deren faktische Entlastungsfunktion anzweifeln, lesen Sie im Beitrag 2. DSAnpUG: Entschärft die Koalition das Datenschutzrecht?

Freiwillige Benennung eines Datenschutzbeauftragten

Das Fehlen einer Pflicht zur Benennung eines Datenschutzbeauftragten steht allerdings einer freiwilligen Benennung nicht im Wege, um einen Ansprechpartner und Verantwortlichen für den Datenschutz im Unternehmen zu haben. Fraglich ist nur, ob auch bei einer freiwilligen Benennung etwas beachtet werden muss und ob eine solche Benennung sich von der Pflichtbenennung unterscheidet.

Grundsätzlich finden auch bei einer freiwilligen Benennung eines Datenschutzbeauftragten die Vorgaben der Art. 37 ff. DSGVO zu seiner Stellung sowie seinen Pflichten und Aufgaben Anwendung. Lediglich der § 6 Absatz 4 BDSG findet laut § 38 Abs. 2 BDSG keine Anwendung. In § 6 Abs. 4 BDSG ist die besondere Stellung des Datenschutzbeauftragten im Unternehmen geregelt, insbesondere hinsichtlich der Abberufungs- und Kündigungseinschränkungen. Diese Vorteile im Rahmen des Arbeitsverhältnisses finden für den freiwillig bestellten Datenschutzbeauftragten somit keine Anwendung.

Interessenskonflikte oder wer kann nicht zum Datenschutzbeauftragten benannt werden?

Nimmt der Datenschutzbeauftragte neben seinen datenschutzrechtlichen Tätigkeiten noch weitere Aufgaben und Pflichten wahr, muss der Verantwortliche oder Auftragsverarbeiter, nach Art. 38 Abs. 6 DSGVO darauf achten, dass kein Interessenkonflikt entsteht.

„Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“

In diesem Sinne kann beispielsweise das wirtschaftliche Eigeninteresse des Datenschutzbeauftragten am Unternehmenserfolg, das Interesse am Erhalt des Arbeitsplatzes oder das Interesse an einem Karrieresprung, je nach Einzelfall als Interessenkonflikt angesehen werden. Ein Interessenkonflikt läge überdies auch vor, wenn der Datenschutzbeauftragte den Verantwortlichen faktisch gar nicht mehr kontrollieren kann, da die Stellung als Datenschutzbeauftragter bspw. mit der Stellung als Geschäftsführer oder Leitung der IT-Abteilung verschmilzt. Der Konflikt entsteht bei diesen Konstellationen aufgrund der unzulässigen Selbstkontrolle. Das solche unzulässigen Konfliktsituationen dennoch immer wieder in der Praxis vorkommen und mit empfindlichen Geldbußen bestraft werden können, zeigt die Entscheidung der belgischen Datenschutzbehörde.

Teilweise strittig sind die Varianten, in welchen ein Rechtsanwalt als Datenschutzbeauftragter bestellt werden soll, der das Unternehmen gleichzeitig auch rechtlich berät und vertritt. Zu Recht kann man sich hier zunächst die Frage stellen, ob das Tätigkeitsverbot nach § 45 Abs. 1 Nr. 4 BRAO einschlägig ist. Danach ist es dem Anwalt verboten in derselben Angelegenheit tätig zu werden mit der er auch schon außerhalb seiner Anwaltstätigkeit befasst ist. Ein solches Verbot läge vor, wenn die Tätigkeit als externer oder auch interner Datenschutzbeauftragter als unzulässiger Zweitberuf des Anwalts neben der rechtlichen Unternehmensberatung eingestuft würde. Der Anwaltsgerichtshof NRW folgt jedoch hier den Kriterien des BGH und sieht die Stellung und Tätigkeit des Anwalts als Datenschutzbeauftragter gleichzeitig auch als Erfüllung seiner berufsrechtlichen Anwaltstätigkeit an. Nach dieser Ansicht ist mangels Vorliegens eines Zweitberufs § 45 BRAO nicht einschlägig und ein Interessenkonflikt zu verneinen.

