Aufgaben des Datenschutzbeauftragten: Pflicht zur Zusammenarbeit mit der Aufsichtsbehörde Art 39 DSGVO

Lesezeit: ca. 3 Minuten

In Art. 39 DSGVO sind verschiedene Aufgaben des Datenschutzbeauftragten beschrieben. Dieser Aufgabenkatalog gilt sowohl für behördliche als auch für betriebliche Datenschutzbeauftragte. Hierbei diskutiert wurde die Anforderung an den Datenschutzbeauftragten zur Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften, wie dies in Art. 39 Abs. 1 lit b) DSGVO festgelegt ist.

Der Aufgabenkatalog in Art. 39 DSGVO enthält aber noch andere bemerkenswerte Feststellungen.

In Art. 39 Abs. 1 lit d) DSGVO ist festgelegt, dass der Datenschutzbeauftragte eine Pflicht zur Zusammenarbeit mit der Aufsichtsbehörde hat. Diese Formulierung ist anders als die bisherigen Regelungen im BDSG.

Im ersten Schritt ist zu erörtern, ob durch diese gesetzliche Festlegung die Rolle des Datenschutzbeauftragten mit Blick auf die Aufsichtsbehörde verändert ist. In den einschlägigen Kommentierungen zur DSGVO wird deutlich darauf hingewiesen, dass aus der Anforderung zur „Zusammenarbeit mit der Aufsichtsbehörde“ nicht hergeleitet werden kann, dass der Datenschutzbeauftragte zum Hilfsorgan der Aufsichtsbehörde wird oder anderweitig ein Kontrollorgan der Aufsichtsbehörde wird. Hier sind sich alle einschlägigen Kommentierungen einig. Behörde und Datenschutzbeauftragter bleiben nach wie vor unabhängig voneinander und sind eigenständige Kontrollorgane. Der Datenschutzbeauftragte darf daher auch eine andere rechtliche Einschätzung als die Aufsichtsbehörde vertreten.

Der zweite Themenkreis, der im Zusammenhang mit Art. 39 Abs. 1 lit d) DSGVO erörtert wird, ist die Frage, ob es eine Meldepflicht von Datenschutzverstößen gegenüber der Aufsichtsbehörde gibt. Auch hier sind sich die einschlägigen Kommentierungen einig. Es gibt keine Pflicht, Verstöße im Unternehmen oder in der Behörde der Aufsichtsbehörde zu melden. Simitis vertritt in seiner Kommentierung zur DSGVO in Art. 39 Rn. 36 die Auffassung, dass die Pflicht zur Meldung von Datenschutzverstößen aber eintreten kann, wenn eine fortgesetzte Missachtung der DSGVO oder von Datenschutzgesetzen vorliegt. Insbesondere soll es eine Pflicht zur Meldung von Datenschutzverstößen geben, wenn es sich um schwerste Verstöße handelt, die unter anderem Straftatbestände erfüllen können. Dies ist in der Praxis vermutlich nicht das zentrale Thema.

In den Kommissionsvorschlägen zur DSGVO war noch die Pflicht des Datenschutzbeauftragten vorgesehen, Maßnahmen der Aufsichtsbehörde und deren Umsetzung zu überwachen. Diese ausdrückliche Pflicht ist aber nicht mit in den endgültigen Text der DSGVO mit aufgenommen worden.

Die Loyalitätspflichten gegenüber dem Arbeitgeber oder dem Dienstherrn bleiben also nach wie vor bestehen. Ein Rollenwechsel ist nicht mit der Pflicht zur Zusammenarbeit verbunden.

Dann stellt sich aber die Frage, welche konkreten Pflichten ergeben sich aus dieser gesetzlichen Vorschrift.

In den Kommentierungen wird erörtert, wie mit Anfragen der Aufsichtsbehörde an den Datenschutzbeauftragten umzugehen ist. In Art. 39 Abs. 1 lit e) DSGVO wird der Datenschutzbeauftragte als Anlaufstelle für die Aufsichtsbehörde benannt. Dies wird häufig auch in der Praxis der Fall sein, das Aufsichtsbehörden hoffen, auf die jeweiligen konkreten Kenntnisse des Datenschutzbeauftragten zugreifen zu können. Hier wird von einer umfassenden Kooperationspflicht ausgegangen. Wenn die Behörde nachfragt, darf der Datenschutzbeauftragte Informationen nicht mehr zurückhalten, sondern muss diese offenbaren. So wird es zumindest in der Kommentierung von Kühling/Buchner zur DSGVO, 2. Auflage, Art. 39 Rn. 19 vertreten. Auch hier ist aber zu bedenken, dass der Datenschutzbeauftragte seinen vertraglichen Treuepflichten, sei es als interner oder als externer Datenschutzbeauftragte, verbunden bleibt.

Diese Abgrenzung wird also für die Datenschutzbeauftragten in der Praxis schwierig sein und dürfte in der Umsetzung vielfach Abwägungsfragen und Konflikte auslösen.

Nach unserer Erfahrung empfiehlt es sich, dem Auftraggeber, dem Unternehmen und der Behörde zu signalisieren, dass Informationsweitergaben möglich sind, wenn die Aufsichtsbehörde entsprechend nachfragt. Daher kann in Auseinandersetzungen mit der Aufsichtsbehörde die Strategie nur begrenzt funktionieren, der Aufsichtsbehörde keine Informationen zu geben, um aufsichtsrechtlichen Maßnahmen zu entkommen. Über den Datenschutzbeauftragten kann sich die Aufsichtsbehörde durchaus interne Informationen beschaffen und beispielsweise einen Ein- und Überblick über die datenschutzrechtliche Situation im Unternehmen oder der Behörde erhalten.

Diese Zusammenarbeitspflicht bringt die Datenschutzbeauftragten in eine neue Rolle und wird im Alltag neue Konflikte und einen neuen Kommunikationsbedarf hervorrufen.

Insgesamt ist festzustellen, dass in den Kommentierungen zu Art. 39 Abs. 1 lit d) DSGVO weitergehende Informationen für den Datenschutzalltag nicht zu finden sind. Hier muss wohl noch die weitere Entwicklung abgewartet werden, insbesondere inwieweit die Aufsichtsbehörden konkretere Anforderungen stellen und inwieweit die Gerichte sich bei den Mitwirkungspflichten des Datenschutzbeauftragten gegenüber der Aufsichtsbehörde langfristig positionieren.

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen