Grundwissen zur DSGVO

Lesezeit: ca. 14 Minuten

Übersicht DSGVO

In jedem Unternehmen werden verschiedene personenbezogene Daten verarbeitet. Seit dem 25.05.2018 ist die DSGVO zu beachten. Die DSGVO formuliert verschiedene Anforderungen und differenziert zwischen „normalen“ personenbezogenen Daten und besonderen Kategorien personenbezogener Daten.

Dabei ist es aus datenschutzrechtlicher Sicht zunächst einmal nicht erheblich, ob wenige oder viele personenbezogene Daten verarbeitet werden, ob ein Unternehmen klein, mittelständig oder groß ist. Für alle Unternehmensgrößen gelten die gleichen rechtlichen Anforderungen. Dies wird teilweise als ungerecht empfunden, erleichtert aber die Erstellung eines Leitfadens und die Erstellung von Mustern, da die Anforderungen überall gleich sind.

Personenbezogene Daten sind in Art. 4 Nr. 1 DSGVO definiert. Nicht nur Name und Anschrift sind personenbezogene Daten, sondern auch Daten, die erst durch Verknüpfung mit anderen Informationen einen Personenbezug herstellen.

Für „normale“ personenbezogene Daten erwartet die DSGVO von den Verantwortlichen, sprich des Unternehmens, das zum einen die in Art. 5 formulierten Grundsätze eingehalten werden, zum anderen für jede Datenverarbeitung in jedem Geschäftsprozess eine rechtliche Grundlage nach Art. 6 DSGVO vorhanden ist.

Für die besonderen Kategorien personenbezogener Daten, u. a. die Gesundheitsdaten, formuliert Art. 9 DSGVO eigene Anforderungen. Dies führt in der Praxis dazu, dass für einen Teil des Datenbestands die Regelungen in Art. 5 und in Art. 6 DSGVO zu prüfen sind, für einen anderen Teil des Datenbestands die Anforderungen aus Art. 9 DSGVO zu beachten sind.

Grundsätze Art. 5 DSGVO

Folgende Grundsätze der DSGVO sind einzuhalten:

–     Grundsatz der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben und der Transparenz,

–       Grundsatz der Zweckbindung,

–       Grundsatz der Datenminimierung,

–       Grundsatz der Richtigkeit,

–       Grundsatz der Integrität und Vertraulichkeit.

Die Grundsätze sind in den weiteren Vorschriften der DSGVO näher ausgestaltet. Beispielsweise fordert der Grundsatz der Transparenz, dass die personenbezogenen Daten für Betroffene, z.B. Kunden, Lieferanten oder Mitarbeiter, in nachvollziehbarer Weise verarbeitet werden. Dies ist dann u. a. in den Art. 12 ff. DSGVO detaillierter festgelegt.

Die richtige Rechtsgrundlage

Neben den Grundsätzen für die Verarbeitung der personenbezogenen Daten soll nach Art. 6 DSGVO eine rechtmäßige Datenverarbeitung stattfinden. Mindestens eine der nachstehenden Bedingungen muss erfüllt sein, damit die Datenverarbeitung rechtmäßig ist. Als Rechtsgrundlage für die Datenverarbeitung kann

–     eine Einwilligung des Betroffenen vorliegen,

–     die Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich sein,

–     die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich sein,

–     die Verarbeitung zu lebenswichtigen Interessen der betroffenen Person dienen,

–     die Verarbeitung zur Wahrnehmung einer Aufgabe dienen, die im öffentlichen Interesse liegt,

–     die Verarbeitung auch zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten dienen, beispielsweise einer Apotheke.

Für jede Datenverarbeitung ist individuell und konkret zu prüfen, ob eine solche Rechtsgrundlage für die Verarbeitung der Daten vorliegt. Mit anderen Worten: Gibt es eine solche Rechtsgrundlage nicht, ist die Datenverarbeitung illegal und zu unterlassen.

Die Anwendung der verschiedenen Anforderungen ist in der Praxis nicht leicht, da beispielsweise für eine Einwilligung weitere rechtliche Voraussetzungen zu beachten sind, damit diese wirksam ist. Die Anwendung eines berechtigten Interesses als Rechtsgrundlage gemäß Art. 6 Abs. 1 lit. f) DSGVO bedarf einer konkreten Abwägung, die dokumentiert werden muss.

