Gratis
21. Februar 2017 - Neue entscheidende Details

Die Stellung des DSB in der Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO) sichert die Stellung des betrieblichen Datenschutzbeauftragten, und zu Sorgen besteht kein Anlass. So hört man es oft, und das trifft auch zu – jedenfalls im Prinzip. Eine Orientierungshilfe der Gruppe nach Art. 29 vom 13. Dezember 2016 zeigt jedoch, dass sich trotzdem einige neue Perspektiven ergeben. Jeder DSB sollte sich damit befassen. Sonst läuft er Gefahr, persönliche Chancen nicht zu erkennen und sie zu versäumen.

Neues zur Stellung des DSB in der DSGVO Die DSGVO bietet neue Chancen für interne und externe Datenschutzbeauftragte (Bild: sooyon / iStock / Thinkstock)

Für einen betrieblichen Datenschutzbeauftragten (nachfolgend: DSB) in Deutschland, der jetzt schon bestellt ist, ändert die DSGVO vordergründig zunächst einmal nichts. Er ist vor ihrer Geltung ab 25. Mai 2018 DSB und bleibt es danach. Die Frage, ob Unternehmen künftig auch in anderen EU-Mitgliedstaaten einen Datenschutzbeauftragten bestellen müssen, spielt für ihn deshalb scheinbar keine Rolle. Bei näherem Betrachten sieht das jedoch etwas anders aus.

Zwei unterschiedliche Konstellationen

Die DSGVO unterscheidet zwei Konstellationen, bei denen ein DSB benannt werden muss:

  • In allen Mitgliedstaaten besteht die Pflicht, einen DSB zu benennen, in den Fällen, die Art. 37 Abs. 1 DSGVO aufführt. Diese Pflicht ergibt sich dann bereits aus der Grundverordnung selbst. Auf nationales Recht kommt es daneben nicht an.
  • Nur in den Mitgliedstaaten, die dies vorsehen, kann auch für andere Konstellationen die Benennung eines DSB vorgeschrieben werden. So sieht es Art. 37 Abs. 4 Satz 2 DSGVO vor. Diese Pflicht ergibt sich dann aus dem nationalen Recht.

Beide Konstellationen ergänzen einander. Nach der Denkweise der DSGVO überschneiden sie sich nicht. Entweder ergibt sich die Pflicht zur Benennung aus der Grundverordnung selbst oder aus dem nationalen Recht.

Diese Betrachtung wirkt auf den ersten Blick eher theoretisch. Denn zumindest in Deutschland muss auch schon nach bisherigem nationalem Recht in allen Fällen, die Art. 37 Abs. 1 DS-GVO nennt, ein DSB vorhanden sein.

Insofern – so scheint es – kann es zumindest einem schon vorhandenen DSB gleichgültig sein, auf welcher rechtlichen Basis seine Bestellung obligatorisch ist.

Besondere Situation bei Unternehmensgruppen

Diese Sichtweise führt zu keinerlei Problemen, solange es um ein Einzelunternehmen geht, das in Deutschland beheimatet ist und weder Tochterunternehmen in anderen Mitgliedstaaten der EU hat noch einem Mutterunternehmen in einem anderen Mitgliedstaat der EU zugeordnet ist.

Denn dann spielt es im praktischen Ergebnis tatsächlich keine Rolle, ob EU-Recht oder nationales Recht zur Benennung des ohnehin schon vorhandenen DSB zwingen.

In grenzüberschreitenden Konzernzusammenhängen innerhalb der EU sieht das freilich etwas anders aus. Bei ihnen ergibt sich nämlich voraussichtlich häufig folgende Konstellation:

  • In den deutschen Konzernunternehmen ist ein DSB schon bisher obligatorisch gewesen und deshalb ohnehin vorhanden.
  • In anderen Mitgliedstaaten, in denen sich ebenfalls Unternehmen befinden, die zum Konzern gehören, gab es dagegen bisher keinen DSB. Nun zwingt die DSGVO dazu, unter den in Art. 37 Abs. 1 DSGVO genannten Voraussetzungen auch in den dortigen Konzernunternehmen einen DSB zu benennen.

Gemeinsamer DSB bei Unternehmensgruppen

Das kann so ablaufen, dass konzernweit betrachtet einfach weitere Datenschutzbeauftragte zusätzlich hinzukommen. Möglich erscheint jedoch eine andere Lösung. Art. 37 Abs. 2 DSGVO lässt nämlich folgenden Weg zu: „Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.“

Chance für interne DSBs

Das bedeutet für einen schon vorhandenen DSB in einem deutschen Konzernunternehmen eine erhebliche Chance. Er hat nunmehr nämlich die Gelegenheit, gemeinsamer Datenschutzbeauftragter für die gesamte Unternehmensgruppe zu werden.

