Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Stellung des Datenschutzbeauftragten

Die Stellung von Datenschutzbeauftragten (DSB) ist geprägt durch Unabhängigkeit. Daher darf ihnen beispielsweise die Geschäftsführung keine Weisungen erteilen. Das umfasst auch die Art und Weise, wie ein Datenschutzbeauftragter Beschwerden bearbeitet oder mit den Aufsichtsbehörden für den Datenschutz kommuniziert.

Datenschutzbeauftragte sind also in ihrer fachlichen Tätigkeit weisungsfrei und dürfen auch bei unpopulären Stellungnahmen und Vorschlägen nicht benachteiligt werden. Denn Datenschutzbeauftragte haben eine gesetzliche Aufgabe – und wenig Macht, ihre Erfüllung durchzusetzen. Um zu überzeugen, müssen sie Fachkenntnisse im Datenschutz und soziale Kompetenz geschickt kombinieren.

➜ Mehr zur Stellung des Datenschutzbeauftragten

Spannungsfall(e) Datenschutzbeauftragte

DSB sehen sich heute mehr denn je in einem Konflikt zwischen ihren Aufgaben, die sich aus Art. 37 ff. DSGVO und § 5 bis 7 BDSG ergeben, und dem, was Unternehmen gern als „pragmatische Umsetzung“ adressieren. Wo liegen die Hauptgründe dafür und was lässt sich dagegen tun?

DP+
DSB sollten nur unter bestimmten Voraussetzungen an einer internen Meldestelle mitwirken
Bild: iStock.com / Cristian Storto Fotografia
Hinweisgeberschutzgesetz (HinSchG)

Viele Unternehmen und Behörden sind nach HinSchG verpflichtet, eine interne Meldestelle einzurichten. In der Praxis stellt sich dann oft die Frage, ob ein DSB diese Aufgabe zusätzlich übernehmen kann bzw. sollte.

DP+
Der Fragebogen prüft Kernbereiche rund um den DSB wie Geeignetheit, Einbindung, Ressourcen, Berichtswege und Unabhängigkeit. Damit zeigt er auch nicht direkt betroffenen Unternehmen, welche Erwartungen die Behörden haben
Bild: iStock.com / Nuthawut Somsuk
Fragebogen der Aufsichtsbehörden

Aktuell läuft EU-weit eine Prüfaktion der Aufsichtsbehörden zur Rolle von DSB. Der verschickte Fragebogen widmet sich den DSB, ihrer Stellung, Rolle und Aufgaben. Wir stellen den Fragebogen sowie die dort lauernden Fallstricke vor und liefern eine passende Checkliste.

Aufgaben & Stellung von Datenschutzbeauftragten

Die Checkliste zur betrieblichen Umsetzung der Datenschutzanforderungen zum DSB basiert auf dem Fragenbogen der Aufsichtsbehörden. Sie ist aber in Teilen modifiziert, um auch die Anforderungen „zwischen den Zeilen“ abzudecken.

Empfehlungen aus der Praxis für Datenschutzbeauftragte

Die Hauptaufgabe von DSB ist es, zu beraten und zu überwachen. In größeren Unternehmen ist es sinnvoll, weitere Aufgaben zu übernehmen und ein Team weiterzuführen oder aufzubauen, das dabei unterstützt. Angesichts der Themenvielfalt gilt es, den Überblick zu behalten. Geeignete Prozesse und Tools helfen hier bei der Organisation, um Arbeitsabläufe zu vereinfachen.

Gemeinsame Prüfaktion der Aufsichtsbehörden

In einer gemeinsamen Prüfaktion nehmen die europäischen Aufsichtsbehörden die Stellung und Benennung von Datenschutzbeauftragten unter die Lupe. Den Prüfbogen können Sie hier herunterladen.

Datenschutz in Europa

Wie ist es in der betrieblichen Praxis um die Stellung und die Aufgaben von Datenschutzbeauftragten bestellt? Das untersuchen aktuell die europäischen Datenschutzaufsichtsbehörden. Daran beteiligt ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), das uns den Prüfbogen zur Verfügung gestellt hat.

Eine neue Aufgabe für Datenschutzbeauftragte

Für Webshops, Internetseiten u.Ä. sieht das TTDSG spezielle Auskunftspflichten vor. Diese Auskunft geht nicht an die betroffene Person, sondern an Dritte. Das Auskunftsverlangen muss jedoch vor der Erteilung geprüft werden. Hier kommen Datenschutzbeauftragte ins Spiel!

