Gratis
23. März 2017 - Neue Schwerpunkte

DSGVO: Die Aufgaben des Datenschutzbeauftragten (DSB)

Viele Datenschutzbeauftragte fragen sich, ob die Datenschutz-Grundverordnung (DSGVO) etwas an den Aufgaben ändert, die sie zu erfüllen haben. Die Antwort lautet: Im Prinzip zwar nicht, aber … Denn völlig neue Anforderungen wie die Datenschutz-Folgenabschätzung werfen Fragen auf, die sich bisher nicht gestellt haben. Die Darstellung konzentriert sich auf die Pflichtaufgaben, die ein Datenschutzbeauftragter in jedem Fall erfüllen muss, und auf die Haftungsfrage.

Was sind die Aufgaben des DSB nach der DSGVO? Die Schwerpunkte bei den Aufgaben des Datenschutzbeauftragten werden sich etwas verlagern (Bild: PantherMedia / Markus Mainka)

Bekanntlich legt die DSGVO für bestimmte Konstellationen unmittelbar die Pflicht fest, einen DSB zu benennen (Art. 37 Abs. 1 DSGVO). Die Mitgliedstaaten haben die Befugnis, darüber hinaus die Benennung eines DSB vorzuschreiben (Art. 37 Abs. 4 DSGVO). Das ist im noch geltenden BDSG geschehen (§ 4f BDSG) und so auch im künftigen „BDSG-neu“ vorgesehen (§ 38).

Identische Aufgaben für alle DSB

Für die Aufgaben, die ein Datenschutzbeauftragter zu erfüllen hat, macht es keinerlei Unterschied, aufgrund welcher Regelung er bestellt wurde. Seine Aufgaben ergeben sich in beiden Konstellationen unmittelbar aus der DSGVO. Sie stellt beide Arten von DSB ohne jeden Unterschied nebeneinander und gibt dem nationalen Gesetzgeber keine Befugnis, die Aufgaben selbst zu regeln.

Das zeigt ein Blick in Art. 37 Abs. 4 DSGVO einerseits (Nebeneinander von DSB „nach dem Recht der Union oder der Mitgliedstaaten“ bei der Benennung eines DSB) und Art. 39 DSGVO andererseits (keine Unterscheidung zwischen beiden Arten bei den Aufgaben).

Vermeidung von Interessenkonflikten

Grundlegend ist die Unterscheidung der DSGVO zwischen den dort geregelten Aufgaben und Pflichten und anderen Aufgaben und Pflichten, die er außerdem wahrnimmt. Art. 38 Abs. 6 Satz 1 DSGVO hält als Ausgangspunkt fest: „Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen.“

Zugleich ordnet Art. 38 Abs. 6 Satz 2 DSGVO allerdings Folgendes an: „Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“

Leitlinien der Gruppe nach Art. 29

Damit wird sich eine Diskussion fortsetzen, die bisher anhand des Stichworts „Zuverlässigkeit des DSB“ im Rahmen von § 4f Abs. 2 Satz 1 BDSG geführt wurde. Sie lief im Ergebnis darauf hinaus, dass nahezu jede andere Funktion von irgendjemand in der Rechtsliteratur für unvereinbar mit der Funktion des DSB gehalten wurde.

Künftig wird man sich v.a. an den „Leitlinien für Datenschutzbeauftragte“ der Gruppe nach Art. 29 (Working Paper 243) zu orientieren haben. Ziffer 3.5 dieses Papiers behandelt die Frage ausführlich und hebt dabei u.a. Folgendes hervor:

  • Ausgangspunkt ist die Überlegung, dass ein DSB nicht zugleich eine Position im Unternehmen inne haben darf, die dazu führt, dass er die Zwecke und/oder die Mittel der Verarbeitung personenbezogener Daten festlegen kann oder muss („The DPO cannot hold a position within the organisation that leads him or her to determine the purposes and the means of the processing of personal data“).
  • Wegen der unterschiedlichen organisatorischen Strukturen ist dabei eine Einzelfallbetrachtung erforderlich.
  • Bei internen und externen Datenschutzbeauftragten ist zu berücksichtigen, dass Interessenkonflikte unterschiedliche Aspekte aufweisen können („It should also be borne in mind that conflicts of interest may take various forms depending on whether the DPO is recruited internally or externally“).
  • Als Faustregel hält Fußnote 34 des Papiers fest, dass nicht miteinander vereinbare Aufgaben („conflicting positions“) v.a. anzunehmen sind, wenn der DSB eine der Leitungsfunktionen im Unternehmen („senior management positions“) wahrnimmt. Als Beispiel sind etwa die Leitung des Marketing oder des Personalwesens genannt. Bei ihnen geht das Papier davon aus, dass der Stelleninhaber Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.
  • Generell, besonders aber vor einer Ausschreibung der Stelle des DSB, empfiehlt das Papier, die Funktionen („positions“) zu ermitteln und zu benennen, bei denen aufgrund der konkreten Gegebenheiten im Unternehmen von einem Interessenkonflikt auszugehen wäre.

Guideline und FAQs

Weitere Klarheit über die Aufgaben des Datenschutzbeauftragter wird die endgültige Fassung der „Guidelines on Data Protection Officers (‚DPOs‘)“ bringen. Der Entwurf, den die Gruppe nach Art. 29 am 13. Dezember 2016 angenommen hat, ist abrufbar unter http://ogy.de/guideline-dpo (bis Redaktionsschluss nur auf Englisch verfügbar). Er wird ergänzt durch „Häufige Fragen“, abrufbar unter http://ogy.de/faq-dpo (ebenfalls nur auf Englisch verfügbar).

Die englische Abkürzung DPO (für „Data Protection Officer“) ist gleichbedeutend mit der in Deutschland üblichen Abkürzung DSB.

Deutlich anderer Ansatz als bisher

Diese Ansätze weichen deutlich von dem bisher in Deutschland üblichen Vorgehen ab. Die Diskussion wurde hier in der Regel abstrakt anhand der Frage geführt, welche Funktionen generell als unvereinbar mit den Aufgaben eines DSB erscheinen.

Der Hinweis, dass es außerdem stets auf den Einzelfall ankomme, wurde dabei zwar jeweils angefügt. Er führte aber letztlich nie zu einer Abweichung vom generell gefundenen Ergebnis. Er hatte eher die Funktion einer Art „Angstklausel“. Sie sollte verhindern, dass ein seltener Einzelfall, bei dem das generelle Ergebnis ganz offensichtlich nicht passend schien, dieses Ergebnis insgesamt infrage stellt.

Künftig ist umgekehrt zunächst vom Einzelfall und von der Situation im konkreten Unternehmen auszugehen.

Drei Blöcke von Pflichtaufgaben

Die Pflichtaufgaben eines Datenschutzbeauftragten nach der DSGVO lassen sich in drei Blöcke gliedern:

  1. interne Aufgaben im Unternehmen
  2. Funktion im Verhältnis zur Aufsichtsbehörde
  3. Funktion als Anlaufstelle für betroffene Personen

Risikoorientierung der Tätigkeit

Dabei obliegt es dem Datenschutzbeauftragten, seine Tätigkeitsschwerpunkte danach auszurichten, welches Risiko mit Verarbeitungsvorgängen verbunden ist (siehe Art. 39 Abs. 2 DSGVO). Hier findet seine Unabhängigkeit rechtlich gesehen eine Grenze.

Ausdrücklich erscheint der Begriff der „Unabhängigkeit“ in der DSGVO selbst übrigens nicht, wohl aber in Erwägungsgrund 97, letzter Satz. Explizit festgelegt ist in der DSGVO lediglich, dass der Datenschutzbeauftragte bezüglich der Ausübung seiner Aufgaben keine Anweisungen erhalten darf (siehe Art. 38 Abs. 3 Satz 1 DSGVO).

Aus all dem folgt rechtlich gesehen nicht, dass ein DSB „tun kann, was er will“. Vielmehr hat er die Pflicht zu einem risikoorientierten Vorgehen. Wie er dies konkret umsetzt, liegt dabei in seiner eigenen Verantwortung.

1.         Drei interne Hauptaufgaben im Unternehmen

Hinsichtlich der internen Aufgaben im Unternehmen vermeidet die DSGVO einen umfassenden Aufgabenkatalog. Vielmehr legt sie lediglich drei interne Hauptaufgaben fest:

Unterrichtung und Beratung

Art. 38 Abs. 1 Buchst. a fordert die Unterrichtung und Beratung des Verantwortlichen bzw. des Auftragsverarbeiters. Dazu gehört, die Beschäftigten, die Verarbeitungen durchführen, zu unterrichten und zu beraten.

Überwachung der Einhaltung von Vorgaben

Art. 38 Abs. 1 Buchst. b verlangt die Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union (etwa der ePrivacy-Richtlinie 2002/58/EG) und der Datenschutzvorschriften der Mitgliedstaaten wie etwa des „BDSG-neu“.

Als eine wichtige Unteraufgabe zu dieser Hauptaufgabe benennt die DSGVO die Überwachung, ob der Verantwortliche unternehmensinterne Strategien für den Schutz personenbezogener Daten einhält. Das geschieht gleichrangig mit der Überwachung der Einhaltung der DSGVO. Darin kommt die besondere Verantwortung des für die Verarbeitung Verantwortlichen zum Ausdruck, die Art. 24 DSGVO hervorhebt. Denn die DSGVO verzichtet darauf, die Zulässigkeit einer Verarbeitung bis ins Detail zu regeln.

Hinzu kommen die Sensibilisierung und Schulung von Mitarbeitern und damit verbundene Überprüfungen.

Sonderproblem: Datenschutz-Folgenabschätzung

Eine interne Hauptaufgabe, die der DSB erst auf Anfrage (gemeint: des Verantwortlichen für die Verarbeitung oder Auftragsverarbeiters) wahrnehmen muss, ist die Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung (siehe Art. 39 Abs. 1 Buchst. c DSGVO).

Die Formulierung „auf Anfrage“ bedeutet nicht, dass der Verantwortliche oder Auftragsverarbeiter den DSB bei der Datenschutz-Folgenabschätzung außen vor lassen könnte. Er hat vielmehr ausdrücklich die Pflicht, bei der Durchführung einer Datenschutz-Folgenabschätzung „den Rat des Datenschutzbeauftragten“ einzuholen (siehe Art. 35 Abs. 2 DSGVO).

Gleichzeitig ist er verpflichtet, ihn „ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen“ einzubinden (Art. 38 Abs. 1 DSGVO).

Daher dürfte die Formulierung „auf Anfrage“ im Ergebnis keine zeitliche Verzögerung bei der Einbindung des DSB bewirken. Sie hindert ihn nur daran, sich von sich aus in den Prozess der Datenschutz-Folgenabschätzung einzuschalten.

Ziffer 4.2 des Working Paper 243 macht – nicht verbindliche – Vorschläge, wie die Einbindung des DSB konkret aussehen könnte.

2.         Verhältnis zur Aufsichtsbehörde

Gleich zweifach hebt die DSGVO die Funktion des DSB im Verhältnis zur Aufsichtsbehörde hervor:

  • 39 Abs. 1 Buchst. e DSGVO spricht ausdrücklich davon, dass er „Anlaufstelle für die Aufsichtsbehörde“ sein solle. Die angeführten Beispiele zeigen, dass dies umfassend zu verstehen ist.
  • 39 Abs. 1 Buchst. d verpflichtet den DSB zur „Zusammenarbeit mit der Aufsichtsbehörde“.

Bei diesen Vorschriften handelt es sich nicht um überflüssige Parallelregelungen. Vielmehr unterscheiden sie danach, von wem der Kontakt ausgeht. Bei der „Zusammenarbeit mit der Aufsichtsbehörde“ wird der DSB gegenüber der Aufsichtsbehörde aktiv. Fungiert er dagegen als „Anlaufstelle“, meint die DSGVO damit, dass die Aufsichtsbehörde den DSB anspricht.

3.         Ansprechpartner für Betroffene

Relativ stark betont die DSGVO die Funktion des Datenschutzbeauftragten als Anlaufstelle für Betroffene (in der Sprache der DSGVO: „betroffene Personen“). Das zeigt sich in zweierlei Hinsicht:

Betroffene haben das Recht, den DSB zu allen Fragen „zu Rate zu ziehen“, die mit „der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte“ gemäß der DSGVO im Zusammenhang stehen (Art. 38 Abs. 4 DSGVO). Der Begriff „zu Rate ziehen“ sollte dabei nicht überinterpretiert werden. Er führt nicht dazu, dass der DSB zu einer Art „Beratungsbüro für Betroffene“ wird.

In der englischen Fassung der DSGVO ist die Rede von „to contact“, in der französischen Fassung von „prendre contact“, die niederländische Fassung spricht von „contact opnemen“. Alle diese Formulierungen werden üblicherweise schlicht mit „Verbindung aufnehmen“ oder „sich wenden an“ übersetzt.

Damit Betroffene diese Kontaktmöglichkeit nutzen können, muss der Verantwortliche bzw. der Auftragsverarbeiter die „Kontaktdaten des Datenschutzbeauftragten“ veröffentlichen (siehe Art. 37 Abs. 7 DSGVO). Working Paper 243 hält hierzu unter Ziffer 2.5 Folgendes fest:

(a) Der Name des DSB muss nicht zwingend veröffentlicht werden, mag dies auch als „gute Praxis“ anzusehen sein.

(b) Notwendig sind eine Postanschrift, ferner eine eigene spezielle Telefonnummer („dedicated telephone number“) und eine eigene spezielle Mail-Adresse. Nicht ausreichend wäre es also, etwa eine allgemeine Telefonnummer im Unternehmen anzugeben und dem Betroffenen zuzumuten, sich von dort aus weiter verbinden zu lassen. Alternative Angebote, Kontakt aufzunehmen, sind denkbar. Hier erwähnt Working Paper 243 insbesondere ein spezielles Kontaktformular auf der Webseite des Unternehmens.

Neues Haftungsrisiko für den Datenschutzbeauftragten?

Die Aufgabe des Datenschutzbeauftragten, die Einhaltung der DSGVO und anderer Vorschriften „zu überwachen“ (siehe Art. 39 Abs. 1 Buchst. b), hat bereits zu ersten Diskussionen darüber geführt, ob damit neue Haftungsrisiken verbunden sind.

Working Paper 243 sieht das nicht so. Zunächst hebt es hervor, dass ein DSB über keine verbindlichen Entscheidungsbefugnisse verfügt (siehe Ziffer 3.3 des Papiers). Dann sagt es ganz klar: „Überwachung der Einhaltung bedeutet nicht, dass es der DSB ist, der persönlich verantwortlich wäre, wenn ein Fall der Nichteinhaltung vorliegt.“ („Monitoring of compliance does not mean that it is the DPO who is personally responsible where there is an instance of non-compliance.“)

Diese Interpretation stützt Erwägungsgrund 97. Danach soll der Datenschutzbeauftragte den Verantwortlichen bzw. den Auftragsverarbeiter lediglich „unterstützen“. Das passt auch zu Art. 24 DSGVO („Verantwortung des für die Verarbeitung Verantwortlichen“).

Vor diesem Hintergrund sprechen gute Gründe dafür, dass die Auffassung der Gruppe nach Art. 29 auch vor deutschen Gerichten Bestand haben wird.

Dr. Eugen Ehmann

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln