Gratis
28. September 2017 - Datenschutzbeauftragter

Gilt eine vorhandene Bestellung zum DSB weiter?

Drucken

Sie sind – möglicherweise schon seit Jahren – zum Datenschutzbeauftragten (DSB) bestellt. Sie wissen, dass ab 25. Mai 2018 die DSGVO gilt. Ist es dann notwendig, Ihre Bestellung zu erneuern? Die Antwort darauf hat viele Facetten.

Kann eine alte DSB-Bestellung bestehen bleiben? Beim BDSG-alt zwingend nötig, unter der DSGVO empfehlenswert: eine schriftliche Benennung (Bild: Ridofranz / iStock / Thinkstock)

Art. 37 DSGVO schreibt für bestimmte Konstellationen erstmals europaweit die Bestellung eines Datenschutzbeauftragten vor. § 38 des neuen Bundesdatenschutzgesetzes (BDSG-neu) ergänzt diese Vorgabe.

Im Ergebnis verpflichten beide Regelungen zusammen immer zur Bestellung eines DSB, wenn das auch schon nach dem bisher geltenden BDSG der Fall war. Fast immer wird deshalb dann, wenn künftig ein Datenschutzbeauftragter vorgeschrieben ist, auch schon jetzt ein DSB vorhanden sein.

Die Frage ist nun: Was geschieht mit einem solchen DSB, wenn die Datenschutz-Grundverordnung ab 25. Mai 2018 gilt?

Grundsatz: Bestellung bleibt weiterhin gültig

Zunächst ist festzuhalten, dass eine jetzt vorhandene Bestellung auch nach dem 25. Mai 2018 unverändert gültig bleibt. Die Pflicht, jetzt nach den Vorgaben des geltenden Bundesdatenschutzgesetzes einen Datenschutzbeauftragten zu bestellen, und die entsprechende künftige Pflicht – entweder nach der DSGVO unmittelbar oder nach dem BDSG-neu – schließen zeitlich nahtlos aneinander an.

Zwar tritt das bisherige BDSG am 25. Mai außer Kraft (siehe Art. 8 Abs. 1 Satz 2 Datenschutz-Anpassungs- und -Umsetzungsgesetz EU). Das macht Rechtshandlungen, die auf der Basis des bisher geltenden BDSG vorgenommen wurden, aber nicht unwirksam. Das gilt auch für die Bestellung eines DSB.

Lückenloser Schutz gegen Abberufung

Der Schutz des DSB vor Abberufung besteht bei dieser Konstellation ohne zeitliche Unterbrechung. Der Abberufungsschutz ist nicht nur im jetzt noch geltenden BDSG enthalten (siehe § 4f Abs. 3 Satz 4 BDSG-alt). Auch die DSGVO(siehe dort Art. 38 Abs. 3 Satz 2) sowie das künftig geltende BDSG (siehe § 38 Abs. 2 BDSG-neu in Verbindung mit § 6 Abs. 4 Satz 1 BDSG-neu) sehen diesen Schutz vor.

Kein Recht zur „Sonderabberufung“

Schon bisher gibt es interne Datenschutzbeauftragte, die Mitarbeiter des Unternehmens sind, und externe Datenschutzbeauftragte, die aufgrund eines Dienstleistungsvertrags tätig sind.

Der Wunsch, einen vorhandenen internen DSB durch einen externen zu ersetzen, berechtigt nicht dazu, den vorhandenen Datenschutzbeauftragten mit Wirkung vom 25. Mai 2018 abzuberufen. Eine solche „Sonderabberufungsmöglichkeit“ sieht weder die DSGVO noch das BDSG-neu vor.

Ausgangspunkt: das vorhandene Bestellungsschreiben

Um festzustellen, ob eine schon vorhandene Bestellung zum DSB auch den Vorgaben von Art. 38 DSGVO bzw. § 38 BDSG genügt, nehmen Sie als DSB zunächst einmal das jetzt vorhandene Bestellungsschreiben zur Hand. Irgendwo muss es vorliegen, denn jedenfalls nach bisherigem Recht muss eine Bestellung schriftlich erfolgen (siehe § 4f Abs. 1 Satz 1 BDSG-alt).

Eine mündliche Bestellung kann es auf der Basis des jetzt noch geltenden BDSG-alt nicht geben.

Was tun, wenn das Bestellungsschreiben zum Datenschutzbeauftragten fehlt?

Existiert keine schriftliche Bestellung, ist derzeit keine rechtswirksame Bestellung zum DSB vorhanden. Üben Sie die Tätigkeit als Datenschutzbeauftragter in der Praxis trotzdem aus, thematisieren Sie die fehlende Bestellung nicht als besonderes Problem. Das bringt weder dem Unternehmen noch dem DSB etwas.

Vielmehr ist dann schlicht im Vorgriff auf die Zeit ab 25. Mai 2018 eine förmliche Bestellung empfehlenswert, die den zukünftig geltenden Vorgaben der Grundverordnung entspricht.

Benennungsmuster um Zusatz ergänzen

Hierzu könnte das Muster Verwendung finden, das in Datenschutz PRAXIS 09/2017 enthalten ist. Achten Sie darauf, dass das Muster dann jedoch vor „Ort und Datum“ um folgenden Zusatz ergänzt wird: „Bis zum 25. Mai 2018 gilt diese Benennung zum Datenschutzbeauftragten als Bestellung zum Beauftragten für den Datenschutz gemäß § 4 Abs. 1 Satz 1 BDSG.“

Bußgeld möglich

Auf keinen Fall sollte in einer solchen Situation eine Benennung erst zum 25. Mai 2018 erfolgen. Ansonsten liegt ein Verstoß gegen die Pflicht zur Bestellung eines Datenschutzbeauftragten vor. Das kann ein Bußgeldverfahren nach sich ziehen (Bußgeldtatbestand gemäß § 43 Abs. 1 Nr. 2 BDSG- alt, das ja noch gilt).

Oft wird ein Bestellungsschreiben, das vorhanden ist, nur sehr kurz sein. Typischer Text aus der Praxis: „Herr X. wird mit Wirkung vom … zum Datenschutzbeauftragten der Y-GmbH bestellt. Er hat die gesetzlichen Aufgaben des Datenschutzbeauftragten wahrzunehmen.“ In einem solchen Fall besteht zum 25. Mai 2018 kein zwingender Handlungsbedarf.

Bedeutung der praktischen Handhabung

Das mag zunächst überraschen, wurde doch in Datenschutz PRAXIS 09/2017 ein Muster für die Bestellung empfohlen, das deutlich umfangreicher ist. Dieses Muster geht jedoch davon aus, dass ein Datenschutzbeauftragter völlig neu bestellt wird. Das Muster will die Zweifelsfragen regeln, die dabei typischerweise auftreten.

Ist ein DSB jedoch schon länger tätig, stellen sich die meisten dieser Zweifelsfragen in der Praxis überhaupt nicht bzw. nicht mehr, weil sich Vieles schlicht schon eingespielt und etabliert hat.

Ein Beispiel: Die organisatorische Anbindung des DSB ist allen Beteiligten aufgrund der bisherigen praktischen Handhabung klar, obwohl das Bestellungsschreiben dazu kein Wort sagt. Ein weiteres Beispiel: Der DSB wird seit Jahren durch eine Sekretariatskraft unterstützt, weil das irgendwann einmal mündlich so vereinbart wurde. Dann ist auch das kein Diskussionspunkt mehr.

