Einen DSB benennen und melden – was gilt es zu beachten?
Grundsätzlich richtet sich die Pflicht, einen Datenschutzbeauftragten (DSB) zu benennen, nach Art. 37 Datenschutz-Grundverordnung (DSGVO).
Wann ist ein DSB zu benennen?
Öffentliche Stellen haben immer einen Datenschutzbeauftragten zu benennen (Art. 37 Abs. 1 Buchst. a DSGVO).
Nichtöffentliche Stellen hingegen nur, wenn ihre Kerntätigkeit in Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 Buchst. b DSGVO).
Eine „umfangreiche regelmäßige und systematische Überwachung von Personen“ ist in Anlehnung an den Erwägungsgrund 91 der DSGVO anzunehmen, wenn mehrere der folgenden Faktoren im Unternehmen als hoch zu bewerten sind:
- die Menge bzw. das Volumen der verarbeiteten personenbezogenen Daten,
- die Anzahl der betroffenen Personen und
- die Dauer der Verarbeitung.
Hierbei ist es egal, ob der Verantwortliche die Daten auf regionaler, nationaler oder supranationaler Ebene verarbeitet.
Mit der Kerntätigkeit ist die Haupttätigkeit eines Unternehmens gemeint (siehe Erwägungsgrund 97 DSGVO).
Das sind jene Arbeitsabläufe, die nötig sind, um die Unternehmensziele des Verantwortlichen oder Auftragsverarbeiters zu erreichen. Beispiele:
- Krankenhäuser, Auskunfteien, Versicherungen und Marketingunternehmen sind in der Regel unter Art. 37 Abs. 1 Buchst. b DSGVO zu fassen.
- Nicht jedoch Ärzte, sonstige Angehörige eines Gesundheitsberufs oder Rechtsanwälte.
Die Pflicht zur Benennung besteht auch, wenn Kerntätigkeit der nichtöffentlichen Stelle ist, besondere Kategorien von Daten gemäß Art. 9 DSGVO oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO umfangreich zu verarbeiten (Art. 37 Abs. 1 Buchst. c DSGVO).
Darüber hinaus ergibt sich aus § 38 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG) eine gesonderte Benennungspflicht, wenn sich in einem Betrieb mehr als zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Schließlich ist nach § 38 Abs. 1 Satz 2 BDSG eine Benennung auch dann erforderlich, wenn die nichtöffentliche Stelle Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen, oder wenn die Verarbeitung personenbezogener Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung erfolgt.
Sofern eine gesetzliche Verpflichtung zur Benennung nach der DSGVO oder dem BDSG besteht, ist der Beauftragte unverzüglich zu benennen.
ACHTUNG: Der Gesetzgeber plant derzeit, die Anzahl der Personen, die sich ständig mit der automatisierten Verarbeitung personenbezogener Daten in einem Unternehmen beschäftigen müssen, um die Pflicht zur Benennung eines Datenschutzbeauftragten auszulösen, von zehn auf 20 zu erhöhen.
Das Gesetz wird – die ausstehende Zustimmung des Bundesrats vorausgesetzt – vermutlich Ende des Jahres in Kraft treten.
Bereits benannte Datenschutzbeauftragte werden zu sogenannten freiwilligen Beauftragten.
Die strengen Anforderungen der DSGVO bleiben für sie bestehen. Lediglich nach § 38 Abs. 2 BDSG sind wenige Ausnahmen geregelt, die dem freiwilligen Beauftragten Erleichterungen einräumen, aber auch seinen Kündigungsschutz aufweichen.
Wie ist der DSB zu benennen?
Die DSGVO gibt keine Form vor. Damit sie sich besser nachweisen lässt, ist jedoch eine schriftliche Benennung empfehlenswert.
Sie sollte Art. 39 DSGVO zitieren, der die Aufgaben des Datenschutzbeauftragten festlegt, und gegebenenfalls darüber hinausgehende Aufgaben nennen.
Wer muss den DSB wo melden?
Die DSGVO sieht vor, dass der Verantwortliche oder der Auftragsverarbeiter den DSB gegenüber der Aufsichtsbehörde meldet (Art. 37 Abs. 7 DSGVO).
Häufig lassen die Aufsichtsbehörden auch eine Meldung in Vollmacht zu, sofern nicht begründete Zweifel an der Richtigkeit der Meldung bestehen.
Ein solcher Zweifel könnte anzunehmen sein, wenn der Aufsichtsbehörde z.B. bekannt ist, dass der benannte Beauftragte oder der meldende Bevollmächtigte nicht bzw. nicht mehr für den Verantwortlichen tätig werden darf und sich hieraus ein Widerspruch zur Meldung ergibt.
Die Meldung kann meist unproblematisch über Online-Formulare auf den Webseiten der Aufsichtsbehörden erfolgen.
Anzugeben sind die meldende Stelle, ihre Adressdaten, die Art der Mitteilung (Erst- oder Änderungsmitteilung), die Adressdaten des Datenschutzbeauftragten und wie er per E-Mail oder Telefon zu erreichen ist.
Den Namen des Datenschutzbeauftragten zu nennen, ist zwar optional. Es ist gleichwohl dringend zu empfehlen, da er der wesentliche Ansprechpartner der Aufsichtsbehörde ist und sie ihn beratend unterstützt.
Die Meldung ist gegenüber der Landesaufsichtsbehörde abzugeben, in deren Bundesland die Stelle, die meldet, ihren Sitz hat.
Ist es möglich, eine juristische Person als DSB zu melden?
Die Meinungen, ob sich auch eine juristische Person als Datenschutzbeauftragte melden lässt, gehen derzeit weit auseinander. Die Positionen:
- Die eine Seite vertritt, dass die Meldung einer juristischen Person möglich sei. Denn die DSGVO schließe sie nicht konkret aus.
- Die andere Seite hält dem entgegen, dass sich sowohl nach dem Wortlaut von Art. 37 Abs. 6 DSGVO, der bestimmt, dass der DSB gleichzeitig Beschäftigter des Verantwortlichen sein kann, als auch von Art. 37 Abs. 5 DSGVO, der eine entsprechende Qualifikation und ein spezielles Fachwissen der erwählten Person voraussetzt, der Gesetzgeber eine natürliche Person vorgestellt habe. Auch soll der Datenschutzbeauftragte ein gewisses Vertrauensverhältnis zur Geschäftsführung haben und die inneren Strukturen des Unternehmens gut kennen.
Ob die genannten Merkmale auf eine juristische Person zutreffen können, ist fraglich.
Hervorzuheben ist darüber hinaus, dass jeder Mitarbeiter der benannten juristischen Person als Ansprechpartner des Verantwortlichen und seiner Beschäftigten bereitstehen muss. Das dürfte in der Praxis schwer umzusetzen sein.
Die Aufsichtsbehörden empfehlen daher in der Regel, eine konkrete natürliche Person zu benennen – auch als Teil einer juristischen Person.
Sie tolerieren aber auch die Benennung und Meldung von juristischen Personen.
Wie lassen sich Meldungen überprüfen?
Ob Meldungen korrekt erfolgen, können die Aufsichtsbehörden aufgrund der Vielzahl der Eingaben nur stichprobenartig überprüfen.
Grundsätzlich akzeptieren die Behörden die Meldungen jedoch, sofern keine Zweifel an ihrer Richtigkeit bestehen.
Widersprechen sich Meldungen oder ist den Bearbeitern eine andere Person als Datenschutzbeauftragter in der zu meldenden Stelle bekannt, verlangen die Aufsichten, dass der Verantwortliche eine Ernennungsurkunde vorlegt.
Kann er diese nicht vorzeigen und die Ernennung nachweisen, muss die Datenschutzaufsicht die Stelle so behandeln, als hätte sie keine Meldung vorgenommen.
Wie lässt sich ein DSB abberufen?
Vereinzelt gab es die Meinung, ein interner Datenschutzbeauftragter sei unkündbar. Hergeleitet wurde diese Auffassung aus der Formulierung von Art. 38 Abs. 3 Satz 2 DSGVO. Er legt fest, dass der Verantwortliche den Datenschutzbeauftragten nicht wegen der Erfüllung seiner Aufgaben abberufen kann.
Im Einvernehmen möglich
Einen Datenschutzbeauftragten abzuberufen, ist gleichwohl im beiderseitigen Einvernehmen zunächst ohne Weiteres möglich.
Der DSB kann auch selbst kündigen oder sein Amt niederlegen, sofern er dem Verantwortlichen genügend Zeit einräumt, um einen anderen Datenschutzbeauftragten neu zu bestellen.
Einen betrieblich bestellten Datenschutzbeauftragten lediglich auf Wunsch des Verantwortlichen abzuberufen, ist hingegen nur aus wichtigem Grund möglich.
Hierbei sind die strengen Maßstäbe des Arbeitsrechts heranzuziehen. So genügt es beispielsweise nicht, einen externen statt eines internen Datenschutzbeauftragten benennen zu wollen.
Auch bei Zweifeln an Integrität
Art. 38 Abs. 3 Satz 2 DSGVO soll gewährleisten, dass der DSB in seiner Entscheidungsfindung unabhängig und aufrichtig ist.
Bei starken Eingriffen des Beauftragten in das Vertrauensverhältnis oder begründeten Zweifeln an seiner Integrität kann dagegen eine Abberufung möglich sein.
Das kann z.B. passieren, wenn der DSB ein Berufs- bzw. Geschäftsgeheimnis weitergibt oder Verstöße gegen rechtliche Vorschriften an die jeweiligen staatlichen Aufsichtsbehörden oder an unbefugte Dritte meldet (Whistleblowing).