Arbeitsgericht Heilbronn

Ein Unternehmen lässt Wirtschaftsprüfer den Datenschutz durchchecken. Die Prüfer melden mehrere angebliche „Hochrisiko-Feststellungen“. Kann das Unternehmen nun den Datenschutzbeauftragten (DSB) vor die Tür setzen?

Im Gespräch mit Frau Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit

Datenminimierung vs. bestmöglicher Einblick in Kundenverhalten? Nicht nur im betrieblichen Umfeld scheinen Interessenskonflikte im Hinblick auf Datenschutz vorprogrammiert. Meike Kamp, die neue Berliner Datenschutzbeauftragte gibt im Interview mit Datenschutz PRAXIS ganz konkrete Tipps und Hinweise, wie sich Interessenskonflikte vermeiden lassen.

1 von 3

Die Stellung des Datenschutzbeauftragten ermöglicht direkte Adressierung der Geschäftsleitung

Die Umgehung jeglicher Hierarchiestufen soll es dem Datenschutzbeauftragten ermöglichen, ohne Kompetenz- und Kommunikationsschwierigkeiten betriebliche Datenschutzfragen direkt bei der Leitung der verantwortlichen Stelle zu platzieren. Er kann so notwendige Maßnahmen empfehlen und auf mögliche Datenschutz-Verstöße hinweisen, um Schaden vom Unternehmen oder von der Behörde abzuwenden.

Die Weisungsfreiheit bietet ihm die ausdrücklich geforderte Unabhängigkeit. Das Benachteiligungsverbot sichert die neutrale Ausübung seiner Tätigkeit.

Weisungsfreiheit nach DSGVO bzw. BDSG

Das Datenschutzrecht sieht eine entsprechende Weisungsfreiheit in Art. 38 Abs. 3 Datenschutz-Grundverordnung (DSGVO) für nichtöffentliche Stellen bzw. § 6 Abs. 3 Bundesdatenschutzgesetz (BDSG) für öffentliche Stellen, die in den Anwendungsbereich des BDSG fallen, vor. Die Landesrechte sehen dies entsprechend für weitere öffentliche Stellen vor.

Danach darf der Verantwortliche einem Datenschutzbeauftragten keine Weisungen erteilen, um seine absolute Unabhängigkeit sicherzustellen.

Gleichwohl hat der Datenschutzbeauftragte nur die Rechte und Pflichten, die ihm im Rahmen seiner Aufgabenerfüllung zustehen, das heißt er darf beispielsweise nach Art. 39 DSGVO die Einhaltung der Verordnung prüfen (Überwachungspflichten), er muss den Verantwortlichen beraten und er ist frei im Rahmen der Datenschutzschulung der Mitarbeiter.

Sofern der Datenschutzbeauftragte eine abweichende Meinung bei der Einschätzung von datenschutzrechtlichen Risiken einer Verarbeitung vertritt, steht es dem Unternehmen grundsätzlich frei, gleichwohl die Verarbeitung so durchzuführen, wie es sie für richtig hält.

In diesem Fall kann der Datenschutzbeauftragte allerdings seine Auffassung dokumentieren und gegenüber der Geschäftsführung schriftlich kundtun.

Benachteiligungsverbot und Kündigungsschutz

Zudem legt Art. 38 Abs. 3 DSGVO ein ausdrückliches Benachteiligungsverbot von Datenschutzbeauftragten fest (ergänzt durch § 6 Abs. 3, 4 BDSG und § 38 Abs. 2 BDSG für nichtöffentliche Unternehmen bzw. die jeweiligen Landesrechte): Neben der Abberufung ist es untersagt, den Datenschutzbeauftragten beispielsweise nicht zu befördern oder ihm den Bonus zu verweigern – allerdings nur dann, wenn dies im Zusammenhang mit der Erfüllung seiner Aufgaben steht bzw. auf deren Erfüllung zurückzuführen ist. Offen bleibt, ob und wie ein Datenschutzbeauftragter einen entsprechenden Nachweis in der Praxis führen kann.

Erst kürzlich hat der Europäische Gerichtshof zudem den besonderen Kündigungsschutz für Datenschutzbeauftragte bestätigt.

Datenschutzbeauftragter: Stellung ohne Mittel?

Die DSGVO verpflichtet in Art. 38 Abs. 2 bzw. das BDSG in § 6 Abs. 2 Verantwortliche bzw. Auftragsverarbeiter, ihre Datenschutzbeauftragten angemessen zu unterstützen. Dabei sind dem Datenschutzbeauftragten „insbesondere“ Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen.

Wie umfangreich die Ausstattung sein soll, richtet sich nach dem jeweiligen Umfang der Datenverarbeitung bzw. den Risiken für die betroffenen Personen: Je höher die Datenschutz-Risiken, desto mehr Aufwand wird entstehen, den das Unternehmen übernehmen muss.

Arbeitszeit und eine angemessene Ausstattung

Umfasst ist auch eine ausreichende Arbeitszeit. Datenschutzbeauftragte müssen also gegebenenfalls von anderen Tätigkeiten entlastet werden. Darüber hinaus brauchen sie eventuell zusätzliches Personal für Sekretariat und Sachbearbeitung.

Falls erforderlich, ist die Ausstattung der Räume mit abschließbaren Schränken, mit PC-Equipment und Telefonanbindung aufzustocken. Die Anbindung ans Internet und – wenn vorhanden – auch an das Intranet sollte zur Verfügung gestellt werden. Gleiches gilt für Zugriffe auf relevante Systeme, die er regelmäßig zu prüfen hat wie das HR-System.

In jedem Fall ist es notwendig, dass er über ein eigenes Büro verfügt, in dem er betroffene Personen, die sich ja jederzeit in Fragen des Datenschutzes an ihn wenden können, empfangen kann.

Kosten für die Weiterbildung müssen übernommen werden

Mittel zur Verfügung stellen bedeutet in diesem Zusammenhang, Kosten zu übernehmen, z.B. für Datenschutz-Lehrgänge und Seminare, insbesondere zur ständigen Weiterbildung.

Dazu kommt: Bekanntmachung und Datenschutzmanagement

Teil der Ausstattung ist auch die Unterstützung des Datenschutzbeauftragten hinsichtlich seiner Bekanntmachung im Unternehmen. Hier sollte ihm das Unternehmen die Möglichkeit geben, sich selbst etwa durch ein Rundschreiben gegenüber den Mitarbeitenden bekannt zu machen und sich zu präsentieren. Dies kann auch einen eigenen Intranet-Auftritt umfassen.

Zudem sollte die Geschäftsführung ihn bei der Umsetzung datenschutzrechtlicher Compliance unterstützen und ihm etwa durch die Benennung von Datenschutzverantwortlichen entgegenkommen, die ihm in den einzelnen Abteilungen zuarbeiten bzw. ihn durch entsprechende Vorgaben, Richtlinien etc. bei der Akzeptanz des Datenschutzes im Unternehmen unterstützen.

Interessenkonflikte

Die unabhängige Stellung setzt auch voraus, dass Datenschutzbeauftragte keinen Interessenkonflikten ausgesetzt sind. Dazu gehört, dass Datenschutzbeauftragte neben ihrer Tätigkeit als Datenschutzbeauftragte keine weiteren Funktionen haben dürfen, die damit kollidieren.

Zudem sieht die DSGVO ausdrücklich in Art. 38 Abs. 6 vor, dass Datenschutzbeauftragte zwar andere Aufgaben erfüllen dürfen. Doch das darf nicht dazu führen, dass die Aufgaben und Pflichten daraus zu einer Interessenkollision führen. Entsprechendes gilt nach § 7 Abs. 2 BDSG.

Die Stellung von internen Datenschutzbeauftragten

Hauptamtlicher Datenschutzbeauftragter

Bei einem hauptamtlich tätigen Datenschutzbeauftragten, der keine weiteren Funktionen wahrnimmt, sind derartige Interessenkollisionen nicht denkbar. Es gibt keine andere Aufgabe, mit der seine Pflichten kollidieren könnten.

Teilzeit-Datenschutzbeauftragter

Häufig benennen Unternehmen und Behörden Datenschutzbeauftragte allerdings nicht als Vollzeit-Datenschutzbeauftragte, sondern die DSB nehmen daneben noch andere Aufgaben wahr. Hier ist sicherzustellen, dass die erforderliche Unabhängigkeit des Datenschutzbeauftragten gewahrt wird.

Lesen Sie hier, welche arbeitsrechtlichen Folgen es hat, wenn ein Arbeitgeber die Bestellung eines „Teilzeit-DSB“ widerruft. Und: Ist ein solcher Widerruf möglich, obwohl der DSB schon seit 15 Jahren dienstliche Aufgaben wahrnimmt, die zu einer Interessenkollision führen?

Nicht vereinbare Funktionen

Aus dem Merkmal der Zuverlässigkeit eines internen Datenschutzbeauftragten lässt sich ableiten, dass bestimmte Funktionen im Unternehmen mit der Funktion des Datenschutzbeauftragten nicht zu vereinbaren sind.

Das ist naturgemäß die Geschäftsführung eines Unternehmens, da sie als Vertretung der verantwortlichen Stelle die organisatorische Einrichtung ist, an die der Datenschutzbeauftragte berichtet, Art. 38 Abs. 3 DSGVO, § 6 Abs. 3 BDSG.

Daneben sind weitere Stellen ausgenommen. Wird z.B. ein IT-Leiter als Datenschutzbeauftragter tätig, müsste er selbst kontrollieren, ob ein umfassendes Monitoring von Mitarbeitenden, das er in seiner Funktion als IT-Leiter durchführen möchte, tatsächlich datenschutzrechtlich zulässig ist. Hier ist nicht auszuschließen, dass er seine Entscheidungen nicht mehr völlig unabhängig trifft, sondern sich aus seiner Position als IT-Leiter heraus zu einer datenschutzrechtlich bedenklichen Entscheidung verleiten lässt.

Gleiches gilt nach Auffassung der Datenschutz-Aufsichtsbehörden für Leiter der Personalabteilung, Geldwäschebeauftragte, Betriebsleiter, Revision, Rechtsabteilung und den Betriebsrat.

Führungskräfte

Führungskräfte in leitenden Positionen oder gar leitende Angestellte scheiden für die Benennung als Datenschutzbeauftragter aus. Sie müssen die ihnen übertragenen Aufgaben im Interesse der verantwortlichen Stelle wahren.

Mitarbeiter der EDV-Abteilung, der Rechtsabteilung und / oder der Personalabteilung, selbst wenn sie über ausreichende Fachkenntnisse der jeweiligen anderen Bereiche verfügen sollten, sind oftmals in ihrem jeweiligen speziellen Aufgabengebiet zu stark eingebunden und müssen bestimmte Interessen des Verantwortlichen wahren. Sie können daher in der Regel den Anforderungen der Datenschutzvorschriften an die Unabhängigkeit nicht in vollem Umfang genügen.

Betriebsrat

Auf keinen Fall sollte die Position des betrieblichen Datenschutzbeauftragten in Personalunion mit Betriebsratstätigkeit oder gar Betriebsratsvorsitz ausgeübt werden. Betriebsräte sind einseitig verpflichtet, Arbeitnehmerinteressen zu vertreten, und können daher nicht unabhängig agieren.

Andere Beauftragte

Auch die Kombination mit den Aufgaben von anderen Beauftragten, etwa für Gefahrgut, Arbeitsschutz oder Umweltschutz, sollte geprüft werden. Es kommt hier sicher ganz besonders auf die Persönlichkeit des Einzelnen an, ob er in kleinen und mittleren Unternehmen den Datenschutz mit übernehmen kann.

Kein geeigneter interner Kandidat?

Im Einzelfall kann das Problem auftreten, dass auf der Basis der vorstehenden Kriterien kein geeigneter interner Kandidat übrigbleibt. Dann besteht die Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen.

Die Stellung eines externen Datenschutzbeauftragten

Konflikte aus Beratertätigkeit

Interessenkonflikte können allerdings auch bei einem externen Datenschutzbeauftragten auftreten. Dies kann etwa gelten, wenn eine Rechtsanwältin, ein Wirtschaftsprüfer oder eine Unternehmensberaterin bereits umfassend für einen Verantwortlichen tätig ist.

Hier ist sicherzustellen, dass die Beratung klar von der Tätigkeit als DSB abgegrenzt wird. Das lässt sich umsetzen, indem die Person, die als externer Datenschutzbeauftragter benannt wird, nicht mehr beratend tätig ist, sondern – durch entsprechende Chinese Walls abgesichert – diese Aufgaben andere Mitarbeitende des externen Unternehmens  übernehmen.

Auch hier: Interessenkollision vermeiden

Zudem ist sicherzustellen, dass der externe Datenschutzbeauftragte nicht selbst in Interessenkonflikte gerät, weil er beispielsweise sowohl einen Auftraggeber als auch einen Auftragnehmer als externer Datenschutzbeauftragter berät.

Hier wird er jeweils im Einzelfall prüfen müssen, ob ein Interessenkonflikt vorliegt, bzw. bereits bei der Auswahl seiner Mandate mit Sorgfalt prüfen, welche Mandate er überhaupt annehmen kann. Hier empfiehlt sich eine Konzentration auf bestimmte Branchen wie die Krankenhausbranche oder Pharmahersteller.

Silvia C. Bauer

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.