Besondere Kategorien personenbezogener Daten

Für besondere Kategorien personenbezogener Daten, beispielsweise politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder Gesundheitsdaten sowie weitere in Art. 9 Abs. 1 DSGVO aufgeführte Fälle, gelten andere Anforderungen als die Regelungen in Art. 5 und Art. 6 DSGVO. In Art. 9 Abs. 2 DSGVO wird festgelegt, wann eine solche Verarbeitung zulässig ist.

Im Grundsatz geht Art. 9 Abs. 1 DSGVO davon aus, dass die Verarbeitung besonderer Kategorien personenbezogener Daten untersagt ist. Nur wenn Art. 9 Abs. 2 DSGVO eine solche Verarbeitung erlaubt, darf diese stattfinden. Mit Blick auf die eingangs gemäß Art. 5 Abs. 2 DSGVO vorgestellte Rechenschaftspflicht bedarf es im jeweiligen konkreten Einzelfall und im jeweiligen Geschäftsprozess einer genauen Überprüfung der Rechtsgrundlagen, um illegale Datenverarbeitungen zu vermeiden.

Datenverarbeitung durch Dritte – Auftragsverarbeitung

Vielfach erfolgt die Datenverarbeitung nicht durch das Unternehmen selbst, sondern das Unternehmen bedient sich verschiedener Dienstleistungen. Dann wird häufig ein Fall der sog. „Auftragsverarbeitung“ vorliegen.

Die Regelungen für die Auftragsverarbeitung finden sich in Art. 28 DSGVO. Der Gesetzgeber erwartet, dass mit den Dienstleistern, beispielsweise einem Rechenzentrum oder dem Unternehmen, bei dem die Webseite gehostet wird, ein Vertrag zur Auftragsverarbeitung abgeschlossen wird. So soll sichergestellt werden, dass nur Dienstleister und Dritte beauftragt werden, die einen ausreichenden Datenschutz und eine Umsetzung der DSGVO sicherstellen. Bei Verstößen gegen die Anforderungen aus Art. 28 DSGVO sowohl eine Bußgeldbedrohung in Richtung des Auftraggebers als auch in Richtung des Auftragnehmers. Daher sollten beide Seiten die Anforderungen der DSGVO ernst nehmen und darauf achten, dass eine ausreichende vertragliche Basis für die Weitergabe personenbezogener Daten und insbesondere für die Weitergabe der besonderen Kategorien personenbezogener Daten besteht.

Verzeichnis der Verarbeitungstätigkeiten

Daneben erwartet die DSGVO umfangreiche Dokumentationen unter der Überschrift „Verzeichnis von Verarbeitungstätigkeiten“. In einem solchen Verzeichnis der Verarbeitungstätigkeiten werden beispielsweise die Daten aufgeführt, die verarbeitet und von dem Unternehmen genutzt werden. Des Weiteren werden die Empfänger solcher Daten und die betroffenen Personenkreise benannt. In einem Verzeichnis der Verarbeitungstätigkeiten wird dokumentiert, dass eine ausreichende Rechtsgrundlage für die Verarbeitung der Daten vorliegt.

Fehlt ein Verzeichnis der Verarbeitungstätigkeiten, ist dies ein Bußgeldtatbestand. Daneben kann ein Unternehmen die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO nicht erfüllen, wenn keine ausreichende Datenschutzdokumentation vorliegt.

Die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten ist somit eine wesentliche datenschutzrechtliche Pflicht für jedes Unternehmen.

Eine der zentralen Ziele der DSGVO ist eine umfassende Information des Betroffenen über Datenverarbeitungen. Jeder Mitarbeiter und jeder Kunde soll wissen, wer über personenbezogene Daten verfügt, in welchem Umfang solche personenbezogenen Daten verarbeitet werden und an wen diese weitergegeben werden. Jeder hat vermutlich ein hohes Interesse daran, dass beispielsweise die Schufa keine unzulässigen oder falschen Informationen über die eigene Kreditwürdigkeit an Banken oder Dritte weitergibt. Dies ist aber nur ein Fall einer Datenverarbeitung, in der konkrete eigene finanzielle und wirtschaftliche Interessen betroffen sind. Solche Konstellationen sind aufgrund der vielfältigen Datenverarbeitung vermehrt und häufig anzutreffen.

