Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

23. März 2022

DSGVO: Welche Aufgaben haben Datenschutzbeauftragte (DSB)?

DSGVO: Welche Aufgaben haben Datenschutzbeauftragte (DSB)?
Bild: Leo Wolfert / iStock / GettyImages
4,20 (5)
Schwerpunkte
Viele Datenschutzbeauftragte fragen sich, welche Aufgaben sie nach der Datenschutz-Grundverordnung (DSGVO) eigentlich erfüllen müssen. Die Darstellung konzentriert sich auf die Pflichtaufgaben, die ein DSB in jedem Fall erfüllen muss, und auf die Haftungsfrage.

Identische Aufgaben für alle Datenschutzbeauftragten

Bekanntlich legt die Datenschutz-Grundverordnung (DSGVO) für bestimmte Konstellationen unmittelbar die Pflicht zur Benennung von Datenschutzbeauftragten fest (Art. 37 Abs. 1 DSGVO).

Die Mitgliedstaaten haben die Befugnis, darüber hinaus die Benennung eines DSB vorzuschreiben (Art. 37 Abs. 4 DSGVO). Das sieht das Bundesdatenschutzgesetz (BDSG) in § 37 BDSG vor.

Für die Aufgaben, die ein Datenschutzbeauftragter zu erfüllen hat, macht es keinerlei Unterschied, aufgrund welcher Regelung er bestellt wurde oder ob es sich dabei um einen internen oder externen Datenschutzbeauftragten handelt. Die Aufgaben der Datenschutzbeauftragten ergeben sich in allen Konstellationen unmittelbar aus der DSGVO.

Sie stellt alle Arten von DSB ohne jeden Unterschied nebeneinander und gibt dem nationalen Gesetzgeber keine Befugnis, die Aufgaben selbst zu regeln.

Das zeigt ein Blick in Art. 37 Abs. 4 DSGVO einerseits (Nebeneinander von DSB „nach dem Recht der Union oder der Mitgliedstaaten“ bei der Benennung eines DSB) und Art. 39 DSGVO andererseits (keine Unterscheidung zwischen den Arten bei den Aufgaben).

Bei den DSB-Aufgaben Interessenkonflikte vermeiden

Grundlegend ist die Unterscheidung der DSGVO zwischen den dort geregelten Aufgaben und Pflichten und anderen Aufgaben und Pflichten, die er außerdem wahrnimmt. Art. 38 Abs. 6 Satz 1 DSGVO hält als Ausgangspunkt fest: „Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen.“

Zugleich ordnet Art. 38 Abs. 6 Satz 2 DSGVO allerdings Folgendes an: „Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“

Leitlinien der Gruppe nach Art. 29 zum Datenschutzbeauftragten, angenommen durch EDPB

Damit setzt sich eine Diskussion fort, die früher anhand des Stichworts „Zuverlässigkeit des DSB“ im Rahmen von § 4f Abs. 2 Satz 1 BDSG-alt geführt wurde. Sie lief im Ergebnis darauf hinaus, dass nahezu jede andere Funktion von irgendjemand in der Rechtsliteratur für unvereinbar mit der Funktion des Datenschutzbeauftragten (DSB) gehalten wurde.

Jetzt gilt es, sich v.a. an den „Leitlinien für Datenschutzbeauftragte“ der Gruppe nach Art. 29 (Working Paper 243) zu orientieren. Dieses Papier hat auch der Europäische Datenschutzausschuss (EDPB), der Nachfolger der Artikel-29-Gruppe, in seiner ersten Sitzung am 25. Mai 2018 gebilligt.

Ziffer 3.5 dieses Papiers behandelt die Frage ausführlich und hebt dabei u.a. Folgendes hervor:

  • Ausgangspunkt ist die Überlegung, dass ein DSB nicht zugleich eine Position im Unternehmen inne haben darf, die dazu führt, dass er die Zwecke und/oder die Mittel der Verarbeitung personenbezogener Daten festlegen kann oder muss („The DPO cannot hold a position within the organisation that leads him or her to determine the purposes and the means of the processing of personal data“).
  • Wegen der unterschiedlichen organisatorischen Strukturen ist dabei eine Einzelfallbetrachtung erforderlich.
  • Bei internen und externen Datenschutzbeauftragten ist zu berücksichtigen, dass Interessenkonflikte unterschiedliche Aspekte aufweisen können („It should also be borne in mind that conflicts of interest may take various forms depending on whether the DPO is recruited internally or externally“).
  • Als Faustregel hält Fußnote 34 des Papiers fest, dass nicht miteinander vereinbare Aufgaben („conflicting positions“) v.a. anzunehmen sind, wenn der DSB eine der Leitungsfunktionen im Unternehmen („senior management positions“) wahrnimmt. Als Beispiel sind etwa die Leitung des Marketing oder des Personalwesens genannt. Bei ihnen geht das Papier davon aus, dass der Stelleninhaber Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.
  • Generell, besonders aber vor einer Ausschreibung der Stelle des DSB, empfiehlt das Papier, die Funktionen („positions“) zu ermitteln und zu benennen, bei denen aufgrund der konkreten Gegebenheiten im Unternehmen von einem Interessenkonflikt auszugehen wäre.

