Muss ein DSB schwere Datenschutzverstöße melden?

Manchmal verstoßen Verantwortliche gegen elementare Grundsätze des Datenschutzes. Ein Beispiel aus der Praxis: Ein System, das in einem Krankenhaus eingesetzt wird, erlaubt keinerlei Löschung von Daten. Das lässt sich eindeutig nicht mit der Löschungspflicht gemäß Art. 17 Datenschutz-Grundverordnung (DSGVO) vereinbaren.

Die Klinikleitung erklärt dem Datenschutzbeauftragten (DSB), man sehe dieses Problem sehr wohl. Gleichwohl könne man auf den Einsatz des Systems nicht verzichten. Ein adäquater Ersatz sei auf dem Markt nicht verfügbar.

Mögliche Pflichten des DSB

Gegenüber dem Verantwortlichen hat der DSB alle Pflichten erfüllt. Er hat den Verantwortlichen, vertreten durch die Leitungsebene, unterrichtet und beraten (Art. 39 Abs. 1 Buchst. a DSGVO).

Aber reicht das aus? Muss er die Datenschutzaufsicht über den Sachverhalt in Kenntnis setzen? Falls nein, ist er dazu wenigstens berechtigt? Die Datenschutzliteratur ist sich uneins. Rechtsprechung, die weiterhelfen könnte, gibt es bisher nicht.

Überholte BDSG-Regelung

Das „alte“, inzwischen nicht mehr geltende Bundesdatenschutzgesetz (BDSG a.F.) sah vor, dass sich der DSB „in Zweifelsfällen an die für die Datenschutzkontrolle … zuständige Behörde wenden“ kann (siehe § 4g Abs. 1 Satz 2 BDSG a.F.).

Ob daraus ein Recht oder gar eine Pflicht des DSB abzuleiten war, offensichtliche Verstöße bei der Aufsichtsbehörde zu melden, war umstritten.

Gleich wie: Die DSGVO enthält keine Bestimmung, die mit dieser früheren Regelung vergleichbar wäre.

DSB als interner Berater

Nach den Vorgaben der DSGVO hat ein DSB die Rolle …