Da die Beweislast hierfür jedoch beim Verantwortlichen liegt, muss er den DSB bereits vor seiner Benennung sorgfältig auswählen.
Beschäftigt ein Verantwortlicher einen externen Datenschutzbeauftragten, kann er schlicht dessen Dienstleistungsvertrag fristgerecht kündigen.
Ist es möglich, einen externen DSB zu benennen, der bereits für die Muttergesellschaft tätig ist?
Ein Beauftragter lässt sich gleichzeitig für mehrere Unternehmen eines Konzerns benennen.
Beim sogenannten „Konzernprivileg“ gemäß Art. 37 Abs. 2 DSGVO ging der Gesetzgeber davon aus, dass Verantwortliche die Benennung eines Beauftragten für mehrere Tochterunternehmen oder für das Mutter- und das Tochterunternehmen aus Praktikabilitätsgründen in Erwägung ziehen würden.
Für öffentliche Stellen findet sich die entsprechende Regelung in Art. 37 Abs. 3 DSGVO. Hierbei ist jedoch zu beachten, dass der Beauftragte von allen Niederlassungen aus gut erreichbar sein muss. Das bedeutet, sowohl mögliche sprachliche als auch räumliche Barrieren zu vermeiden.
Im Rahmen der Benennung eines externen Datenschutzbeauftragten kann ein Verantwortlicher auch eine Person beauftragen, die bereits in einem Drittunternehmen als DSB tätig ist.
Er muss sich allerdings fragen, ob ein einzelner Datenschutzbeauftragter mehrere Unternehmen mit der notwendigen Sorgfalt betreuen kann.
Denn das gesetzliche Aufgabenspektrum fordert einem Datenschutzbeauftragten ein erhebliches Zeitkontingent ab. Das muss sich ein Verantwortlicher also genau anschauen.
Können Aufsichtsbehörden einen externen DSB empfehlen?
Zahlreiche Unternehmen fragen sich, woher sie einen Datenschutzbeauftragten nehmen sollen.
Viele interne Mitarbeiter erfüllen die Qualifikationsmerkmale der DSGVO nicht, da sie nicht über das geforderte Fachwissen verfügen. Andere Mitarbeiter bekleiden bereits Positionen, die bei der Benennung in Personalunion zum Interessenkonflikt führen würden (siehe dazu Ehmann, Heft 08/2019, S. 1 ff.).
Häufig bitten Verantwortliche daher die Aufsichtsbehörden, einen qualifizierten externen DSB zu empfehlen. Eine solche Empfehlung ist jedoch nicht möglich.
Die DSGVO verlangt, dass der DSB die internen Unternehmensstrukturen kennt und dass ein Vertrauensverhältnis zum Verantwortlichen besteht, von dem er die erforderlichen Kapazitäten und Ressourcen erhalten muss.
Ferner erfordert die Anzahl an Kategorien der zu verarbeitenden Daten inklusive ihrer Sensibilität umfassende differenzierte Schulungsmaßnahmen und setzt Erfahrungen des jeweiligen Datenschutzbeauftragten voraus.
Beispiel: Ein Datenschutzbeauftragter in einem Krankenhaus, das Gesundheitsdaten verarbeitet, muss andere Anforderungen erfüllen als der DSB eines Finanzunternehmens, das Bankdaten verarbeitet.
Nicht vereinbar mit Gleichbehandlung
Die Aufsichtsbehörden können folglich nicht pauschal einschätzen, welcher Datenschutzbeauftragte für die anfragende Stelle geeignet ist.
Einer Empfehlung steht zudem entgegen, dass die Aufsichtsbehörde frei und unbefangen alle Unternehmen und Beauftragten gleichberechtigt kontrolliert und berät. Einzelne Beauftragte zu empfehlen, ist daher auch nicht geboten.
Weiterführende Informationen
Die Aufsichtsbehörden sind daran interessiert, dass die Benennung eines Datenschutzbeauftragten rechtmäßig, zügig und zukunftsorientiert, d.h. mit Blick auf eine gewisse Beständigkeit erfolgt.
Daher stellen sie den Verantwortlichen und Auftragsverarbeitern kostenlose Leitfäden und Broschüren zur Verfügung. Einige Beispiele:
- Muss ich einen Datenschutzbeauftragten benennen? – Rechtliche Voraussetzungen unter der DS-GVO, https://ogy.de/brandenburg-dsb
- Der behördliche Datenschutzbeauftragte, https://ogy.de/bayern-behoerdlicher-dsb
- FAQ zum Datenschutzbeauftragten, https://ogy.de/nrw-dsb-faq
- Praxisratgeber die/der Datenschutzbeauftragte, https://ogy.de/bw-ratgeber-dsb