Deutlich anderer Ansatz als bisher

Diese Ansätze weichen deutlich von dem Vorgehen ab, das vor der DSGVO in Deutschland üblich war. Die Diskussion wurde hier in der Regel abstrakt anhand der Frage geführt, welche Funktionen generell als unvereinbar mit den Aufgaben eines DSB erscheinen.

Der Hinweis, dass es außerdem stets auf den Einzelfall ankomme, wurde dabei zwar jeweils angefügt. Er führte aber letztlich nie zu einer Abweichung vom generell gefundenen Ergebnis. Er hatte eher die Funktion einer Art „Angstklausel“. Sie sollte verhindern, dass ein seltener Einzelfall, bei dem das generelle Ergebnis ganz offensichtlich nicht passend schien, dieses Ergebnis insgesamt infrage stellt.

Unter der Datenschutz-Grundverordnung ist umgekehrt zunächst vom Einzelfall und von der Situation im konkreten Unternehmen auszugehen.

Drei Blöcke von Pflichtaufgaben von Datenschutzbeauftragten

Die Pflichtaufgaben von Datenschutzbeauftragten nach der DSGVO lassen sich in drei Blöcke gliedern:

  1. interne Aufgaben im Unternehmen
  2. Funktion im Verhältnis zur Aufsichtsbehörde
  3. Funktion als Anlaufstelle für betroffene Personen

Dabei obliegt es dem Datenschutzbeauftragten, seine Tätigkeitsschwerpunkte danach auszurichten, welches Risiko mit Verarbeitungsvorgängen verbunden ist (siehe Art. 39 Abs. 2 DSGVO). Hier findet seine Unabhängigkeit rechtlich gesehen eine Grenze.

Ausdrücklich erscheint der Begriff der „Unabhängigkeit“ in der DSGVO selbst übrigens nicht, wohl aber in Erwägungsgrund 97, letzter Satz. Ausdrücklich festgelegt ist in der DSGVO lediglich, dass der Datenschutzbeauftragte bezüglich der Ausübung seiner Aufgaben keine Anweisungen erhalten darf (siehe Art. 38 Abs. 3 Satz 1 DSGVO).

Aus all dem folgt rechtlich gesehen nicht, dass ein DSB „tun kann, was er will“. Vielmehr hat er die Pflicht zu einem risikoorientierten Vorgehen. Wie der Datenschutzbeauftragte im Rahmen seiner Aufgaben dies konkret umsetzt, liegt dabei in seiner eigenen Verantwortung.

Die 3 (Haupt-)Aufgaben von Datenschutzbeauftragten im Unternehmen

Hinsichtlich der internen Aufgaben von Datenschutzbeauftragten im Unternehmen vermeidet die DSGVO einen umfassenden Aufgabenkatalog. Vielmehr legt sie lediglich drei interne Hauptaufgaben fest:

Aufgabe: Unterrichtung und Beratung

Art. 38 Abs. 1 Buchst. a fordert die Unterrichtung und Beratung des Verantwortlichen bzw. des Auftragsverarbeiters. Dazu gehört, die Beschäftigten, die Verarbeitungen durchführen, zu unterrichten und zu beraten.

Aufgabe: Überwachung der Einhaltung von Vorgaben

Art. 38 Abs. 1 Buchst. b verlangt die Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union (etwa der ePrivacy-Richtlinie 2002/58/EG) und der Datenschutzvorschriften der Mitgliedstaaten wie etwa des neuen BDSG.

Als eine wichtige Unteraufgabe zu dieser Hauptaufgabe der Datenschutzbeauftragten benennt die DSGVO die Überwachung, ob der Verantwortliche unternehmensinterne Strategien für den Schutz personenbezogener Daten einhält. Das geschieht gleichrangig mit der Überwachung der Einhaltung der DSGVO. Darin kommt die besondere Verantwortung des für die Verarbeitung Verantwortlichen zum Ausdruck, die Art. 24 DSGVO hervorhebt. Denn die DSGVO verzichtet darauf, die Zulässigkeit einer Verarbeitung bis ins Detail zu regeln.

Hinzu kommen die Sensibilisierung und Schulung von Mitarbeitern und damit verbundene Überprüfungen.

Sonderproblem: Datenschutz-Folgenabschätzung

Eine interne (Haupt-) Aufgabe, die der DSB erst auf Anfrage (gemeint: des Verantwortlichen für die Verarbeitung oder Auftragsverarbeiters) wahrnehmen muss, ist die Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung (siehe Art. 39 Abs. 1 Buchst. c DSGVO).

Die Formulierung „auf Anfrage“ bedeutet nicht, dass der Verantwortliche oder Auftragsverarbeiter den DSB bei der Datenschutz-Folgenabschätzung außen vor lassen könnte. Er hat vielmehr ausdrücklich die Pflicht, bei der Durchführung einer Datenschutz-Folgenabschätzung „den Rat des Datenschutzbeauftragten“ einzuholen (siehe Art. 35 Abs. 2 DSGVO).

Gleichzeitig ist er verpflichtet, ihn „ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen“ einzubinden (Art. 38 Abs. 1 DSGVO).

Daher dürfte die Formulierung „auf Anfrage“ im Ergebnis keine zeitliche Verzögerung bei der Einbindung des DSB bewirken. Sie hindert ihn nur daran, sich von sich aus in den Prozess der Datenschutz-Folgenabschätzung einzuschalten.

Ziffer 4.2 des Working Paper 243 macht – nicht verbindliche – Vorschläge, wie die Einbindung des DSB konkret aussehen könnte.

Aufgabe im Verhältnis zur Aufsichtsbehörde

Gleich zweifach hebt die DSGVO die Funktion des DSB im Verhältnis zur Aufsichtsbehörde hervor:

  • 39 Abs. 1 Buchst. e DSGVO spricht ausdrücklich davon, dass er „Anlaufstelle für die Aufsichtsbehörde“ sein solle. Die angeführten Beispiele zeigen, dass dies umfassend zu verstehen ist.
  • 39 Abs. 1 Buchst. d verpflichtet den DSB zur „Zusammenarbeit mit der Aufsichtsbehörde“.

Bei diesen Vorschriften handelt es sich nicht um überflüssige Parallelregelungen. Vielmehr unterscheiden sie danach, von wem der Kontakt ausgeht. Bei der „Zusammenarbeit mit der Aufsichtsbehörde“ wird der DSB gegenüber der Aufsichtsbehörde aktiv. Fungiert er dagegen als „Anlaufstelle“, meint die DSGVO damit, dass die Aufsichtsbehörde den DSB anspricht.

Aufgabe: Datenschutzbeauftragter als Ansprechpartner für betroffene Personen

Relativ stark betont die DSGVO die Funktion des Datenschutzbeauftragten als Anlaufstelle für betroffene Personen. Das zeigt sich in zweierlei Hinsicht:

Betroffene haben das Recht, den DSB zu allen Fragen „zu Rate zu ziehen“, die mit „der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte“ gemäß der DSGVO im Zusammenhang stehen (Art. 38 Abs. 4 DSGVO). Der Begriff „zu Rate ziehen“ sollte dabei nicht überinterpretiert werden. Er führt nicht dazu, dass der DSB zu einer Art „Beratungsbüro für Betroffene“ wird.

In der englischen Fassung der DSGVO ist die Rede von „to contact“, in der französischen Fassung von „prendre contact“, die niederländische Fassung spricht von „contact opnemen“. Alle diese Formulierungen werden üblicherweise schlicht mit „Verbindung aufnehmen“ oder „sich wenden an“ übersetzt.

Damit Betroffene diese Kontaktmöglichkeit nutzen können, muss der Verantwortliche bzw. der Auftragsverarbeiter die „Kontaktdaten des Datenschutzbeauftragten“ veröffentlichen (siehe Art. 37 Abs. 7 DSGVO). Working Paper 243 hält hierzu unter Ziffer 2.5 Folgendes fest:

(a) Der Name des DSB muss nicht zwingend veröffentlicht werden, mag dies auch als „gute Praxis“ anzusehen sein.

(b) Notwendig sind eine Postanschrift, ferner eine eigene spezielle Telefonnummer und eine eigene spezielle Mail-Adresse. Nicht ausreichend wäre es also, etwa eine allgemeine Telefonnummer im Unternehmen anzugeben und dem Betroffenen zuzumuten, sich von dort aus weiter verbinden zu lassen. Alternative Angebote, Kontakt aufzunehmen, sind denkbar. Hier erwähnt Working Paper 243 insbesondere ein spezielles Kontaktformular auf der Webseite des Unternehmens.

Wie steht es um das Haftungsrisiko für Datenschutzbeauftragte?

Die Aufgabe des Datenschutzbeauftragten, die Einhaltung der DSGVO und anderer Vorschriften „zu überwachen“ (siehe Art. 39 Abs. 1 Buchst. b DSGVO), hat zu Diskussionen darüber geführt, ob damit Haftungsrisiken verbunden sind.

Working Paper 243 sieht das nicht so. Zunächst hebt es hervor, dass ein DSB über keine verbindlichen Entscheidungsbefugnisse verfügt (siehe Ziffer 3.3 des Papiers). Dann sagt es ganz klar: „Überwachung der Einhaltung bedeutet nicht, dass es der DSB ist, der persönlich verantwortlich wäre, wenn ein Fall der Nichteinhaltung vorliegt.“

Diese Interpretation stützt Erwägungsgrund 97. Danach soll der Datenschutzbeauftragte den Verantwortlichen bzw. den Auftragsverarbeiter lediglich „unterstützen“. Das passt auch zu Art. 24 DSGVO („Verantwortung des für die Verarbeitung Verantwortlichen“).

Vor diesem Hintergrund sprechen gute Gründe dafür, dass die Auffassung der Gruppe nach Art. 29 auch vor deutschen Gerichten Bestand haben wird.

Dr. Eugen Ehmann

Dr. Eugen Ehmann
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen & Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 die IDACON , den renommierten Datenschutz-Kongress.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.