Informationspflichten

Dazu hat die DSGVO ein Grundprinzip eingeführt, dass für viele Unternehmen noch ungewöhnlich ist. Jeder, der personenbezogene Daten verarbeitet, muss dem Betroffenen mitteilen, zu welchem Zweck die Daten verarbeitet werden, auf welcher Rechtsgrundlage dies geschieht und wie lange die Daten gespeichert werden. Hinzu kommen noch einige andere Informationen, sodass jeder Betroffene sich ein umfassendes Bild von den Datenverarbeitungen machen kann. Überall erfolgen Datenverarbeitungen und es bedarf einer entsprechenden Information über die Einzelheiten der Datenverarbeitung. Werden diese Regelungen nicht eingehalten, ist dies ebenfalls ein Bußgeldtatbestand.

Von der polnischen Datenschutzaufsicht wurde ein sechsstelliges Bußgeld ausgesprochen, weil entsprechende Informationspflichten nicht umgesetzt worden sind. Wie ernst der Gesetzgeber die Information der Betroffenen nimmt, lässt sich auch an der Einordnung der entsprechenden Regelungen in die zweite Bußgeldstufe erkennen. Werden die Informationspflichten nicht ausreichend umgesetzt, können Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes gegen eine Unternehmen festgesetzt werden. Dies soll zwar nicht der alleinige Antreiber für die Einhaltung von gesetzlichen Vorschriften sein, zeigt aber deutlich, wie sensibel das Thema Umsetzung der Informationspflichten ist. Dieser Aspekt durchzieht viele Bereiche, ist beispielsweise bei der eigenen Internetseite zu beachten. Dort ist anzugeben, welche Daten verarbeitet und wie lange diese gespeichert werden.

Sicherheit der Verarbeitung

Daneben fordert Art. 32 DSGVO, dass eine Sicherheit der Verarbeitung gewährleistet ist. Es wird erwartet, dass ein dem Risiko angemessenes Schutzniveau für die personenbezogenen Daten gewährleistet wird. Dabei sind verschiedene Aspekte zu berücksichtigen, beispielsweise der Stand der Technik, Implementierungskosten oder die Eintrittswahrscheinlichkeit und Schwere von Risiken für die Rechte und Freiheiten natürlicher Personen. Eine entsprechende Einhaltung dieser Vorgaben zur Sicherheit der Verarbeitung muss im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden.

Meldepflicht bei Datenschutzpannen

Kommt es in einem Unternehmen zu Datenschutzpannen, so sind Meldepflichten gemäß Art. 33 und Art. 34 DSGVO zu beachten. Eine Verletzung des Schutzes personenbezogener Daten, die eine Meldepflicht auslöst, besteht beispielsweise, wenn eine unbefugte Offenlegung oder ein unbefugter Zugang zu personenbezogenen Daten erfolgte. Die Meldung einer Datenschutzpanne muss innerhalb von 72 Stunden nach Kenntnisnahme an die Aufsichtsbehörde abgesetzt werden. Viele Aufsichtsbehörden haben dazu auf ihren Internetseiten ein Online-Formular eingerichtet.

Betroffenenrechte

Die Betroffenen haben Rechte und Ansprüche, die in der DSGVO ausführlich dargestellt sind. Ein besonderes Recht ist der sog. Auskunftsanspruch nach Art. 15 DSGVO. Nach dieser Vorschrift muss innerhalb eines Monats nach Anforderung Auskunft erteilt werden, welche personenbezogenen Daten konkret in dem Unternehmen über Kunden oder Mitarbeiter verarbeitet wurden und werden. Der Betroffene kann zusätzlich Kopien der entsprechenden Daten verlangen, die in dem Unternehmen verarbeitet und gespeichert werden.

Daneben hat ein Betroffener ein Recht auf Berichtigung (Art. 16 DSGVO), ein Recht auf Löschung (Art. 17 DSGVO), ein Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) und ein Recht auf Datenübertragbarkeit (Art. 20 DSGVO).

Datenschutz-Folgenabschätzung

Wenn sensible Daten verarbeitet werden oder die Datenverarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen zur Folge hat, ist eine sog. Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchzuführen. Hier wird vor Einrichtung einer entsprechenden Datenverarbeitung geprüft, ob eine solche Verarbeitung personenbezogener Daten datenschutzkonform erfolgen kann und wie die Risiken der Datenverarbeitung beherrschbar sind.

Außerdem fordert der Gesetzgeber nach Art. 25 DSGVO, dass durch technische Gestaltung und eine datenschutzfreundliche Voreinstellung dafür gesorgt wird, dass die DSGVO möglichst umfassend umgesetzt wird und werden kann.

Die obigen Aspekte stellen in der gebotenen Kürze die zentralen Anforderungen der DSGVO vor.

Klärung der Verantwortlichkeiten

Der „Verantwortliche“ ist ein zentraler Begriff in der DSGVO. Beispielsweise wird in den Bußgeldvorschriften darauf verwiesen, dass die Pflichten des Verantwortlichen oder des Auftragsverarbeiters zu einer entsprechenden Bestrafung führen können.

Definition Verantwortlicher

Insoweit ist zu klären, wer genau „Verantwortlicher“ ist. Eine Definition findet sich in Art. 4 Nr. 7 DSGVO. Dort heißt es, dass Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle ist, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Zunächst einmal ist jedes Unternehmen und organisatorische Einheit Verantwortlicher im Sinne dieser gesetzlichen Regelung und damit Ansprechpartner für Maßnahmen und Bußgelder der Aufsichtsbehörde.

Die sich daran anschließende Frage ist, ob die Unternehmensleitung ebenfalls ein Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist und möglicherweise Adressat von Bußgeldern sein kann. Hier ist auf eine aktuelle Diskussion zu verweisen, die u. a. von der Datenschutzaufsichtsbehörde in Baden-Württemberg angestoßen wurde. Die baden-württembergische Aufsichtsbehörde ist der Auffassung, dass ein Betriebsrat ein Verantwortlicher ist und nicht dem Unternehmen zugeordnet werden kann, für den der Betriebsrat bestellt wurde. Dies wird damit begründet, dass der Betriebsrat für seine Belange, sprich für seine im Rahmen der Betriebsratstätigkeit anfallende Datenverarbeitung allein die Entscheidungskompetenz über Zweck und Mittel der Verarbeitung trägt, wie es in Art. 4 Nr. 7 DSGVO heißt. Daneben gibt es aufgrund der Mitbestimmungsrechte Situationen, in denen ein Arbeitgeber Datenverarbeitung nur mit Zustimmung des Betriebsrats einführen kann. Dann entscheiden Arbeitgeber und Betriebsrat „gemeinsam“ über Zweck und Mittel der Datenverarbeitung.

Mitarbeiter als Adressat vom Bußgeldern

In der Zukunft ist damit zu rechnen, dass noch intensiv diskutiert wird, inwieweit Mitarbeiterinnen und Mitarbeiter im Unternehmen Adressaten von Bußgeldern sein können. In der Vergangenheit gab es durchaus Fälle, in denen die Aufsichtsbehörden gegenüber Mitarbeiterinnen und Mitarbeitern Bußgelder verhängt haben. Beispielsweise hat die bayerische Datenschutzaufsicht in einem Fall ein Bußgeld gegen eine Mitarbeiterin verhängt, die mit einem offenen E-Mail-Verteiler eine E-Mail an eine Vielzahl von Personen übermittelt hat und so allen aus dem E-Mail-Verteiler die jeweils anderen E-Mail-Adressen übermittelt hat.

Juristisch kann die Auffassung vertreten werden, dass auch Mitarbeiterinnen und Mitarbeiter, die allein oder mit anderen über Mittel und Zweck der Datenverarbeitung entscheiden, zur Rechenschaft und Verantwortung gezogen werden können. Es wird im Einzelfall wohl darauf abzustellen sein, welche Entscheidungskompetenz die jeweiligen Mitarbeiterinnen und Mitarbeiter haben und hatten.

Bestellung eines Datenschutzbeauftragten

Regelungen zum Datenschutzbeauftragten sind in den Art. 37 bis 39 DSGVO zu finden. Der deutsche Gesetzgeber war offensichtlich mit diesen Regelungen unzufrieden und hat im neuen Bundesdatenschutzgesetz in § 38 BDSG eigene deutsche Regelungen für die Bestellung eines Datenschutzbeauftragten festgelegt.

Pflicht zur Bestellung

Ein betrieblicher Datenschutzbeauftragter ist in einem Unternehmen zu bestellen, soweit in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dabei wird nicht auf den zeitlichen Umfang der jeweiligen Tätigkeit abgestellt. Wenn beispielsweise ein Unternehmen zwölf Teilzeitangestellte hat, die personenbezogene Daten mithilfe der EDV verarbeiten, ist ein Datenschutzbeauftragter zu bestellen. Es wird also allein auf die Anzahl der „Köpfe“ abgestellt. Auszubildende, Aushilfen und freie Mitarbeiter sind ebenfalls mitzuzählen.

Selbstverständlich können Unternehmen betriebliche Datenschutzbeauftragte daneben auf freiwilliger Basis bestellen. Des Weiteren ist ein betrieblicher Datenschutzbeauftragter zu bestellen, wenn Datenverarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen. Dann ist nicht mehr die Anzahl der Mitarbeiter von Bedeutung, sondern allein aufgrund der risikobehafteten Datenverarbeitung entsteht die Pflicht zur Bestellung eines Datenschutzbeauftragten. Es ist im Einzelfall zu prüfen, ob das jeweilige Unternehmen in diesen Anwendungsbereich fällt.

Allerdings sollte ein Aspekt nicht unberücksichtigt bleiben: Unabhängig davon, ob ein betrieblicher Datenschutzbeauftragter bestellt werden muss oder nicht, müssen die Anforderungen aus der DSGVO umgesetzt werden. Um dies an einem Beispiel deutlich zu machen: Ein Verzeichnis der Verarbeitungstätigkeiten ist in einem Unternehmen zu erstellen, unabhängig von der Frage, ob ein betrieblicher Datenschutzbeauftragter bestellt werden muss. Daher kann es sich empfehlen, einen betrieblichen Datenschutzbeauftragten zu benennen, um die Verantwortlichkeiten betriebsintern festzulegen und klarzustellen.

Der Datenschutzbeauftragte ist der Aufsichtsbehörde zu benennen. Hierfür gibt es bei den Aufsichtsbehörden Online-Formulare, um eine entsprechende Meldung an die Behörde abzusetzen. Im Umkehrschluss hat die Behörde dadurch einen guten Überblick, ob Unternehmen ihren gesetzlichen Pflichten zur Bestellung eines Datenschutzbeauftragten nachkommen.

Auswahl des Datenschutzbeauftragten

Die Auswahl des Datenschutzbeauftragten obliegt der Unternehmensleitung als Verantwortlichen. Gemäß § 38 Abs. 2 i. V. m. § 6 Abs. 4 BDSG ist gesetzlich festgelegt, dass bei einer unbefristeten Bestellung eines betrieblichen Datenschutzbeauftragten eine ordentliche und fristgemäße Kündigung des Datenschutzbeauftragten nicht möglich ist. Gemäß den gesetzlichen Regelungen ist nur eine Kündigung unter Anwendung des § 626 BGB, sprich eine außerordentliche fristlose Kündigung möglich. Nach Beendigung der Tätigkeit als Datenschutzbeauftragter gibt es zusätzlich einen nachlaufenden Kündigungsschutz.

Dies hat nach unseren Erfahrungen bei einigen Unternehmen schon für Missstände gesorgt. Unternehmen ist zu empfehlen, keine unbefristeten Beauftragungen für betriebliche Datenschutzbeauftragte auszusprechen. Dieser Rat gilt sowohl für interne als auch für externe Datenschutzbeauftragte. Nur so kann sichergestellt werden, dass eine Beauftragung als Datenschutzbeauftragter alsbald endet. Dies kann von erheblicher Bedeutung sein, wenn das Vertrauensverhältnis zwischen dem Unternehmen und dem Datenschutzbeauftragten gestört oder eine gedeihliche Zusammenarbeit auf Dauer nicht möglich ist.

Interner oder externer Datenschutzbeauftragter?

