Datenschutzbeauftragter gem. DSGVO

Lesezeit: ca. 4 Minuten

In den Art. 37 – 39 sieht die DS-GVO Regelungen für die Benennung eines Datenschutzbeauftragten vor.

„Schwellenwerte“ für die Benennung eines Datenschutzbeauftragten gem. DSGVO

Jede Behörde und öffentliche Stelle hat einen Datenschutzbeauftragten zu bestellen. Darüber hinaus sind in Art. 37 Abs. 1 weitere Fälle benannt, in denen Datenschutzbeauftragte zu benennen sind. Der Bundesgesetzgeber hat ergänzend mit § 38 BDSG neu verschärfende Regelungen verabschiedet, die sich an der bisherigen Rechtslage orientieren. Bei nichtöffentlichen Stellen ist ein Datenschutzbeauftragter zu bestellen, soweit in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dabei ist allein auf die Anzahl der „Köpfe“ abzustellen. Auch freie Mitarbeiter und Auszubildende werden berücksichtigt. Darüber hinaus ist ein Datenschutzbeauftragter zu bestellen, wenn Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 unterliegen. Dann ist eine entsprechende Bestellung, unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen, zu übernehmen.

Es empfiehlt sich also in der Praxis, insbesondere mit Blick auf Art. 38 BDSG neu zu überprüfen, ob ein Datenschutzbeauftragter benannt werden muss.

Die Benennung eines Datenschutzbeauftragten ist aber unabhängig von der Durchführung der nach der DS-GVO geforderten Maßnahmen. Auch wenn beispielsweise ein Kleinbetrieb gesetzlich nicht verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, sind u. a. die o. g. Grundsätze der Datenverarbeitung sowie die in dieser Broschüre geschilderten weiteren Anforderungen einzuhalten.

Nennung Datenschutzbeauftragter bei der Aufsichtsbehörde

Gemäß Art. 37 Abs. 7 muss der Verantwortliche oder der Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten veröffentlichen und diese Daten auch der Aufsichtsbehörde mitteilen. Zukünftig wollen alle Aufsichtsbehörden ein entsprechendes Online-Tool zur Verfügung stellen, um eine erleichterte Übermittlung dieser Daten zu ermöglichen.

Stellung des Datenschutzbeauftragten

In Art. 38 ist die Stellung des Datenschutzbeauftragten beschrieben. Er berichtet unmittelbar der höchsten Managementstufe und darf hinsichtlich seiner Aufgaben keine Weisungen erhalten. Es soll eine Unabhängigkeit des Datenschutzbeauftragten bei der Aufgabenerfüllung sichergestellt sein. Der Verantwortliche und der Auftragsverarbeiter sollen den Datenschutzbeauftragten unterstützen. Deutlich wird in Art. 38 Abs. 6 ausgeführt, dass ein Datenschutzbeauftragter andere Aufgaben und Pflichten wahrnehmen kann. Das Gesetz fordert keinen „Vollzeit“-Datenschutzbeauftragten. Allerdings bleibt es die Aufgabe des Verantwortlichen oder des Auftragsverarbeiters, Interessenkollisionen zu vermeiden. Damit wird vermutlich die bisherige Praxis aufrecht erhalten bleiben, dass bestimmte Positionen im Unternehmen sich nicht mit der Position als Datenschutzbeauftragter vertragen, beispielsweise die Position eines IT-Leiters oder eines Personalchefs.

Neu und „bedrohlich“: Überwachungspflicht des Datenschutzbeauftragten gem. DSGVO

Bemerkenswert ist die Aufgabenbeschreibung in Art. 39 DS-GVO, die kraft Gesetzes ab dem 25.05.2018 für alle Datenschutzbeauftragten gilt, unabhängig ob sie als betrieblicher oder behördlicher Datenschutzbeauftragter tätig sind. Gemäß Art. 39 Abs. 1 lit. b DS-GVO ist es die Pflicht des Datenschutzbeauftragten, die Einhaltung der Verordnung und der anderen nationalen Datenschutzvorschriften zu überwachen. Weitere gesetzliche Überwachungspflichten kommen hinzu. Damit ist der behördliche oder betriebliche Datenschutzbeauftragte eine der wenigen Positionen, die eine ausdrückliche im Gesetz festgelegte Überwachungspflicht hat.

Dies führt in der Praxis zu neuen Haftungsrisiken sowohl für interne als auch für externe Datenschutzbeauftragte.

Nachweis der Überwachungstätigkeit

Ein Datenschutzbeauftragter muss beispielsweise, wenn ein Bußgeld gegen das Unternehmen oder die öffentliche Einrichtung festgesetzt wurde, nachweisen können, dass er ausreichend seinen Überwachungspflichten nachgekommen ist. Bei externen Datenschutzbeauftragten besteht ansonsten das Risiko, dass der Verantwortliche und Auftraggeber gegenüber dem externen Datenschutzbeauftragten Regressansprüche geltend macht. Ein externer Datenschutzbeauftragter kann sich dann nur entlasten, wenn er nachweist, die konkrete datenverarbeitende Situation überwacht zu haben, und dass trotz der Überwachung ein Datenschutzverstoß geschehen ist, der mit Überwachung nicht zu verhindern war. Nach unserer Beobachtung führt dies auf der einen Seite bei den Datenschutzbeauftragten zu einer erheblich intensiveren Dokumentationspflicht, zum anderen sind rechtswidrige datenschutzrechtliche Zustände früh und genau an die Geschäfts- oder Behördenleitung zu adressieren. Auch für interne Datenschutzbeauftragte ergibt sich ein Haftungsrisiko, da beispielsweise im Fall einer groben Fahrlässigkeit oder im Fall eines Vorsatzes die im Arbeitsrecht formulierten Begrenzungen der Arbeitnehmerhaftung nicht oder nur in geringem Umfang greifen. Ein Fall der groben Fahrlässigkeit liegt beispielsweise vor, wenn bestimmte Fach- oder Geschäftsbereiche vom Datenschutzbeauftragten nicht überprüft worden sind oder die Überprüfung nur oberflächlich erfolgte.

Damit gerät ein interner oder externer Datenschutzbeauftragter in die Rolle eines „Wirtschaftsprüfers“ oder „Rechnungshofes“ und ist verpflichtet, sich die Datenverarbeitungsvorgänge genau anzuschauen und zu überprüfen.

Zwar können keine Bußgelder direkt gegen einen Datenschutzbeauftragten nach Art. 83 DS-GVO festgesetzt werden. In Anbetracht der sonstigen Haftungsrisiken ist dies aber nur ein schwacher Trost.

Praxistipp:

Jeder behördliche oder betriebliche Datenschutzbeauftragter sollte in seinem Arbeitsbereich genau prüfen, ob mit dem bisherigen Zeitrahmen die gesetzlich geforderte Überwachungspflicht tatsächlich umgesetzt werden kann. Wir beobachten, dass insbesondere nebenberufliche Datenschutzbeauftragte vielfach ein zu geringes Zeitkontingent und damit faktisch keine Möglichkeit haben, zu „überwachen“. Ein solcher Zustand ist gegenüber der Geschäfts- oder Behördenleitung deutlich anzusprechen. Sollte es keine kurzfristige Änderung bzw. Erweiterung des Zeitkontingents und keine ausreichende Unterstützung bei der Umsetzung der gesetzlichen Anforderungen geben, empfehlen wir, das Amt als Datenschutzbeauftragter niederzulegen. Nur so können Haftungsrisiken vermieden werden.

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen