Wer sind wir und wenn ja, warum? So oder so ähnlich könnte die Einstiegsfrage lauten, zu einem Thema, dem sich dieser Blogbeitrag widmen möchte: Der Rolle des betrieblichen Datenschutzbeauftragten.
Der Inhalt im Überblick
Einfluss des Datenschutzbeauftragten
In letzter Zeit häufen sich Situationen, in denen man als Datenschutzbeauftragter von Verantwortlichen mit der Frage konfrontiert wird: „Warum müssen wir das eigentlich so umsetzen? Alle anderen machen das doch auch nicht.“ Oft geht es dabei um Themen, zu denen es noch keine einschlägige Rechtsprechung gibt und sich auch die Aufsichtsbehörden noch nicht geschlossen positioniert haben. Und oft geht es dann eben auch um Entscheidungen, deren konkrete Umsetzung sich tatsächlich auch wirtschaftlich auswirken könnte. Und oft stößt die Antwort, die das Risiko des Vorhabens ausführlich bewertet und auf dieser Grundlage auf die (Un)zulässigkeit schließt, nicht gerade auf Gegenliebe bei den Verantwortlichen.
Hängt also der Erfolg eines Unternehmens inzwischen direkt von der Risikobereitschaft des eigenen Datenschutzbeauftragten ab? Oder ist es doch so, dass sich längerfristig Unternehmen besser positionieren, die die datenschutzrechtlichen Vorgaben von vorneherein eng umsetzen?
Aber welchen Gestaltungsspielraum hat man als Datenschutzbeauftragter eigentlich überhaupt? Ist man Problemlöser oder Fortschrittsbremse? Und welche Typen von Datenschutzbeauftragten gibt es?
Die Extrempositionen
Es gibt mit Sicherheit ein breites Spektrum an unterschiedlichen Persönlichkeiten unter den Datenschutzbeauftragten. Dieses Spektrum wird oftmals eingerahmt von den folgenden beiden Extrempositionen.
Der Datenschützer
Zunächst gibt es da den Datenschützer, der sich auch gerne selber als solcher bezeichnet. Da Datenschutz ja weniger Daten als die dahinterstehenden Personen schützt, können wir ihn uns getrost als Personenschützer in dunklem Anzug und mit dunkler Sonnenbrille vorstellen, jederzeit bereit sich in die Schusslinie zu werfen, um vermeintlich risikobehaftete Verarbeitungen zu verhindern. Manchmal gehört zur Berufsbekleidung einiger Datenschützer auch ein modischer Aluhut, da er bereits hinter jeder Verarbeitung, die er nicht im Detail kennt, eine Verschwörung und daraus resultierend den Untergang der Menschheit vermutet.
Der Datenverarbeitungsermöglicher
Den Datenverarbeitungsermöglicher dagegen finden wir auf der anderen Seite des Spektrums. Aus Sicht der Datenschützer sehr wahrscheinlich auf der dunklen Seite der Macht. Er ist jederzeit bemüht, die risikoreichsten Verarbeitungen irgendwie noch zu rechtfertigen. Hierfür treibt er sich gerne auch in den Grauzonen herum, in denen es eben noch keine gefestigte Rechtsprechung gibt und sich daher noch viele Standpunkte argumentativ vertreten lassen. Nach getaner Arbeit hört man ihn beim Betreten der eigenen vier Wände auch gerne mal sagen: „Alexa, mach bitte das Licht an!“
Welche Aufgaben hat der Datenschutzbeauftragte?
Doch ob extrem oder gemäßigt, ob intern oder extern, die Aufgaben des Datenschutzbeauftragten sind vielfältig. Aber welche sind dies eigentlich und sind die oben beschriebenen Extrempositionen überhaupt mit Recht und Gesetz vereinbar?
Gesetzliche Vorgaben
Mit § 38 Abs. 1 BDSG wurde der Kreis bestellungspflichtiger Unternehmen gegenüber der alten Rechtslage sogar noch erweitert. Dies unterstreicht die wichtige Rolle, die einem Datenschutzbeauftragten in einem Unternehmen zukommen soll. Er dient als innere Kontrollinstanz und unterstützt den Verantwortlichen […] bei der Einhaltung der datenschutzrechtlichen Bestimmungen. (Mantz/Marosi in: Specht/Manz Handbuch Europäisches Datenschutzrecht § 3 Rd. 174)
Die konkreten Aufgaben des Datenschutzbeauftragten finden wir in Art. 39 DSGVO. Wir wollen uns hier auf die Aufgaben aus Art. 39 Abs. 1 lit. a und b DSGVO beschränken.
- Der Datenschutzbeauftragte soll den Verantwortlichen sowie dessen Beschäftigte, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO und weiteren Unions- oder mitgliedstaatlichen Datenschutzvorschriften unterrichten und beraten.
- Der Datenschutzbeauftragte überwacht die Einhaltung der DSGVO, andere Unions- oder mitgliedstaatliche Datenschutzvorschriften, sowie die Strategien des Verantwortlichen für den Schutz personenbezogener Daten. Hiervon umfasst ist auch die Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und diesbezügliche Überprüfungen.
Tagesgeschäft
Der Datenschutzbeauftragte berichtet dabei direkt der höchsten Managementebene des Unternehmens. Genau hier entsteht oftmals auch dieses Spannungsfeld zwischen wirtschaftlichen Interessen und datenschutzrechtlichen Vorgaben.
Nicht selten verleitet die Expertise und Stellung eines Datenschutzbeauftragten Unternehmen zu der Annahme, es handele sich um eine eierlegende (DSGVO-)Wollmilchsau, die sämtliche Irrungen und Wirrungen des Datenschutzes entdröseln und eigenständig Compliance herstellen könnte. Dabei wird jedoch oft vergessen, dass nicht der Datenschutzbeauftragte für die tatsächliche Umsetzung verantwortlich ist. Am Ende ist es der Verantwortliche, der für die Umsetzung des Datenschutzes im Unternehmen verantwortlich ist. Dem Datenschutzbeauftragten kommt hingegen eine unterrichtende, beratende und überwachende Funktion zu.
In dieser Funktion hat er aber, wie bei jeder juristischen Tätigkeit, im Rahmen der gesetzlichen Vorgaben auch einen gewissen Gestaltungsspielraum. Zudem hat er durch seine Beratung natürlich auch direkten Einfluss auf die Entscheidungen des Verantwortlichen. Hier kann es dann natürlich einen großen Unterschied machen, welchem Typ der jeweilige Datenschutzbeauftragte entspricht.
Auswahl des richtigen Datenschutzbeauftragten
Bei der Auswahl des Datenschutzbeauftragten sollten Unternehmen daher auch immer darauf achten, dass der jeweilige Typus den Vorstellungen und vielleicht auch der Risikobereitschaft des Verantwortlichen entspricht. Ob man sich hierbei für eine interne oder externe Lösung entscheidet, spielt eher eine untergeordnete Rolle.