Formale Anforderungen an die Benennung eines Datenschutzbeauftragten

Bei der Benennung des Datenschutzbeauftragten müssen zudem noch die formalen Voraussetzungen eingehalten werden. Bezüglich der Form der Benennung ist eingangs festzuhalten, dass diese zwar nicht zwingend schriftlich erfolgen muss, eine Dokumentation jedoch im Rahmen der Nachweisbarkeit einen praktischen Nutzen bringt.

Die eigentliche Benennung des Datenschutzbeauftragten ist unkompliziert und erfolgt gemäß Art. 37 Abs. 7 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit. Im Anschluss kann die interne Veröffentlichung im Unternehmen über das schwarze Brett, das Intranet oder Informationsblätter erfolgen. Die externe Veröffentlichung sollte ebenfalls durch Platzierung an leicht zugänglichen Stellen, wie der Unternehmenswebsite oder in der Datenschutzerklärung erfolgen. Zuletzt ist noch auf den Inhalt der zu veröffentlichen Kontaktdaten zu achten. Zwar kann man den Namen des Datenschutzbeauftragten nennen, Pflicht ist dies jedoch nicht. Folglich sind nur Angaben darüber erforderlich, wie der Datenschutzbeauftragte kontaktiert werden kann, also via E-Mail-Adresse (z.B. datenschutzbeauftragter@maxmustermann.de) oder Postanschrift.

Meldung des benannten Datenschutzbeauftragten gegenüber der Aufsichtsbehörde

Da die entsprechenden Kontaktdaten des Datenschutzbeauftragten auch unverzüglich der zuständigen Aufsichtsbehörde mitgeteilt werden müssen, empfiehlt sich die Orientierung an deren Meldeformularen. Diese befinden sich auf den jeweiligen Websites der Aufsichtsbehörden:

Ob die Meldung auch über Post- oder E-Mail erfolgen kann, hängt von den Vorgaben der jeweiligen Meldebehörde ab.

Mögliche Folgen einer fehlerhaften Benennung des Datenschutzbeauftragten

Verstöße im Rahmen der Benennung des Datenschutzbeauftragten können nach Art. 83 Abs. 4 DSGVO mit einer Geldbuße von bis zu 10.000.000 EUR oder im Fall eines Unternehmens, von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden.

Als Beispiel für einen solchen Datenschutzverstoß und seine unangenehmen Folgen kann Facebook Germany GmbH herangezogen werden. Das Unternehmen musste 51.000 Euro aufgrund eines nicht mitgeteilten Wechsels des Datenschutzbeauftragten zahlen.

Benennungspflichten im Auge behalten

Ob ein Datenschutzbeauftragter für das Unternehmen benannt werden muss oder nicht, kann somit anhand der gesetzlichen Vorgaben aus DSGVO und BDSG, mit einer sorgfältigen Prüfung der Voraussetzungen, beurteilt werden. Stehen dennoch Zweifel hinsichtlich der Benennungspflicht im Raum, darf man diese nicht ignorieren. Die Einholung einer rechtlichen Beratung sollte in diesen Fällen in Betracht gezogen werden, um im Ernstfall unnötige Geldbußen zu vermeiden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

7 Kommentare zu diesem Beitrag

  1. Vielen Dank für den interessanten Artikel einschließlich der Ausführungen zu Folgen fehlerhafter Bestellung. Könnten Sie auch eine Aussage treffen zur freiwilligen Bestellung eines zweiten Datenschutzbeauftragten. Ist die zweite Bestellung zulässig? Ist die Zweitbestellung der Aufsichtsbehörde zu melden? Entfällt neben dem Kündigungsschutz auch die Weisungsfreiheit?

    • Die DSGVO spricht in Art. 37 von der Benennung „eines“ Datenschutzbeauftragten. Zwar wird hierdurch kein ausdrückliches Verbot ausgesprochen, dennoch lässt der Wortlaut darauf schließen, dass nur ein DSB benannt werden sollte. Zudem kann die Umsetzung der Beschäftigung mehrerer Datenschutzbeauftragter in einer Organisationseinheit mit Komplikationen, wie Interessenkonflikten und Kompetenzüberschneidungen einhergehen. Für ein Unternehmen sollten daher nicht mehrere Datenschutzbeauftragte benannt werden.

      Sollte der Arbeitsumfang für den Datenschutzbeauftragten alleine schwer zu bewältigen sein, empfiehlt es sich Datenschutzkoordinatoren oder ein Datenschutzteam zur Unterstützung bereitzustellen.
      Auch der freiwillig benannte Datenschutzbeauftragte muss weisungsfrei agieren. Grundsätzlich finden auch bei einer freiwilligen Benennung eines Datenschutzbeauftragten die Vorgaben der Art. 37 ff. DSGVO zu seiner Stellung sowie seinen Pflichten und Aufgaben Anwendung. Nur der § 6 Absatz 4 BDSG findet laut § 38 Abs. 2 BDSG keine Anwendung.

  2. Hallo, wie sieht es bei einem Namenswechsel des Datenschutzberaters durch Heirat (oder Scheidung) aus? Muss der neue Name der Aufsichtsbehörde mitgeteilt werden? Und muss die Benennungsurkunde angepasst werden? Vielen Dank.

    • Einerseits bewirkt nach Ansicht des OVG Hamburg eine Änderung des Namens nicht, dass der ursprüngliche Name zu einem unrichtigen personenbezogenen Datum wird. Anderseits fordert der Grundsatz der Richtigkeit nach Art. 5 Abs.1 lit d) DSGVO nicht nur, dass die personenbezogenen Daten sachlich richtig sind, sondern auch, dass diese erforderlichenfalls auf dem neuesten Stand sind. Wann eine Erforderlichkeit vorliegt, die Daten zu aktualisieren, ist dann eine Frage des Einzelfalls.

  3. Im Art. 37 Abs. 5 DSGVO heißt es:
    „Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“

    Wie kann man das „Fachwissen“ definieren? Gibt es da Aussagen seitens der Behörden? Reicht ein einmaliger Workshop mit Abschlussprüfung alle 5 Jahre etc.? Haben Sie da Erfahrungen? Vielen Dank

    • Bei dem geforderten Fachwissen halten sich deutschen Behörden mit konkreten Angaben zurück. Denn der EG 97 erklärt, dass das erforderliche Niveau des Fachwissens sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz der Daten richten sollte. In Deutschland sind allgemeine Aussagen zur Fachkunde aufgrund der Besonderheit, dass ein Datenschutzbeauftragter zusätzlich ab einer festen Mitarbeitergrenze zu bestellen ist, schwierig. Das LAG Rostock führte dazu daher aus, dass bei der Fachkunde Art und Umfang der Tätigkeit, wie etwa die Größe des zu betreuenden Unternehmens, die Menge an Datenverarbeitungsvorgängen und eingesetzten IT-Verfahren sowie die Sensibilität der Daten zu berücksichtigen sei.

      In Europa haben zwei Aufsichtsbehörden eine Zertifizierung für einen Datenschutzbeauftragten verabschiedet, die zwar nicht verpflichtend sind, um als DSB tätig zu werden, aber einen Nachweis für die Fachkunde darstellen. Die spanische Aufsichtsbehörde fordert für die Zulassung zum Test den Nachweis von entweder 5 Jahre Berufserfahrung in Projekten, Tätigkeiten oder Aufgaben, die im Zusammenhang mit dem Berufsbild eines Datenschutzbeauftragten stehen, oder 3, 2, 1 Jahren mit 60, 100, 180 Stunden Schulungen im Datenschutz.

      Die französische Behörde fordert hingegen nur 2 Jahre Berufserfahrung in Projekten, Tätigkeiten oder Aufgaben, die im Zusammenhang mit dem Berufsbild eines Datenschutzbeauftragten stehen oder 2 Jahre Berufserfahrung sowie den Nachweis von Stunden Schulungen im Datenschutz. Beide Tests müssen alle 3 Jahre wiederholt werden.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.