Ob er diese Möglichkeit ausschlagen will, sollte er sich genau überlegen. Schnell könnte es nämlich sonst passieren, dass das Ganze andersherum abläuft: An seiner Stelle wird ein Kollege aus einem Konzernunternehmen in einem anderen Mitgliedstaat zum gemeinsamen DSB der gesamten Unternehmensgruppe ernannt.

Unklare Auswirkungen auf schon vorhandene DSBs

Im Augenblick ist noch unklar, ob die einzelnen Unternehmen der Unternehmensgruppe in einem solchen Fall berechtigt wären, jetzt vorhandene DSBs in Einzelunternehmen abzuberufen.

  • Dagegen spricht, dass auch die DSGVO einen DSB gegen eine Abberufung „wegen der Erfüllung seiner Aufgaben“ schützt (siehe Art. 38 Abs. 3 Satz 2 DSGVO).
  • Allerdings geht es in der geschilderten Konstellation gar nicht um eine Abberufung aus diesem Grund. Vielmehr würde es sich um eine Abberufung handeln, die erforderlich ist, um eine organisatorische Struktur nutzen zu können, die die DSGVO neu vorsieht. Es erscheint deshalb durchaus denkbar, dass der Abberufungsschutz bei einer solchen Konstellation nicht greift.

„Erreichbarkeit“ des DSB und Sprachenprobleme

Die DSGVO sagt selbst nichts dazu, wann davon auszugehen ist, dass ein DSB „leicht erreicht werden kann“.

Die Orientierungshilfe der Gruppe nach Art. 29 hebt hierzu unter Ziffer 2.3 hervor, dies bedeute auch, dass die Kommunikation mit den Aufsichtsbehörden und den betroffenen Personen in der Sprache oder den Sprachen möglich sein müsse, die die Aufsichtsbehörden und die betroffenen Personen üblicherweise benutzen. Das sollte jeder DSB sorgfältig zur Kenntnis nehmen.

Guideline der Artikel-29-Gruppe

Das Papier der Gruppe nach Art. 29 trägt den Titel „Guidelines on Data Protection Officers (‘DPOs’)“. Die Gruppe hat es am 13. Dezember 2016 angenommen. Es ist nur auf Englisch verfügbar.

Bei dem Papier handelt es sich nicht um eine endgültige Fassung. Bis zum 15. Februar 2017 war es noch für jedermann möglich, sich gegenüber der Gruppe zu dem Papier zu äußern. Mit seiner endgültigen Fassung ist im Laufe des Jahres 2017 zu rechnen.

Nicht möglich wäre es deshalb beispielsweise, ein Unternehmen in Deutschland von einem gemeinsamen Datenschutzbeauftragten der Unternehmensgruppe betreuen zu lassen, der nur Englisch spricht.

Es würde auch nicht genügen, dass ihm Mitarbeiter zugeordnet sind, die in seinem Auftrag die notwendige Korrespondenz auf Deutsch erledigen. Art. 38 DSGVO geht nämlich erkennbar davon aus, dass der Datenschutzbeauftragte seine Aufgaben persönlich wahrnimmt. Er muss deshalb notwendige Korrespondenz auch persönlich verstehen können.

Zu erreichen wäre dies freilich dadurch, dass ihm sprachkundige Unterstützungskräfte zur Verfügung stehen, die ihm Texte – v.a. Anfragen von Aufsichtsbehörden und Betroffenen – im erforderlichen Umfang übersetzen.

Dieselbe Problematik stellt sich selbstverständlich in der umgekehrten Richtung, wenn ein in Deutschland schon vorhandener Datenschutzbeauftragter künftig die Rolle des gemeinsamen DSB der Unternehmensgruppe übernehmen soll.

