Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Stellung des Datenschutzbeauftragten

Die Stellung von Datenschutzbeauftragten (DSB) ist geprägt durch Unabhängigkeit. Daher darf ihnen beispielsweise die Geschäftsführung keine Weisungen erteilen. Das umfasst auch die Art und Weise, wie ein Datenschutzbeauftragter Beschwerden bearbeitet oder mit den Aufsichtsbehörden für den Datenschutz kommuniziert.

Datenschutzbeauftragte sind also in ihrer fachlichen Tätigkeit weisungsfrei und dürfen auch bei unpopulären Stellungnahmen und Vorschlägen nicht benachteiligt werden. Denn Datenschutzbeauftragte haben eine gesetzliche Aufgabe – und wenig Macht, ihre Erfüllung durchzusetzen. Um zu überzeugen, müssen sie Fachkenntnisse im Datenschutz und soziale Kompetenz geschickt kombinieren.

➜ Mehr zur Stellung des Datenschutzbeauftragten

DP+
Vorlageverfahren beim EuGH sind enorm wichtig
Bild: Gerichtshof der Europäischen Union
Vorlageverfahren beim EuGH (Teil 1)

Bei der Auslegung der DSGVO gibt es noch viele Unklarheiten. Jedes Gericht kann dem Europäischen Gerichtshof dazu Fragen vorlegen. In diesem Beitrag beleuchten wir zwei Vorlageverfahren zur persönlichen Stellung von betrieblichen Datenschutzbeauftragten.

Aufgaben und Stellung von Datenschutzbeauftragten

DSB sollen beraten, überwachen und als Ansprechpartner für die Aufsicht dienen. Diese Aufgaben haben eher strategischen Charakter. In der betrieblichen Realität kommen oft operative Aufgaben hinzu. Welche Tätigkeiten können DSB übernehmen und welche nicht?

Wie ist das Verhältnis von DSGVO und BDSG?

Das BDSG gewährt allen betrieblichen Datenschutzbeauftragten (DSB) einen besonderen Schutz vor Kündigung. Die DSGVO schweigt zu diesem Thema. Darf das BDSG dann einen besonderen Kündigungsschutz überhaupt vorsehen? Der Europäische Gerichtshof (EuGH) gibt darauf eine eindeutige Antwort, mit einer überraschenden Differenzierung ganz am Ende.

Die Stellung der internen Datenschutzbeauftragten wurde deutlich gestärkt! Mit dem Urteil vom 22. Juni 2022 wurde der Sonderkündigungsschutz bestätigt.
Bild: Stadtratte / iStock / Getty Images Plus
Arbeitsrecht

Ist der besondere Kündigungsschutz für betriebliche Datenschutzbeauftragte, der im Bundesdatenschutzgesetz (BDSG) verankert ist, mit dem Recht der Europäischen Union vereinbar? Ja, er ist europarechtskonform – das hat der Europäische Gerichtshof (EuGH) mit seinem Urteil vom 22. Juni 2022 entschieden und damit die Stellung der internen Datenschutzbeauftragten deutlich gestärkt.

DP+
Tun sich DSB und Compliance Officer zusammen, kann dies zu erheblichen Synergieeffekten führen
Bild: iStock.com / sefa ozel
Unterschiede & Gemeinsamkeiten

In einigen Unternehmen gibt es sowohl einen Datenschutzbeauftragten als auch einen Compliance Officer. Wer macht was, wie lassen sich die Aufgaben abgrenzen, in welchem Verhältnis stehen sie zueinander?

Empfehlungen aus der Praxis

Die Hauptaufgabe von DSB ist es, zu beraten und zu überwachen. In größeren Unternehmen ist es sinnvoll, weitere Aufgaben zu übernehmen und ein Team weiterzuführen oder aufzubauen, das dabei unterstützt. Angesichts der Themenvielfalt gilt es, den Überblick zu behalten. Geeignete Prozesse und Tools helfen hier bei der Organisation, um Arbeitsabläufe zu vereinfachen.

Stellung des DSB

Unternehmen, die am Markt die Dienstleistung „externer Datenschutzbeauftragter“ anbieten, brauchen typischerweise Juristen. Ist es erlaubt, dass diese Juristen einerseits in einem Arbeitsverhältnis stehen, andererseits als Rechtsanwalt zugelassen sind? Das ist nur scheinbar eine ganz spezielle Frage. Letzten Endes geht es darum, wer den Markt „externer Datenschutzbeauftragter“ unter sich aufteilen darf.

Im Gespräch mit Regina Mühlich

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. hat kürzlich, im April 2021, ein Positionspapier veröffentlicht, in dem er seine Position vertritt, nämlich dass die Tätigkeit der Datenschutzbeauftragten nicht im Konflikt mit dem Rechtsdienstleistungsgesetz steht. Über die genauen Hintergründe haben wir mit Regina Mühlich, Vorstandsmitglied des BvD, in einer Sonderfolge unseres Podcasts gesprochen.

DP+
Was sollten DSB für sich selbst dokumentieren?
Bild: iStock.com / Olga Kurbatova
Keine Dokumentations-Pflicht, aber empfehlenswert

DSB unterrichten, beraten, prüfen, überwachen und kontrollieren. Daneben sind sie Anlaufstelle für die Aufsichtsbehörden. Sinnvoll ist es, all diese Tätigkeiten zu dokumentieren – auch aus Haftungsgründen. Fraglich ist, wie umfangreich diese Dokumentation sein muss.

DP+
Abberufung eines DSB wegen Pflichtverletzungen
Bild: iStock.com / AndreyPopov
Zuverlässigkeit und Fachkunde

Angenommen, der DSB übersieht etwas beim Datenschutz. Kann das eine schuldhafte Pflichtverletzung sein, die seine Abberufung rechtfertigt? Und angenommen, er macht bei seinen Aufgaben außerhalb des Datenschutzes einen Fehler. Kann das zur Abberufung als DSB führen?

1 von 3

Die Stellung des Datenschutzbeauftragten ermöglicht direkte Adressierung der Geschäftsleitung

Die Umgehung jeglicher Hierarchiestufen soll es dem Datenschutzbeauftragten ermöglichen, ohne Kompetenz- und Kommunikationsschwierigkeiten betriebliche Datenschutzfragen direkt bei der Leitung der verantwortlichen Stelle zu platzieren. Er kann so notwendige Maßnahmen empfehlen und auf mögliche Datenschutz-Verstöße hinweisen, um Schaden vom Unternehmen oder von der Behörde abzuwenden.

Die Weisungsfreiheit bietet ihm die ausdrücklich geforderte Unabhängigkeit. Das Benachteiligungsverbot sichert die neutrale Ausübung seiner Tätigkeit.

Weisungsfreiheit nach DSGVO bzw. BDSG

Das Datenschutzrecht sieht eine entsprechende Weisungsfreiheit in Art. 38 Abs. 3 Datenschutz-Grundverordnung (DSGVO) für nichtöffentliche Stellen bzw. § 6 Abs. 3 Bundesdatenschutzgesetz (BDSG) für öffentliche Stellen, die in den Anwendungsbereich des BDSG fallen, vor. Die Landesrechte sehen dies entsprechend für weitere öffentliche Stellen vor.

Danach darf der Verantwortliche einem Datenschutzbeauftragten keine Weisungen erteilen, um seine absolute Unabhängigkeit sicherzustellen.

Gleichwohl hat der Datenschutzbeauftragte nur die Rechte und Pflichten, die ihm im Rahmen seiner Aufgabenerfüllung zustehen, das heißt er darf beispielsweise nach Art. 39 DSGVO die Einhaltung der Verordnung prüfen (Überwachungspflichten), er muss den Verantwortlichen beraten und er ist frei im Rahmen der Datenschutzschulung der Mitarbeiter.

Sofern der Datenschutzbeauftragte eine abweichende Meinung bei der Einschätzung von datenschutzrechtlichen Risiken einer Verarbeitung vertritt, steht es dem Unternehmen grundsätzlich frei, gleichwohl die Verarbeitung so durchzuführen, wie es sie für richtig hält.

In diesem Fall kann der Datenschutzbeauftragte allerdings seine Auffassung dokumentieren und gegenüber der Geschäftsführung schriftlich kundtun.

Benachteiligungsverbot und Kündigungsschutz

Zudem legt Art. 38 Abs. 3 DSGVO ein ausdrückliches Benachteiligungsverbot von Datenschutzbeauftragten fest (ergänzt durch § 6 Abs. 3, 4 BDSG und § 38 Abs. 2 BDSG für nichtöffentliche Unternehmen bzw. die jeweiligen Landesrechte): Neben der Abberufung ist es untersagt, den Datenschutzbeauftragten beispielsweise nicht zu befördern oder ihm den Bonus zu verweigern – allerdings nur dann, wenn dies im Zusammenhang mit der Erfüllung seiner Aufgaben steht bzw. auf deren Erfüllung zurückzuführen ist. Offen bleibt, ob und wie ein Datenschutzbeauftragter einen entsprechenden Nachweis in der Praxis führen kann.

Erst kürzlich hat der Europäische Gerichtshof zudem den besonderen Kündigungsschutz für Datenschutzbeauftragte bestätigt.

Datenschutzbeauftragter: Stellung ohne Mittel?

Die DSGVO verpflichtet in Art. 38 Abs. 2 bzw. das BDSG in § 6 Abs. 2 Verantwortliche bzw. Auftragsverarbeiter, ihre Datenschutzbeauftragten angemessen zu unterstützen. Dabei sind dem Datenschutzbeauftragten „insbesondere“ Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen.

Wie umfangreich die Ausstattung sein soll, richtet sich nach dem jeweiligen Umfang der Datenverarbeitung bzw. den Risiken für die betroffenen Personen: Je höher die Datenschutz-Risiken, desto mehr Aufwand wird entstehen, den das Unternehmen übernehmen muss.

Arbeitszeit und eine angemessene Ausstattung

Umfasst ist auch eine ausreichende Arbeitszeit. Datenschutzbeauftragte müssen also gegebenenfalls von anderen Tätigkeiten entlastet werden. Darüber hinaus brauchen sie eventuell zusätzliches Personal für Sekretariat und Sachbearbeitung.

Falls erforderlich, ist die Ausstattung der Räume mit abschließbaren Schränken, mit PC-Equipment und Telefonanbindung aufzustocken. Die Anbindung ans Internet und – wenn vorhanden – auch an das Intranet sollte zur Verfügung gestellt werden. Gleiches gilt für Zugriffe auf relevante Systeme, die er regelmäßig zu prüfen hat wie das HR-System.

In jedem Fall ist es notwendig, dass er über ein eigenes Büro verfügt, in dem er betroffene Personen, die sich ja jederzeit in Fragen des Datenschutzes an ihn wenden können, empfangen kann.

Kosten für die Weiterbildung müssen übernommen werden

Mittel zur Verfügung stellen bedeutet in diesem Zusammenhang, Kosten zu übernehmen, z.B. für Datenschutz-Lehrgänge und Seminare, insbesondere zur ständigen Weiterbildung.

Dazu kommt: Bekanntmachung und Datenschutzmanagement

Teil der Ausstattung ist auch die Unterstützung des Datenschutzbeauftragten hinsichtlich seiner Bekanntmachung im Unternehmen. Hier sollte ihm das Unternehmen die Möglichkeit geben, sich selbst etwa durch ein Rundschreiben gegenüber den Mitarbeitenden bekannt zu machen und sich zu präsentieren. Dies kann auch einen eigenen Intranet-Auftritt umfassen.

Zudem sollte die Geschäftsführung ihn bei der Umsetzung datenschutzrechtlicher Compliance unterstützen und ihm etwa durch die Benennung von Datenschutzverantwortlichen entgegenkommen, die ihm in den einzelnen Abteilungen zuarbeiten bzw. ihn durch entsprechende Vorgaben, Richtlinien etc. bei der Akzeptanz des Datenschutzes im Unternehmen unterstützen.

Interessenkonflikte

Die unabhängige Stellung setzt auch voraus, dass Datenschutzbeauftragte keinen Interessenkonflikten ausgesetzt sind. Dazu gehört, dass Datenschutzbeauftragte neben ihrer Tätigkeit als Datenschutzbeauftragte keine weiteren Funktionen haben dürfen, die damit kollidieren.

Zudem sieht die DSGVO ausdrücklich in Art. 38 Abs. 6 vor, dass Datenschutzbeauftragte zwar andere Aufgaben erfüllen dürfen. Doch das darf nicht dazu führen, dass die Aufgaben und Pflichten daraus zu einer Interessenkollision führen. Entsprechendes gilt nach § 7 Abs. 2 BDSG.

Die Stellung von internen Datenschutzbeauftragten

Hauptamtlicher Datenschutzbeauftragter

Bei einem hauptamtlich tätigen Datenschutzbeauftragten, der keine weiteren Funktionen wahrnimmt, sind derartige Interessenkollisionen nicht denkbar. Es gibt keine andere Aufgabe, mit der seine Pflichten kollidieren könnten.

Teilzeit-Datenschutzbeauftragter

Häufig benennen Unternehmen und Behörden Datenschutzbeauftragte allerdings nicht als Vollzeit-Datenschutzbeauftragte, sondern die DSB nehmen daneben noch andere Aufgaben wahr. Hier ist sicherzustellen, dass die erforderliche Unabhängigkeit des Datenschutzbeauftragten gewahrt wird.

Lesen Sie hier, welche arbeitsrechtlichen Folgen es hat, wenn ein Arbeitgeber die Bestellung eines „Teilzeit-DSB“ widerruft. Und: Ist ein solcher Widerruf möglich, obwohl der DSB schon seit 15 Jahren dienstliche Aufgaben wahrnimmt, die zu einer Interessenkollision führen?

Nicht vereinbare Funktionen

Aus dem Merkmal der Zuverlässigkeit eines internen Datenschutzbeauftragten lässt sich ableiten, dass bestimmte Funktionen im Unternehmen mit der Funktion des Datenschutzbeauftragten nicht zu vereinbaren sind.

Das ist naturgemäß die Geschäftsführung eines Unternehmens, da sie als Vertretung der verantwortlichen Stelle die organisatorische Einrichtung ist, an die der Datenschutzbeauftragte berichtet, Art. 38 Abs. 3 DSGVO, § 6 Abs. 3 BDSG.

Daneben sind weitere Stellen ausgenommen. Wird z.B. ein IT-Leiter als Datenschutzbeauftragter tätig, müsste er selbst kontrollieren, ob ein umfassendes Monitoring von Mitarbeitenden, das er in seiner Funktion als IT-Leiter durchführen möchte, tatsächlich datenschutzrechtlich zulässig ist. Hier ist nicht auszuschließen, dass er seine Entscheidungen nicht mehr völlig unabhängig trifft, sondern sich aus seiner Position als IT-Leiter heraus zu einer datenschutzrechtlich bedenklichen Entscheidung verleiten lässt.

Gleiches gilt nach Auffassung der Datenschutz-Aufsichtsbehörden für Leiter der Personalabteilung, Geldwäschebeauftragte, Betriebsleiter, Revision, Rechtsabteilung und den Betriebsrat.

Führungskräfte

Führungskräfte in leitenden Positionen oder gar leitende Angestellte scheiden für die Benennung als Datenschutzbeauftragter aus. Sie müssen die ihnen übertragenen Aufgaben im Interesse der verantwortlichen Stelle wahren.

Mitarbeiter der EDV-Abteilung, der Rechtsabteilung und / oder der Personalabteilung, selbst wenn sie über ausreichende Fachkenntnisse der jeweiligen anderen Bereiche verfügen sollten, sind oftmals in ihrem jeweiligen speziellen Aufgabengebiet zu stark eingebunden und müssen bestimmte Interessen des Verantwortlichen wahren. Sie können daher in der Regel den Anforderungen der Datenschutzvorschriften an die Unabhängigkeit nicht in vollem Umfang genügen.

Betriebsrat

Auf keinen Fall sollte die Position des betrieblichen Datenschutzbeauftragten in Personalunion mit Betriebsratstätigkeit oder gar Betriebsratsvorsitz ausgeübt werden. Betriebsräte sind einseitig verpflichtet, Arbeitnehmerinteressen zu vertreten, und können daher nicht unabhängig agieren.

Andere Beauftragte

Auch die Kombination mit den Aufgaben von anderen Beauftragten, etwa für Gefahrgut, Arbeitsschutz oder Umweltschutz, sollte geprüft werden. Es kommt hier sicher ganz besonders auf die Persönlichkeit des Einzelnen an, ob er in kleinen und mittleren Unternehmen den Datenschutz mit übernehmen kann.

Kein geeigneter interner Kandidat?

Im Einzelfall kann das Problem auftreten, dass auf der Basis der vorstehenden Kriterien kein geeigneter interner Kandidat übrigbleibt. Dann besteht die Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen.

Die Stellung eines externen Datenschutzbeauftragten

Konflikte aus Beratertätigkeit

Interessenkonflikte können allerdings auch bei einem externen Datenschutzbeauftragten auftreten. Dies kann etwa gelten, wenn eine Rechtsanwältin, ein Wirtschaftsprüfer oder eine Unternehmensberaterin bereits umfassend für einen Verantwortlichen tätig ist.

Hier ist sicherzustellen, dass die Beratung klar von der Tätigkeit als DSB abgegrenzt wird. Das lässt sich umsetzen, indem die Person, die als externer Datenschutzbeauftragter benannt wird, nicht mehr beratend tätig ist, sondern – durch entsprechende Chinese Walls abgesichert – diese Aufgaben andere Mitarbeitende des externen Unternehmens  übernehmen.

Auch hier: Interessenkollision vermeiden

Zudem ist sicherzustellen, dass der externe Datenschutzbeauftragte nicht selbst in Interessenkonflikte gerät, weil er beispielsweise sowohl einen Auftraggeber als auch einen Auftragnehmer als externer Datenschutzbeauftragter berät.

Hier wird er jeweils im Einzelfall prüfen müssen, ob ein Interessenkonflikt vorliegt, bzw. bereits bei der Auswahl seiner Mandate mit Sorgfalt prüfen, welche Mandate er überhaupt annehmen kann. Hier empfiehlt sich eine Konzentration auf bestimmte Branchen wie die Krankenhausbranche oder Pharmahersteller.

Silvia C. Bauer

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.