Unternehmen haben die Wahl, entweder einen internen oder einen externen Datenschutzbeauftragten zu bestellen. In beiden Fällen ist darauf zu achten, dass die Datenschutzbeauftragten über eine ausreichende Kompetenz verfügen, um die Aufgaben auszufüllen. Ein Datenschutzbeauftragter muss sich zum einen in den rechtlichen Themen auskennen und mit den Regelungen der DSGVO und dem neuen Bundesdatenschutzgesetz vertraut sein, zum anderen braucht es IT-technische Grundkenntnisse, um die Aufgabe als Datenschutzbeauftragter erfüllen zu können. Daneben ist eine regelmäßige Fortbildung notwendig.

Nebenberuflicher Datenschutzbeauftragter

In der Praxis lässt sich beobachten, dass insbesondere nebenberufliche interne Datenschutzbeauftragte erhebliche Mühe haben, den gesetzlichen Anforderungen gerecht zu werden und sich ausreichend fortzubilden. Es kann empfehlenswert sein, besser einen externen Datenschutzbeauftragten zu benennen. Hier gibt es unterschiedliche Vergütungsmodelle, beispielsweise monatliche Pauschalen oder eine Vergütung nach Aufwand. Als Unternehmen sollten Angebote misstrauisch betrachtet werden, die für einen monatlichen Pauschalbetrag von unter 200,00 Euro umfangreiche Leistungen versprechen. Allein für eine ausreichende datenschutzrechtliche Dokumentation bedarf es eines nicht unerheblichen Aufwands, der mit einer monatlichen Vergütung in Höhe von 200,00 Euro netto oder weniger nicht ausreichend entlohnt werden kann.

Es besteht die Gefahr, dass zwar optisch die Position des Datenschutzbeauftragten besetzt ist, letztendlich aber nicht die gesetzlichen Pflichten in ausreichendem Maße umgesetzt werden. Die Verantwortung für die Umsetzung der DSGVO trägt aber auch bei einer externen Beauftragung das Unternehmen und mit anderen Worten: Ein Bußgeld muss der Verantwortliche und nicht der Datenschutzbeauftragte zahlen.

Kontrolle der Datenschutzorganisation.

Auch wird es als Pflicht des Verantwortlichen angesehen, die Datenschutzorganisation im Blick zu behalten und sich regelmäßig, beispielsweise quartalsweise, halbjährlich oder jährlich über den Status der Datenschutzorganisation und die Umsetzung der gesetzlichen Anforderungen informieren zu lassen. In einem solchen Bericht wird beispielsweise ausgeführt, welche bisherigen Maßnahmen erfolgreich umgesetzt wurden und wo die Datenschutzorganisation mit Blick auf die gesetzlichen Anforderungen noch Lücken hat.

Stellung des Datenschutzbeauftragten

In Art. 38 DSGVO ist die Stellung des Datenschutzbeauftragten beschrieben. Er berichtet der höchsten Managementstufe unmittelbar. Er darf hinsichtlich seiner Aufgabenerfüllung keine Weisungen erhalten und soll unabhängig sein. Deutlich wird in Art. 38 Abs. 6 DSGVO ausgeführt, dass ein Datenschutzbeauftragter auch andere Aufgaben und Pflichten wahrnehmen kann. Es wird nicht unbedingt ein „Vollzeit-Datenschutzbeauftragter“ gefordert.

Eine Interessenkollisionen ist bei der Bestellung auszuschließen. Beispielsweise ist die Unternehmensleitung oder ein IT-Leiter kein geeigneter Datenschutzbeauftragter, da in diesen Fällen eine Interessenkollision auf jeden Fall anzunehmen ist.

Gesetzlich wird eine frühzeitige Einbeziehung des Datenschutzbeauftragten erwartet, wenn neue Datenverarbeitungen initialisiert und eingerichtet werden sollen. Insgesamt soll der Datenschutzbeauftragte über alle datenschutz-relevanten Geschäftsprozesse informiert sein.

Überwachungspflichten des Datenschutzbeauftragten

Das Gesetz hält aber noch eine weitergehende Pflicht für den Datenschutzbeauftragten in Art. 39 DSGVO bereit. Gemäß Art. 39 Abs. 1 lit. b) DSGVO ist es die Pflicht des Datenschutzbeauftragten, die Einhaltung der Datenschutzgrundverordnung und der anderen nationalen Datenschutzvorschriften zu überwachen. Weitere gesetzliche Überwachungspflichten kommen hinzu. Dies ist bemerkenswert, da damit der Datenschutzbeauftragte einer der sehr wenigen Berufe ist, die eine gesetzliche Pflicht zur Überwachung haben. Diese gesetzliche Pflicht kann nicht vertraglich abbedungen werden und besteht bereits ab dem 25.05.2018 unabhängig von allen arbeitsvertraglichen Regelungen.

Haftungsrisiken des Datenschutzbeauftragten

Dies führt in der Praxis zu neuen Haftungsrisiken sowohl für interne als auch externe Datenschutzbeauftragte.

„Überwachen“ heißt, dass der Datenschutzbeauftragte nicht in einer passiven Stellung verharren kann, sondern sich aktiv um die rechtliche Prüfung und eine IT-technische Prüfung der verschiedenen Geschäftsprozesse kümmern muss. Wenn beispielsweise das Unternehmen ein Zeiterfassungssystem eingerichtet hat, ist es die Pflicht des Datenschutzbeauftragten, sich im Rahmen seiner Überwachungstätigkeit die technische Umsetzung der Zeiterfassung näher anzuschauen und beispielsweise zu prüfen, ob eine ausreichende Rechtsgrundlage für die Datenverarbeitung vorliegt und die Datenverarbeitung datenschutzkonform erfolgt. Wenn beispielsweise Krankheitsinformationen in einem Zeiterfassungssystem hinterlegt sein würden, müsste der Datenschutzbeauftragte dies im Rahmen seiner Überwachung feststellen und ausdrücklich gegenüber der Unternehmensleitung beanstanden. Im Rahmen der gesetzlichen Überwachungspflicht wird außerdem erwartet, dass eine regelmäßige Überprüfung der Geschäftsprozesse erfolgt. Es ist davon auszugehen, dass eine solche Überprüfung mindestens einmal jährlich zu erfolgen hat.

Allein dieser Aspekt macht deutlich, dass bei jeder Unternehmensgröße ein nebenberuflicher interner Datenschutzbeauftragter, der einen Zeitaufwand von bis zu zwei Stunden pro Monat aufwenden kann, keine ausreichende „Maßnahme zur Umsetzung der DSGVO“ ist. Bereits die regelmäßige Überwachung der verschiedenen Geschäftsprozesse und die damit verbundene Dokumentation der Überwachungsmaßnahmen nimmt erheblich mehr Zeit in Anspruch.

Kommt ein interner oder externer Datenschutzbeauftragter diesen Überwachungspflichten nicht nach, so kann bei einem internen Datenschutzbeauftragten ein Fall der Arbeitnehmerhaftung eintreten, ein externer Datenschutzbeauftragter kann beispielsweise bei einem Bußgeld, das gegen das Unternehmen verhängt wird, nachrangig (mit) in Anspruch genommen werden. Dies führt in der Praxis dazu, dass viele externe Datenschutzbeauftragte ihre Aufgabe sehr ernst nehmen und datenschutzrechtliche Mängel deutlich adressieren. Nur so werden eigene Haftungsrisiken des Datenschutzbeauftragten vermieden.

Vielfach ist zu beobachten, dass neben den Bußgeldbedrohungen und den oben beschriebenen Antreibern zur Einhaltung der DSGVO diese gesetzliche Überwachungspflicht des Datenschutzbeauftragten ein „zusätzlicher Antreiber“ in eines Unternehmens ist, sich an die gesetzlichen Vorschriften zum Datenschutz zu halten.

Aufgaben des Datenschutzbeauftragten

Weitere Aufgaben des Datenschutzbeauftragten kommen hinzu:

–     Schulung der Mitarbeiter zum Thema Datenschutz,

–     Unterrichtung und Beratung des Verantwortlichen bezüglich der Pflichten des Datenschutzes,

–     Beratung des Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung,

–     Ansprechpartner für die Aufsichtsbehörde und Zusammenarbeit mit der Aufsichtsbehörde im Bereich des Datenschutzes.

All dies macht deutlich, dass die Rolle des Datenschutzbeauftragten für ein Unternehmen eine sensible Personalbesetzung ist, die sorgfältig überlegt werden sollte. Die Auswahl eines externen Datenschutzbeauftragten sollte zur Risikominimierung ebenfalls sorgfältig erfolgen.

 

 

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen