Zuständig für die Umsetzung der DSGVO im Unternehmen ist der Verantwortliche – nicht der Datenschutzbeauftragte. Das ist einfacher gesagt, als es sich in der Praxis oft darstellt. Daher beschäftigen wir uns heute mit den jeweiligen Pflichten, die die DSGVO dem Datenschutzbeauftragten und dem Verantwortlichen auferlegt, sowie dem Problem, vor dem der Verantwortliche steht, wenn der Datenschutzbeauftragte diese Amtspflichten verletzt.
Der Inhalt im Überblick
Pflichten des Datenschutzbeauftragten nach der DSGVO
Die Position als Datenschutzbeauftragter bringt zahlreiche Pflichten mit sich: Er hat den Verantwortlichen und dessen Beschäftigte über deren Pflichten nach der DSGVO sowie nach sonstigen Datenschutzvorschriften der EU bzw. der Mitgliedstaaten zu unterrichten und zu beraten. Dabei umfasst die Beratungspflicht nicht nur das Hinweisen auf aktuelle Rechtspflichten, sondern die Unterstützung bei der Lösung konkreter datenschutzrechtlicher Probleme. Die Unterrichtung des Verantwortlichen sollte dabei proaktiv erfolgen.
Dem Datenschutzbeauftragten sind zudem umfassende Überwachungszuständigkeiten auferlegt. Diese beinhaltet die Überwachung der Einhaltung einschlägiger Rechtsvorschriften durch den Verantwortlichen sowie die Überwachung bezüglich der internen Strategien des Verantwortlichen für den Schutz personenbezogener Daten, sprich der organisatorischen Maßnahmen, die der Verantwortliche mit Bezug auf den Datenschutz trifft (z.B. Prozesse und Richtlinien). Der Datenschutzbeauftragte soll darauf achten, dass die Maßnahmen geeignet und wirksam sind, da diese der Nachweispflicht des Verantwortlichen aus Art. 5 Abs. 2 DSGVO dienen.
Eine Pflicht zur Erstellung solcher Maßnahmen oder eine Mitwirkung des Datenschutzbeauftragten bei der Entwicklung der internen Strategien ist von der DSGVO hingegen nicht ausdrücklich vorgesehen.
Weitere Aufgaben des Datenschutzbeauftragten sind:
- Die Zuweisung von Zuständigkeiten im Rahmen der Datenschutzorganisation;
- Die Sensibilisierung und Schulung der Mitarbeitenden, die an der Verarbeitung personenbezogener Daten beteiligt sind.
Bei all diesen Tätigkeiten ist darauf zu achten, dass der Datenschutzbeauftragte diese unabhängig durchführen und sicherstellen kann.
Welche Pflichten der DSGVO adressieren Verantwortliche?
Der Verantwortliche hat insofern sicherzustellen, dass dem Datenschutzbeauftragten keine Aufgaben oder Pflichten übertragen werden, die dazu führen können, dass der Datenschutzbeauftragte Zwecke und Mittel von Datenverarbeitungen festlegen müsste. Dies würde andernfalls zu einem Interessenkonflikt führen: Zum einen hat der Datenschutzbeauftragte keine eigene Entscheidungskompetenz hinsichtlich der Zwecke und Mittel der Verarbeitungen. Zum anderen müsste er sonst sich bzw. seine Arbeit selbst überwachen. Unzulässig ist daher die Benennung von Geschäftsführern sowie Leitern der IT-, Marketing- oder Personalabteilung zum Datenschutzbeauftragten.
Weiter hat der Verantwortliche dafür zu sorgen, dass der Datenschutzbeauftragte frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. Am besten ist eine Einbindung bereits bei der Planung der Einführung neuer Verarbeitungsprozesse bzw. der Einführung neuer Systeme der Datenverarbeitung (i.e. Software, die personenbezogene Daten verarbeiten wird). Die frühe Einbindung ist Voraussetzung für die effektive Aufgabenerfüllung eines Datenschutzbeauftragten.
Für die Einführung und Umsetzung der datenschutzrechtlichen Vorgaben und entsprechender interner Strategien ist der Verantwortliche selbst zuständig. Die Überwachungspflicht des Datenschutzbeauftragten befreit den Verantwortlichen nicht von seiner Pflicht zur Einhaltung der datenschutzrechtlichen Vorgaben.
Abberufung und Kündigung des DSB bei Verletzung der Amtspflicht
Was aber wenn der Datenschutzbeauftragte seine Pflichten nicht erfüllt oder nicht (mehr) erfüllen kann? Der Verantwortliche muss hier darauf achten, dass die fristlose Kündigung eines Arbeitsverhältnisses grundsätzlich unzulässig ist, es sei denn, es liegt ein wichtiger Grund vor. Daneben sehen die §§ 6 Abs. 4 S. 2, 3; 38 Abs. 2 BDSG einen besonderen Kündigungsschutz für Datenschutzbeauftragte vor. Bei Datenschutzbeauftragten ist daher unbedingt zwischen der Verletzung von arbeitsvertraglichen Pflichten und solchen, die allein dessen Amtsführung (als Datenschutzbeauftragter) betreffen, zu unterscheiden. Verletzt der Datenschutzbeauftragte „nur“ seine Pflichten aus Art. 39 DSGVO und nicht gleichzeitig auch arbeitsvertragliche Pflichten, scheidet eine außerordentliche Kündigung aller Wahrscheinlichkeit nach aus (siehe ArbG Heilbronn, Urteil vom 29.9.2022, Az.: 8 Ca 135/22). Stattdessen muss der Arbeitgeber einen Datenschutzbeauftragten der seine Amtspflichten (nachweislich) nicht erfüllt oder nicht mehr erfüllen kann, schnellstmöglich nach § 6 Abs. 4 S. 1 BDSG abberufen.
Interimsdatenschutzbeauftragter als Lösung bei Ausfällen
Dies ist einer von mehreren Gründen, aus denen der eigene Datenschutzbeauftragte ungeplant ausfallen kann. Doch weder die DSGVO noch das BDSG kennt für solche Fälle Übergangs- oder Schonfristen. Besteht eine Benennungspflicht, muss immer ein Datenschutzbeauftragter vorhanden sein. So verlockend es in dieser Situation auch sein mag, die Stellung des Datenschutzbeauftragten dann einfach dem Mitarbeitenden „aufzudrücken“, der nicht schnell genug „Nein“ sagt, ist das weder sinnvoll noch rechtskonform. Denn diese Person hat gemäß Art. 37 Abs. 5 DSGVO, die folgende Voraussetzungen erfüllen: Er oder sie muss Fachkompetenz auf dem Gebiet des Datenschutzrechts vorweisen können sowie bestenfalls gewisse praktische Erfahrung im Datenschutz, einschließlich technischer und organisatorischer Maßnahmen und Verfahren, gesammelt haben. Eine Übersicht finden Sie auch in unserem Beitrag „Datenschutzbeauftragter Qualifikation: Diese Fachkunde ist nötig“. Zudem scheiden, wie oben gesehen, IT-Leiter und Geschäftsführung als Kandidaten aus.
Als Lösung kann die Übergangszeit von der Suche bis zur Benennung eines neuen, festen internen Datenschutzbeauftragten aber auch durch Benennung eines sog. Interims-Datenschutzbeauftragten überbrückt und aufgefangen werden. Dieser übernimmt für einen festgelegten Zeitraum alle Aufgaben nach den Anforderungen der DSGVO. Zwar fordern die Aufsichtsbehörden grundsätzlich auch bei der Benennung eines externen Dienstleisters als Datenschutzbeauftragter eine Vertragsdauer von mindestens 1 – 2 Jahren, damit die gesetzlich geforderte Unabhängigkeit der Position des Datenschutzbeauftragten gewährleistet ist. Aber wenn ein wichtiger Grund vorliegt (wie ein unerwarteter, länger andauernder Ausfall des DSB), darf die Benennung eines Interims-Datenschutzbeauftragten auch für einen kürzeren Zeitraum befristet werden.
Hallo, ich möchte mich ganz herzlich für die wertvollen Beiträge, die ich immer gerne beherzige, bedanken.
Im letzten Kommentar schreiben Sie, dass der DSB nicht die Mittel und Zwecke bestimmen darf. Dürfte ich hier um Konkretisierung, vielleicht auch durch ein Beispiel bitten? Ich habe dazu leider nichts weiteres gefunden.
Herzlichen Dank.
Viele Grüße
Gabriele Arling
Gemäß Art. 4 Nr.7 DSGVO ist der Verantwortliche die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Dies bedeutet, dass eine verantwortliche Stelle sich für die Verarbeitung personenbezogener Daten entschieden hat und befugt ist, den Zweck, sprich das beabsichtigte Ergebnis einer Datenverarbeitung, sowie die hierzu eingesetzten Mittel, also die Art und Weise, wie das beabsichtigte Ergebnis erreicht werden soll, zu bestimmen. Die Mittel der Verarbeitung beziehen sich unter anderem auf die technischen und organisatorischen Gegebenheiten bei der Verarbeitung personenbezogener Daten sowie die Festlegung des Umfangs der Verarbeitung, einschließlich der betroffenen Personenkategorien, der zu erhebenden Datenkategorien, der Gewährung des Zugangs für Dritte, der Löschung usw. Mit anderen Worten: Die Bestimmung des Zwecks und der Mittel ist gleichbedeutend mit der Bestimmung des „Warum“ und des „Wie“ im Hinblick auf die Verarbeitung von personenbezogenen Daten. Dies ist Sache des Verantwortlichen.
Als Beispiel sei das Online Tracking zur Erfassung und Auswertung des Nutzerverhaltens auf der unternehmenseigenen Website genannt (sei es mittels Cookies oder Pixel oder sonstigen Methoden). Das verantwortliche Unternehmen (letztlich die Geschäftsführung des Verantwortlichen) entscheidet sich, diese Art der Datenverarbeitung durchführen zu wollen. Es entscheidet sich zudem hinsichtlich der Mittel der geplanten Verarbeitung personenbezogener Daten: Es möchte in unserem Beispiel das Facebook-Pixel nutzen. Unser Verantwortlicher präsentiert sein Entscheidung hinsichtlich eines Nutzertracking zum Zweck der Verhaltensanalyse und zielgerichteteren eigenen Werbung mittels des Facebook-Pixel sodann seiner*m DSB. Der*Die DSB hat dabei die Aufgabe, den Verantwortlichen zu datenschutzrechtlich zu beraten und auf eine datenschutzkonforme Verarbeitung personenbezogener Daten hinzuwirken. Wohlgemerkt hinzuwirken. Der DSB ist weder verpflichtet noch liegt es in seiner Befugnis, die letztendliche Entscheidung darüber zu treffen, ob der Verantwortliche die geplante Datenverarbeitung mit dem von diesem gewählten Mittel durchführt. Die*Der DSB weißt auf rechtliche Risiken hin, erläutert die geplante Datenverarbeitung und welche Auswirkungen dies ggf. haben kann, er*sie kann erklären, ob und warum er*sie die geplante Datenverarbeitung für rechtlich zulässig einschätzt und falls dies nicht der Fall sein sollte, kann die*der DSB Hinweise geben, ob und wie die Datenverarbeitung ggf. rechtssicher gestaltet werden kann.
Was ein DSB nie tut, ist, dem verantwortlichen seine aus Art. 4 Nr.7 DSGVO erwachsende Verpflichtung zur Entscheidung abnehmen. Der Verantwortliche kann daher die Verantwortung für die Umsetzung der datenschutzrechtlichen Vorgaben nicht auf den Datenschutzbeauftragten „abwälzen“.
Für weitere Informationen schauen Sie gerne auf unsere Website: Aufgaben eines Datenschutzbeauftragten.
Schauen Sie doch bitte nochmal im ersten Absatz, luster Vertipper? De Sensibilisierung und Schulung der Mitarbeitenden, die an der Verarbeitung personenbezogener Daten beteiligt sind. Ich glaube kaum, das der DSB dafür sorgen muss, das Datenschutzwissen aus den Köüfen der Mitarbeitenden zu bekommen ;-) Danke für den Beitrag!
Danke für den Hinweis. Der Fehler wurde korrigiert.