Wahrnehmung der gesetzlichen Aufgaben

Klar ist bei einem solchen sehr kurzen Bestellungsschreiben auch, welche Aufgaben der DSB wahrzunehmen hat. Es handelt sich im Augenblick um die gesetzlichen Aufgaben gemäß § 4g Abs. 1 Satz 1 BDSG-alt: „Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin.“

Konkrete Beispiele in § 4g Abs. 1 Satz 4 BDSG-alt erläutern diese Aufgaben näher. Künftig handelt es sich um die gesetzlichen Mindestaufgaben, die Art. 39 DSGVO auflistet.

Psychologische Elemente

Vor diesem Hintergrund ist es nicht zwingend notwendig, ein vorhandenes kurzes Bestellungsschreiben durch ein neues umfangreiches Bestellungsschreiben zu ersetzen. Selbstverständlich ist dies jedoch möglich. Es kann auch zumindest psychologisch sinnvoll sein, um allen Beteiligten noch einmal klarzumachen, dass ab 25. Mai 2018 ein „neues Zeitalter im Datenschutz“ gilt.

PRAXIS-TIPP: Merken Sie sich jetzt schon vor, dass Verantwortliche zum 25. Mai 2018 die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde mitteilen müssen (siehe Art. 37 Abs. 7 DSGVO).

Jetzt wäre dies noch verfrüht. Gehen Sie davon aus, dass die Aufsichtsbehörden rechtzeitig entsprechende elektronische Meldemöglichkeiten zur Verfügung stellen. Das sollten Verantwortliche abwarten.

Tückische Aufgabenkataloge

Überraschend kritisch kann es aussehen, wenn ein umfangreiches Bestellungsschreiben vorhanden ist. In der Vergangenheit wurde häufig empfohlen, die Aufgaben näher zu umschreiben, die der Datenschutzbeauftragte konkret wahrzunehmen hat.

Dabei sind unterschiedlichste Aufgabenkataloge entstanden. Verantwortliche sollten diese Kataloge daraufhin abgleichen, ob sie lückenlos alle Aufgaben gemäß Art. 39 DSGVO umfassen. In aller Regel ist das nicht der Fall.

Insbesondere die neue gesetzliche Pflichtaufgabe „Zusammenarbeit mit der Aufsichtsbehörde“ (siehe Art. 39 Abs. 1 Buchst. d DSGVO) wird kaum in einem Aufgabenkatalog enthalten sein.

Hier ist Vorsicht geboten: Bleibt der bisher vereinbarte Aufgabenkatalog hinter dem künftig gesetzlich geltenden Katalog zurück, besteht ein Defizit. Aus ihm lässt sich möglicherweise ableiten, dass keine ordnungsgemäße Benennung eines Daten­schutzbeauftragten vorliegt.

Bußgeldrisiko

Diese Gefahr sollten Verantwortliche angesichts des erheblichen Bußgeldrisikos (siehe Art. 83 Abs. 4 Buchst. a DSGVO)unbedingt vermeiden. In einem solchen Fall sollte ein Unternehmen im Zweifel lieber eine Erneuerung der Bestellung ab 25. Mai 2018 vornehmen und dabei das Muster aus der September-Ausgabe der Datenschutz PRAXIS zugrunde legen.

Das Muster finden Abonnenten auch online als Word-Dokument unter http://dspraxis.de/musterdsb.

Zusammenfassung: Erneuerung nicht in allen Fällen nötig

Zusammenfassend lässt sich somit sagen: Es ist auf keinen Fall falsch, eine schon vorhandene Bestellung zum DSB zum 25. Mai 2018 ausdrücklich zu erneuern. Es ist jedoch nicht in allen Fällen nötig. Und immer gilt: Es genügt nicht, dass ein Datenschutzbeauftragter formal bestellt ist. Vielmehr muss er seine Aufgaben auch tatsächlich wahrnehmen.

Dr. Eugen Ehmann
Dr. Ehmann ist Regierungsvizepräsident von Mittelfranken (Bayern) und befasst sich seit vielen Jahren mit Datenschutz-Themen.