Der betriebliche Datenschutzbeauftragte
Mit Geltung der europäischen Datenschutzgrundverordnung (EU-DSGVO) seit dem 25. Mai 2018 haben sich sowohl die Voraussetzungen, ab denen ein Datenschutzbeauftragter zu bestellen ist, als auch den Umfang der Aufgaben und Befugnisse geändert. Im Folgenden bieten wir Ihnen eine Übersicht über die neuen Bestimmungen.
Wer kann als Datenschutzbeauftragter bestellt werden?
Was sind die Aufgaben eines Datenschutzbeauftragten?
- Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer datenschutzrechtlichen Pflichten
- Überwachung der Datenschutzvorschriften sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen
- Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Art. 35 DSGVO
- Zusammenarbeit mit der Aufsichtsbehörde
- Tätigkeit als Anlaufstelle für die Aufsichtsbehörde
- Beratung der Betroffenen zu Fragen der Verarbeitung ihrer personenbezogenen Daten einschließlich Wahrnehmung ihrer Rechte (z.B. Auskunfts- und Löschgesuche)
Wer kann Datenschutzbeauftragter werden?
Selbstverständlich muss ein Datenschutzbeauftragter vor seiner Bestellung die Voraussetzung erfüllen, die für diese Funktion erforderlich ist. Doch was muss eine solche Person konkret mitbringen?
Art. 37 Abs. 5 DSGVO listet folgende Eigenschaften auf, die ein durch Bestellung eingesetzter Datenschutzbeauftragter haben muss:
- berufliche Qualifikation
- Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis
- Fähigkeit zur Erfüllung seiner Aufgaben
Dies bedeutet insbesondere, dass die Person über ausreichende Kenntnisse des betreffenden Bereichs der Datenverarbeitung sowie der IT-Sicherheit verfügen und auch mit den relevanten Datenschutzbestimmungen vertraut sein muss. Die Anforderungen steigen dabei mit der Komplexität der vorliegenden Datenverarbeitung.
Wie sich aus diesen Voraussetzungen auch ergibt, kann nur eine natürliche Person durch Bestellung Datenschutzbeauftragter werden, da sich die Art der Qualifikation auf solche Personen beziehen muss. Juristische Personen sind in der DSGVO nicht als Datenschutzbeauftragte vorgesehen.
Zudem erfordert die Bestellung betrieblicher Datenschutzbeauftragter keine Mitbestimmung durch den Betriebsrat (wenn vorhanden). Eine Ausnahme besteht dann, wenn die Stellung im Unternehmen intern vergeben wird, also ein Mitarbeiter des Betriebs die Aufgabe des Datenschutzbeauftragten übernehmen soll. In diesem Fall kann sich der Betriebsrat einschalten.
Die Bestellung betrieblicher Datenschutzbeauftragter im Detail
Ein Datenschutzbeauftragter kommt durch Bestellung bzw. Ernennung in seine Funktion. Wie sieht diese konkret aus?
Das Bundesdatenschutzgesetz sah eine schriftliche Bestellung, die ein Datenschutzbeauftragter erhalten muss, vor. Nach der ab Mai 2018 geltenden DSGVO ist dies nicht mehr erforderlich, es ist nur noch von einer Ernennung die Rede. Dennoch scheint es ratsam, dass mit der schriftlich verfassten Bestellungsurkunde formell ein Datenschutzbeauftragter eingesetzt wird, damit ein Nachweis über die Ernennung und die konkreten Aufgaben vorliegt.
Es gibt keine konkreten Bestimmungen für die Gestaltung einer solchen Bestellung. Ein Datenschutzbeauftragter sollte in einem solchen Dokument aber zumindest über den Beginn seiner Tätigkeit sowie seine wahrzunehmenden Aufgaben unterrichtet werden.
Dürfen juristische Personen zum betrieblichen Datenschutzbeauftragten bestellt werden? Sowohl in Kommentaren, Aufsätzen, Vorträgen als auch in Publikationen der Datenschutzaufsichtsbehörden liest oder hört man nicht selten, dass ausschließlich natürliche Personen zum betrieblichen Datenschutzbeauftragten bestellt werden können. Aber stimmt das auch?
Das Bestellen eines externen statt eines innerbetrieblichen Datenschutzbeauftragten hat viele Vorteile. Im Gegensatz zu internen Teilzeit-Datenschutzbeauftragten kleinerer Unternehmen können sich externe Datenschutzbeauftragte voll auf ihre Datenschutzaufgabe konzentrieren und gewinnen in der Regel bei mehreren verantwortlichen Stellen Erfahrungen.
Sie sind vergleichsweise spezialisierter und die verantwortliche Stelle muss nicht für ihre Fortbildung sorgen. Ein weiterer Vorteil der externen Datenschutzbeauftragten ist, dass sie sich zusammenschließen und unterschiedliche Expertisen aus den Bereichen Informatik und Recht teilen können. Daher bestellen viele kleine und mittelständische Unternehmen einen externen Datenschutzbeauftragten.
Meist handelt es sich dabei nicht nur um einzelne Gewerbetreibende, sondern vielfach sind die Anbieter Firmen, die sich auf Datenschutzfragen spezialisiert haben. Dennoch zählt die Frage, wie ein externer Datenschutzbeauftragter im Rahmen eines Firmenangebotes zu bestellen ist, nach wie vor zu den offenen Punkten des Datenschutzrechts.
Will man keine juristische Person (die die Dienstleistung anbietende Firma) bestellen, besteht die Möglichkeit, den Geschäftsführer oder einen Mitarbeiter persönlich zu bestellen.
Sämtliche Möglichkeiten werden kontrovers diskutiert. Die Auffassung, nur eine persönliche Bestellung sei möglich, ist dabei als vermeintlich feststehendes Dogma sehr häufig anzutreffen.
Die Frage ist deswegen von Relevanz, weil die falsche oder fehlende Bestellung eines betrieblichen Datenschutzbeauftragten bei bestehender Bestellungspflicht eine mit Bußgeld bedrohte Ordnungswidrigkeit darstellt (§ 43 Abs. 1 Nr. 2 BDSG). Ist die verantwortliche Stelle ein personenbezogene Daten verarbeitender Dienstleister, gehört die Bestellung eines Datenschutzbeauftragten außerdem häufig zu den im Auftragsdatenverarbeitungsvertrag vereinbarten Vertragspflichten.
Bestellungsfehler können hier zum sanktionierten Vertragsverstoß führen. Ein Fehler bei der Bestellung kann also durchaus Folgen für die verantwortliche Stelle haben (wobei bei einer fehlerhaften Bestellung zunächst die Möglichkeit zur Korrektur eingeräumt werden dürfte).
Für die Firmen, die externe Datenschutzbestellungen anbieten, hat die Frage der gewählten oder zulässigen Bestellungsform jedoch noch weiter reichende Folgen.
Beispielsweise wirkt sich die Gestaltung der Bestellung auf die Organisation und Gestaltung der Einbindung von Mitarbeitern in das jeweilige Datenschutzbeauftragten-Projekt aus. Auch die interne Berechtigungsvergabe und Weisungsstruktur kann je nach Modell berührt sein. Nicht zuletzt wird die Erfüllung der Aufgaben des externen Datenschutzbeauftragten durch die Art der Bestellung berührt.
Die gesetzlichen Vorschriften stellen hierzu klar, dass die erforderliche Fachkunde in Abhängigkeit von dem Umfang der Datenverarbeitung der verantwortlichen Stelle und der Schutzbedürftigkeit der verarbeiteten personenbezogenen Daten zu beurteilen ist.
Einen Hinweis zur Bestellfähigkeit juristischer Personen jenseits der Klarstellung, einen Beauftragten außerhalb der verantwortlichen Stelle beauftragen zu können, sucht man vergebens. Vor diesem Hintergrund wird vertreten, dass als Datenschutzbeauftragter nur eine natürliche Person bestellt werden könne.
Im Fall der externen Beauftragung jenseits des Einzelunternehmers soll der schuldrechtliche Vertrag mit einer juristischen Person geschlossen werden können, persönlich zu bestellen sei aber ein Mitarbeiter oder der Geschäftsführer. Abgesehen hiervon wird die Thematik jedoch eher stiefmütterlich behandelt und oft auf den begründungslosen Hinweis beschränkt, juristische Personen kämen nicht in Betracht. Wird jedoch eine Begründung für die Beschränkung auf natürliche Personen angeführt, handelt es sich im Wesentlichen um das folgende Argument: Nur natürliche Personen könnten über die geforderte Fachkunde und Zuverlässigkeit verfügen. Andere Auffassungen halten die Bestellung juristischer Personen für möglich oder sogar für erforderlich, wenn der Anbieter ein Unternehmen ist. Gegen die persönliche Bestellung von Mitarbeitern und die Beschränkung auf natürliche Personen werden die mangelnde Praktikabilität sowie die entstehenden Probleme eingewandt, falls entweder der schuldrechtliche Vertrag mit der juristischen Person oder aber das Arbeitsverhältnis zwischen der juristischen Person und dem persönlich Bestellten aufgelöst würden. Die persönliche Bestellung von Mitarbeitern oder Organen des externen Unternehmens wird als Gegenposition sogar mit der Erwägung ausgeschlossen, dass hierdurch eine die Beteiligung der juristischen Person leugnende Fiktion geschaffen werde, die eine korrekte Bewertung der Bestellung unmöglich mache. Die Aufsichtsbehörden lassen in ihren Hilfestellungen für die Bestellung von Datenschutzbeauftragten nur teilweise Tendenzen erkennen.
Bestellung der juristischen Person
Die entscheidende Frage für die Bestellfähigkeit juristischer Personen ist, ob sich aus dem Gesetz oder aus den gesetzlichen Aufgaben des betrieblichen Datenschutzbeauftragten tatsächlich Hindernisse ergeben, die eine Bestellung juristischer Personen ausschließen. Immerhin handelt es sich bei dem Datenschutzbeauftragten um einen mittlerweile anerkannten Beruf – die grundrechtliche Berufsfreiheit erstreckt sich auch auf juristische Personen. Die Bestellung begründet eine Amts- oder Organstellung im Unternehmen. Als solche ist sie annahmebedürftig und löst entsprechende Rechtsfolgen des BDSG aus. Eine rechtsfähige juristische Person ist zur Erklärung der Annahme und zur Wahrnehmung einer Beauftragtenstellung in der Lage. Bezüglich des schuldrechtlichen Verhältnisses zwischen der verantwortlichen Stelle und dem betrieblichen Datenschutzbeauftragten stehen dem Vertragsschluss mit einer juristischen Person erst recht keine grundsätzlichen Hindernisse entgegen. Ein Ausschluss ergibt sich auch nicht nach dem Wortlaut des Gesetzes. Der Gesetzgeber, oder besser die Gesetzesautoren, mögen zwar eine natürliche Person vor Augen gehabt haben, da eine „Person“ außerhalb der verantwortlichen Stelle bestellt werden könne. Begrifflich können hiervon sowohl natürliche als auch juristische Personen erfasst werden. Eine ausdrückliche Begrenzung auf natürliche Personen ist jedenfalls an dieser Stelle nicht erfolgt. Als weitere Quelle eines Ausschlusses kommen die Eigenschaften und Aufgaben des betrieblichen Datenschutzbeauftragten in Betracht. Diese müssen sämtlich auch in einer juristischen Person vorliegen bzw. von dieser wahrgenommen werden können. Zu betrachten sind hier die Zuverlässigkeit und Fachkunde, die Weisungsunabhängigkeit und die Verschwiegenheit. Bezüglich der Aufgaben kommt vor allem die Funktion als Ansprechpartner für Betroffene als mögliches Hindernis in Betracht.
Zuverlässigkeit
Von den Befürwortern einer rein persönlichen Bestellung wird angeführt, dass „Zuverlässigkeit“ und „Fachkunde“ persönliche Eigenschaften seien, die eine Bestellung juristischer Personen ausschließen. Dagegen wird eingewandt, dass die Anforderungen Fachkunde und Zuverlässigkeit auch in anderen Gesetzen und Regelungszusammenhängen verwendet werden, ohne dass in diesem Zusammenhang eine Beschränkung auf natürliche Personen erfolgt (z. B. § 27 WiPrO; § 19 ASiG, § 18 Abs. 1, 3 Nr. 1 De-Mail-G; § 4 Abs. 2 SigG; § 43a Nr. 1 FeV; § 3 Abs. 2 RÖV), um nur einige Beispiele anzuführen.
Das führt uns zurück zur Frage:
Muss der Vertrag mit einem Datenschutzbeauftragten persönlich geschlossen werden oder kann als Vertragspartner auch das Unternehmen eingesetzt werden und dem Vertragspartner wird lediglich ein Ansprechpartner genannt.
Während es umstritten ist (auch unter der DSGVO), ob eine juristische Person (z.B. eine GmbH) zum „Datenschutzbeauftragten“ benannt werden kann, ist rechtlich unumstritten, dass ein Unternehmen einen Vertrag über die Erbringung von Leistungen des Datenschutzbeauftragten mit einer juristischen Person, also z.B. einem Unternehmen, abschließen kann. Das ist also rechtlich zulässig.
Wenn man dann jedoch weiteren juristischen Streitigkeiten aus dem Weg gehen möchte, sollte dann eine „Benennung“ einer natürlichen Person, also eines bestimmten Menschen (und ggf. auch ein Vertreter) zum Datenschutzbeauftragten erfolgen.
Der Vertrag sollte dann auch beinhalten, dass ein anderer Beschäftigter des Dienstleisters/Vertragspartners zum Datenschutzbeauftragten benannt wird, wenn der amtierende Datenschutzbeauftragte das Unternehmen des Vertragspartners wechselt. Dieser Beraterwechsel sollte im Sinne beider Parteien vertraglich geregelt sein.
Für rechtlich sauberer würden wir die Auffassung halten: Eine natürliche Person zum Datenschutzbeauftragten eines Unternehmens zu bestellen.
Die europäischen Aufsichtsbehörden halten es offenbar auch für möglich eine juristische Person zu bestellen, denn es gibt ein Arbeitspapier der Art. 29 Gruppe zu „Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“)“ – WP 243 rev.01 (PDF). Und da gibt es auch eine Passage, in der die Art. 29 Gruppe sich zur Möglichkeit der Bestellung von juristischen Personen zum Datenschutzbeauftragten äußert – zumindest am Rande. Dort steht:
Die Funktion eines DSB kann auch auf Grundlage eines Dienstleistungsvertrags ausgeübt werden, der mit einer natürlichen oder juristischen Person geschlossen wird (…)
Im Falle einer juristischen Person sei es
unverzichtbar, dass jedes Mitglied der Einrichtung, das die Funktionen eines DSB wahrnimmt, sämtliche in Abschnitt 4 der DS-GVO genannten Anforderungen erfüllt (sodass Interessenkonflikte ausgeschlossen werden können).
Die Art. 29 Gruppe geht dann weiter davon aus, dass sozusagen ein „DSB-Team“ gebildet werden kann. Die Art. 29 Gruppe empfiehlt aber, eine klare Aufgabenverteilung innerhalb des DSB-Teams vorzusehen und eine einzelne Person als „primären Ansprechpartner“ festzulegen, der zugleich für den jeweiligen Kunden „zuständig“ ist.
Das ULP (Unabhängiges Landeszentrum für Datenschutz in Schleswig-Holstein) führ dazu wie folgt aus:
„Für die Benennung kommen ausschließlich natürliche Personen als Datenschutzbeauftragte in Betracht. Die Art. 29 Datenschutzgruppe geht in Auslegung von Art. 37 Abs. 6 DSGVO davon aus (Working Paper 243, S. 14 und 27), dass der Verantwortliche oder Auftragsverarbeiter mit einem Dritten (natürliche oder juristische Person) einen Dienstleistungsvertrag schließen kann. Dieser Dienst- leistungsvertrag hat aber nicht die Benennung des Dritten selbst als Datenschutzbeauftragten zum Gegenstand. Vielmehr soll der Dienstleistungsvertrag vorsehen, welche natürliche(n) Person(en) allein oder als „Team“ die „Funktion des Datenschutzbeauftragten“ übernehmen sollen. Für diese einzelnen natürlichen Personen dürfen nach Auffassung der Art. 29 Datenschutzgruppe wiederum keine Interessenkonflikte bei der Wahrnehmung von Aufgaben für einen Verantwortlichen oder Auftragsverarbeiter bestehen. Der zugrunde liegende Dienstleistungsvertrag soll nicht ohne weiteres vom Verantwortlichen oder Auftragsverarbeiter gekündigt werden können. Schließlich komme den natürlichen Personen, die auf Grundlage des Dienstleistungsvertrags „die Funktion des Datenschutzbeauftragten“ wahrnehmen eine Art arbeitsrechtlicher Kündigungsschutz zu, indem diese vor „ungerechtfertigte Entlassungen“ durch den Dritten geschützt seien. Daraus folgt: Durch die Art. 29 Datenschutzgruppe wird nicht die Aussage getroffen, dass juristische Personen selbst als Datenschutzbeauftragte benannt werden können. Es wird lediglich die Konstellation dargestellt, in welcher (z. B.) eine juristische Person mit dem Verantwortlichen oder Auftragsverarbeiter einen Dienstleistungsvertrag schließt. Diese juristische Person beschäftigt bzw. beauftragt wiederum natürliche Personen, welche letztlich die Funktion eines Datenschutzbeauftragten für den Verantwortlichen oder Auftragsverar- beiter wahrnehmen sollen.
Der Datenschutzbeauftragte wird nach Art. 37 Abs. 5 DSGVO u. a. auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt. Ferner kann der Datenschutzbeauftragte nach Art. 37 Abs. 6 DSGVO Beschäftigter des Verantwortlichen oder Auftragsverarbeiters sein oder seine Aufgaben auf Grundlage eines Dienstleistungsvertrags erfüllen. Die besseren Argumente sprechen für die ausschließliche Benennung natürlicher Personen. Insbesondere das Abstellen auf eine berufliche Qualifikation legt den Schluss nahe, dass die erforderliche Befähigung im Rahmen einer Berufsausbildung bzw. eines Studiums erworben wurden, was nur durch natürliche Personen erfolgen kann. Art. 37 Abs. 6 DSGVO stellt auf einen Beschäftigtenstatus ab – entweder als interner oder externer Datenschutzbeauf- tragter auf Basis eines Dienstleistungsvertrags. Es bleibt aber auch möglich, dass der externe Datenschutzbeauftragte als natürliche Person selbst einen Dienstleistungsvertrag mit dem Verantwortlichen oder Auftragsverarbeiter schließt.
Die Vorgaben des BDSG n. F. können bekanntlich nicht zur Auslegung der DSGVO herangezogen werden. Unabhängig davon lassen sich auch bei der Berücksichtigung dieser Vorgaben gute Argumente dafür finden, dass ausschließlich natürliche Personen benannt werden können. Hierfür spricht etwa die Anwendungarbeitsrechtlicher Kündigungsregeln nach § 38 Abs. 2 BDSG n. F. i. V. m. § 6 Abs. 4 BDSG n. F. Weiterhin spricht auch die Zubilligung eines Zeugnisverweigerungsrechts gegenüber dem Datenschutzbeauftragten unter den Voraussetzungen des § 38 Abs. 2 BDSG n. F. i. V. m. § 6 Abs. 6 BDSG n. F. für diese Auffassung.“ Aus Praxisreihe 2, Stand Mai 2018
Nur wird diese Auffassung in der Kommentarliteratur zur DSGVO nicht unbedingt geteilt. Daher wäre der sicherer Weg derzeit der der Benennung einer natürlichen Person zum Datenschutzbeauftragten.
Sprechen Sie uns an
Wir helfen Ihnen gerne zu allen Fragen des Datenschutzes weiter.
Leistungen