Neuer Ablauf der Bestellung eines „Konzern-DSB“

Eine wichtige formale Neuerung ist mit der Institution des gemeinsamen Datenschutzbeauftragten für eine Unternehmensgruppe verbunden:

  • Nach bisherigem Recht konnten Unternehmensgruppen zwar im Ergebnis eine Art „Konzerndatenschutzbeauftragten“ haben.
  • Machbar war dies jedoch nur in der Form, dass jedes einzelne Konzernunternehmen die betreffende Person förmlich zu ihrem DSB bestellte. Eine zentrale Bestellung durch die Unternehmensgruppe – etwa durch eine übergeordnete Holding – war rechtlich nicht möglich.
  • Das ändert sich nun. Nach dem eindeutigen Wortlaut von Art. 37 Abs. 2 DSGVO wird der gemeinsame Datenschutzbeauftragte von der „Unternehmensgruppe“ als solcher ernannt, also nicht von den einzelnen Unternehmen der Gruppe.
  • Das setzt voraus, dass das Unternehmen, das die Unternehmensgruppe steuert (also beispielsweise eine Holding) gesellschaftsrechtlich berechtigt ist, in dieser Form in die Organisation der einzelnen Unternehmen einzugreifen.

Die damit verbundenen Fragen werden bisher so gut wie nicht diskutiert. Mit rechtlichen Überraschungen ist daher durchaus noch zu rechnen.

Neuerungen und Chancen bei externen Datenschutzbeauftragten

Sofern nach der Datenschutz-Grundverordnung ein Datenschutzbeauftragter bestellt werden muss, kann dies auch ein externer DSB sein (siehe Art. 37 Abs. 6 DSGVO: DSB „auf der Grundlage eines Dienstleistungsvertrags“). Das wirkt auf den ersten Blick wie eine bloße Übernahme der Rechtslage, wie sie jetzt nach dem Bundesdatenschutzgesetz (BDSG) besteht. Denn das BDSG sieht vor, dass „auch eine Person außerhalb der verantwortlichen Stelle“ zum DSB bestellt werden kann (siehe § 4f Abs. 2 Satz 3 BDSG).

Doch täuscht diese scheinbare rechtliche Kontinuität zumindest in zweifacher Hinsicht.

1.            Externer DSB auch bei öffentlichen Stellen

Zunächst ist zu beachten, dass Behörden und öffentliche Stellen schon nach den Vorgaben der DSGVO „auf jeden Fall“ einen DSB benennen müssen (siehe Artikel. 37 Abs. 1 Buchst. a DSGVO). Raum für nationale Regelungen besteht daneben nicht mehr.

Die Regelung, wonach es zulässig ist, einen externen DSB zu benennen, gilt damit zwingend auch für alle Behörden und öffentlichen Stellen. Das können Bundes-, Landes- oder kommunale Behörden sein. Bei allen sind künftig externe Datenschutzbeauftragte zulässig.

Nationale Regelungen, die diesem Grundsatz entgegenstehen, sind ab Geltung der DSGVO nicht mehr möglich. Dann noch vorhandene Regelungen dieser Art sind nicht mehr anwendbar.

2.            Unternehmen als externer DSB

Ferner stellt sich die Frage, ob als externer DSB nur eine natürliche Person bestellt werden darf oder ob es auch möglich ist, dass eine Gesellschaft beauftragt wird, etwa eine Datenschutz-GmbH.

Die Orientierungshilfe der Gruppe nach Art. 29 geht in Ziffer 2.4 ganz selbstverständlich davon aus, dass auch eine „organisation“ – zu übersetzen als „Gesellschaft, Vereinigung, Unternehmen“– als DSB benannt werden kann. Sie hebt dabei allerdings hervor, dass jeder Mitarbeiter, der an der Wahrnehmung der Aufgabe „Datenschutzbeauftragter“ mitwirkt, sich auf Schutzvorschriften wie etwa den Abberufungsschutz berufen kann.

Im Übrigen sieht die Orientierungshilfe bei der Beauftragung einer „organisation“ den Vorteil, dass mehrere Personen, die als Team zusammenarbeiten, die Bedürfnisse ihrer Kunden möglicherweise besser abdecken können als ein Einzelner.

Fazit: Nur auf den ersten Blick gar keine Änderung

Insgesamt gesehen trifft es somit zwar zu, dass die DSGVO unter bestimmten Voraussetzungen einen DSB nach deutschem Vorbild in allen Mitgliedstaaten vorschreibt. Es stimmt jedoch nicht, dass einfach alle relevanten Regelungen unverändert aus dem BDSG übernommen worden wären.

Vor allem externen Datenschutzbeauftragten bietet die Datenschutz-Grundverordnung gegenüber der jetzigen Rechtslage erweiterte Möglichkeiten. Das gilt jedenfalls nach der Interpretation der Gruppe nach Art. 29.

Dr. Eugen Ehmann

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln