Die Bestellung zum Datenschutzbeauftragten
Art. 37 Datenschutz-Grundverordnung (DSGVO) enthält zwei Grundregeln für die DSB-Benennung:
- Behörden und (andere) öffentliche Stellen müssen „auf jeden Fall“ einen Datenschutzbeauftragten bestellen (Art. 37 Abs. 1 Satz 1 Buchst. a DSGVO).
- Dasselbe gilt für nicht-öffentliche Stellen, sofern sie bestimmte „Kerntätigkeiten“ ausüben (Art. 37 Abs. 1 Satz 1 Buchst. b und c DSGVO). Klassisches Beispiel: Jedes Krankenhaus muss einen DSB bestellen. Denn seine Kerntätigkeit besteht in der umfangreichen Verarbeitung von Gesundheitsdaten, die Art. 9 Abs. 1 DSGVO besonders schützt. Damit folgt eine Pflicht zur Bestellung eines DSB aus Art. 37 Abs. 1 Satz 1 Buchst. c DSGVO. Darauf, wie viele Personen eine Stelle mit solchen Kerntätigkeiten beschäftigt, kommt es dabei nicht an.
§ 38 BDSG-neu als nationale Zusatzregelung
Darüber hinaus erlaubt die Datenschutz-Grundverordnung Folgendes: Die Mitgliedstaaten dürfen nicht-öffentliche Stellen auch dann zur Bestellung eines DSB verpflichten, wenn die DSGVO selbst dies nicht vorsieht (Art. 37 Abs. 4 Satz 1 Halbsatz 2 DSGVO).
Von dieser Möglichkeit hat § 38 Abs. 1 BDSG-neu Gebrauch gemacht. Er verlangt einen DSB für alle nicht-öffentlichen Stellen, die „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“
§ 5 BDSG-neu – eine tückische Regelung
5 BDSG-neu, der für alle öffentlichen Stellen die Bestellung eines Datenschutzbeauftragten fordert, hat für Unternehmen keinerlei Bedeutung. Für Behörden, die der Grundverordnung unterfallen, enthält er lediglich eine überflüssige (und damit europarechtlich unzulässige) Wiederholung von Art. 37 Abs. 1 Satz 1 Buchst. a DSGVO.
Von Bedeutung ist § 5 BDSG-neu allerdings für Behörden, die der Datenschutz-Richtlinie für Polizei und Justiz EU 2016/680 unterliegen. Für sie begründet er die Pflicht zur Bestellung eines DSB. Die DSGVO ist für diese Behörden nicht anwendbar. Die für sie einschlägige Richtlinie EU 2016/680 wiederum trifft selbst keine unmittelbare Festlegung, wann ein Datenschutzbeauftragter zu bestellen ist. Diese Festlegung verlangt sie vielmehr vom jeweiligen nationalen Gesetzgeber (siehe Art. 32 Abs.1 Satz 1 der Richtlinie). Sie ist für Deutschland in § 5 BDSG-neu enthalten.
Freiwillige Benennung eines DSB
Falls eine nicht-öffentliche Stelle nach den Vorgaben von DSGVO und BDSG-neu keinen DSB benennen muss, kann sie dies freiwillig tun (Art. 37 Abs. 4 Satz 1 Halbsatz 1 DSGVO). Für die Tätigkeit eines solchen „freiwilligen DSB“ gelten dieselben Regelungen wie für einen „Pflicht-DSB“.
Der Vorgang der „Benennung“
Ein Datenschutzbeauftragter ist zu „benennen“. So formuliert es Art. 37 DSGVO. Die Datenschutz-Grundverordnung definiert diesen Begriff nicht ausdrücklich. Er bedeutet, dass der Verantwortliche festlegt, wer die Funktion eines DSB wahrnimmt. Diese Festlegung an sich trifft der Verantwortliche einseitig.
Getrennt davon ist eine vertragliche, also zweiseitige Vereinbarung mit dem (künftigen) DSB erforderlich, dass er diese Funktion übernimmt. Die DSGVO sagt dazu nichts. Daraus ergibt sich, dass der Verantwortliche einem anderen die Pflichten eines DSB nicht einseitig auferlegen kann.
Eine – allerdings nur scheinbare – Ausnahme hiervon gilt, wenn der Datenschutzbeauftragte Arbeitnehmer des Verantwortlichen ist und der Verantwortliche ihm die Aufgabe des DSB einseitig aufgrund seines arbeitsrechtlichen Direktionsrechts überträgt. Diese Übertragung muss dann allerdings gemäß dem Arbeitsvertrag zulässig sein. Der Arbeitsvertrag wiederum stellt eine zweiseitige Vereinbarung dar.
Schriftform sinnvoll
Die DSGVO schreibt nicht vor, dass die Benennung schriftlich erfolgen muss. Eine mündliche Benennung wäre also denkbar.
Sinnvoll ist ein solches Vorgehen aber jedenfalls dann nicht, wenn es sich um einen „Pflicht-DSB“ handelt. Denn dann muss der Verantwortliche im Einzelfall nachweisen, dass der erforderliche DSB zu jedem Zeitpunkt vorhanden war. Das ist ohne schriftliche Dokumentation deutlich erschwert oder sogar unmöglich.
Bestellungsgrundlage klarstellen
Klargestellt werden sollte, ob ein „Pflicht-DSB“ gemäß Art. 37 DSGVO, ein „Pflicht-DSB“ gemäß § 38 Abs. 1 BDSG-neu oder ein „freiwilliger DSB“ gemäß Art. 38 Abs. 4 Satz 1 Halbsatz 1 DSGVO bestellt wird.
Die Pflichten und Rechte der verschiedenen Arten von DSB unterscheiden sich zwar nicht. Oft nimmt der DSB jedoch auch noch andere Aufgaben und Pflichten wahr. Das ist prinzipiell zulässig (Art. 38 Abs. 6 Satz 1 DSGVO). Allerdings ist dann darauf zu achten, dass solche anderen Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen (Art. 38 Abs. 6 Satz 2 DSGVO).
Bei der Beurteilung dieser Frage kann es im Einzelfall einen Unterschied machen, was der Anlass für die Bestellung eines Datenschutzbeauftragten war.
Tätigkeit eines DSB für mehrere verbundene Unternehmen
Aus der Bestellung muss eindeutig zu entnehmen sein, wer den DSB bestellt und für welche rechtliche Einheit oder Einheiten der Datenschutzbeauftragte diese Funktion wahrnehmen soll.
Diese Eindeutigkeit ist vor folgendem Hintergrund äußerst wichtig:
- Typischerweise benennt der Verantwortliche einen Datenschutzbeauftragten (nur) für seinen eigenen Bereich. Beispiel: Eine GmbH als Verantwortlicher gemäß Art. 4 Abs. 7 DSGVO benennt einen DSB für die GmbH.
- Die DSGVO lässt jedoch auch zu, dass eine Unternehmensgruppe für alle Unternehmen der Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten ernennt (Art. 37 Abs. 2 DSGVO). Eine Unternehmensgruppe besteht aus einem herrschenden Unternehmen und Unternehmen, die vom herrschenden Unternehmen abhängig sind (siehe Art. 4 Nr. 19 DSGVO). In solchen Fällen kann Unklarheit darüber entstehen, ob ein vom herrschenden Unternehmen als „Kopf“ der Unternehmensgruppe ernannter DSB nur für den Bereich dieses Unternehmens tätig werden soll oder auch für alle oder einzelne abhängige Unternehmen.
Tätigkeit eines DSB für mehrere nicht verbundene Unternehmen
Es ist zulässig, dass ein und dieselbe Person gleichzeitig DSB für mehrere Unternehmen ist. Das ist auch dann der Fall, wenn die Unternehmen nicht als Unternehmensgruppe anzusehen sind. In diesem Fall ist eine gesonderte Bestellung des DSB durch jedes einzelne Unternehmen erforderlich. Jedes Unternehmen ist als eigener Verantwortlicher anzusehen.
Ein Hinweis in der Bestellung, dass der Datenschutzbeauftragte auch noch für andere Verantwortliche tätig ist, ist nicht vorgeschrieben. Er kann im Einzelfall sinnvoll sein, um mögliche Interessenkonflikte leichter erkennen zu können.
Ansprechpartner auf der höchsten Managementebene
Oft besteht die höchste Managementebene des Verantwortlichen aus mehreren Personen. Beispiel: Eine Aktiengesellschaft verfügt über einen Vorstand, der aus fünf Personen besteht. In solchen Fällen ist eine Klarstellung in der Benennung erforderlich, welcher von diesen Personen der DSB unmittelbar berichtet. Die DSGVO schreibt lediglich allgemein vor, dass der DSB „unmittelbar der höchsten Managementebene des Verantwortlichen“ berichtet (Art. 38 Abs. 4 Satz 2 DSGVO).
Organisatorische Anbindung des DSB
Die DSGVO regelt nur, an welche Ebene der DSB unmittelbar „berichtet“. Sie schreibt dagegen nicht vor, dass der DSB organisatorisch unmittelbar der höchsten Managementebene zu unterstellen ist. Insoweit besteht eine Abweichung zum jetzt noch geltenden § 4f Abs. 2 Satz 1 BDSG, der genau dies anordnet.
Dass diese Interpretation zutrifft, belegt das Arbeitspapier 243 der Gruppe nach Art. 29. Dort wird in Ziffer 3.1 empfohlen, dass der Verantwortliche den Datenschutzbeauftragten dazu einlädt, regelmäßig an Besprechungen des mittleren und obersten Managements teilzunehmen. Das soll sicherstellen, dass der DSB angemessen in alle Fragen eingebunden wird, die mit dem Schutz personenbezogener Daten zusammenhängen (siehe Art. 38 Abs. 1 DSGVO).
Die Gruppe nach Art. 29 geht also davon aus, dass der DSB nicht schon ohnehin aufgrund seiner organisatorischen Anbindung an Besprechungen der obersten Ebene teilnimmt.
Aufgaben des DSB als solchen
Sorgfältig ist festzulegen, was genau die Aufgaben des DSB sind. Enthält die Benennung hierzu keine Aussage, gilt der Katalog der gesetzlichen Mindestaufgaben gemäß Art. 39 Abs. 1 DSGVO.
Außerdem hat der DSB dann noch die Aufgaben, die sich aus anderen Regelungen der DSGVO ergeben. Dies betrifft v.a. die Tätigkeit des DSB speziell als Anlaufstelle gegenüber der Aufsichtsbehörde für weitere Informationen bei einer Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 3 Buchst. b DSGVO).
DSB als Anlaufstelle der Aufsichtsbehörde
Dieses Beispiel zeigt, dass auch im Gesetz festgelegte Aufgaben des DSB nicht immer eindeutig geregelt sind. In Art. 33 Abs. 3 Buchst. b DSGVO ist nämlich alternativ zugelassen, statt Namen und Kontaktdaten des Datenschutzbeauftragten Namen und Kontaktdaten einer sonstigen Anlaufstelle gegenüber der Aufsichtsbehörde zu nennen.
Ohne ausdrückliche Festlegung weiß der DSB im Ernstfall hier also nicht ohne Weiteres, ob seine Benennung als Anlaufstelle gegenüber der Aufsichtsbehörde vorgesehen ist oder nicht. Das kann zu gefährlichen Verzögerungen in der Zusammenarbeit mit der Aufsichtsbehörde führen.
Schulung von Mitarbeitern
Art. 39 Abs. 1 DSGVO enthält nur einen Mindestkatalog der Aufgaben eines DSB. Daneben können ihm weitere Datenschutzaufgaben übertragen werden.
Ein Beispiel hierfür ist die Schulung von Mitarbeitern. Sie ist in Art. 39 Abs. 1 Buchst. b DSGVO ausdrücklich erwähnt. Allerdings überträgt diese Vorschrift nicht die gesamte Schulung von Mitarbeitern auf den DSB. Vielmehr verpflichtet sie ihn nur dazu, die „Strategien des Verantwortlichen“ u.a. im Hinblick auf die Schulung zu überprüfen.
Das ist so allgemein formuliert, dass z.B. klargestellt werden sollte, ob (und für wen) der DSB auch selbst Schulungen anzubieten hat. Wenn dies festgelegt wird, gehört die Durchführung dieser Schulungen zu den Aufgaben des DSB gemäß Art. 39 Abs. 1 DSGVO.
Führung des Verzeichnisses von Verarbeitungstätigkeiten
Nicht zu den gesetzlichen Aufgaben des DSB gehört das Führen des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 Abs. 1 DSGVO). Sie obliegt vielmehr dem Verantwortlichen.
Eine Übertragung als Aufgabe des Datenschutzbeauftragten gemäß Art. 39 DSGVO ist möglich. Das sieht auch das Arbeitspapier 243 der Gruppe nach Art. 29 so (siehe dort Ziffer 4.4). Selbstverständliche Voraussetzung ist dabei, dass dem Datenschutzbeauftragten die nötigen Ressourcen zur Verfügung stehen (Art. 38 Abs. 2 DSGVO).
„Andere“ Aufgaben und Pflichten
Von der Übertragung weiterer Aufgaben, die mit dem Datenschutz zusammenhängen, ist die Übertragung „anderer Aufgaben und Pflichten“ auf den DSB zu trennen, die keinen inhaltlichen Bezug zum Datenschutz haben. Ihre Übertragung ist nur unter der Voraussetzung zulässig, dass sie nicht zu einem Interessenkonflikt führen (siehe Art. 38 Abs. 6 DSGVO).
Das betrifft die häufigen Fälle, in denen ein DSB nur einen Teil seiner Arbeitszeit dieser Funktion widmen kann und im Übrigen völlig andere Aufgaben wahrnimmt. Diese anderen Aufgaben sollten in der Benennung aufgeführt werden. Damit ist dann eindeutig dokumentiert, ob diese Tätigkeiten zu einem Interessenkonflikt führen oder nicht.
Ressourcen in der Benennung festlegen
Nicht vorgeschrieben ist es, bei der Benennung festzulegen, welche Ressourcen dem DSB zur Verfügung stehen.
Art. 38 Abs. 2 DSGVO gibt ihm allerdings einen gesetzlichen Anspruch auf die Ressourcen, die zur Erfüllung seiner Aufgaben erforderlich sind. Oft ist es sinnvoll, die Diskussion darüber bereits anlässlich der Benennung als DSB zu führen und das Ergebnis ausdrücklich in der Benennung festzuhalten. Das kann spätere Konflikte vermeiden.
Unterschrift des DSB unter die Benennung
Eine schriftliche Bestätigung durch den DSB, dass er seine Benennung zur Kenntnis genommen hat, ist sinnvoll. So lässt sich gegenüber der Aufsichtsbehörde im Bedarfsfall dokumentieren, dass er sich seiner Aufgaben bewusst war.
Rechtlich erforderlich ist die Unterschrift des Datenschutzbeauftragten unter seine Benennung jedoch nicht. Die Benennung erfolgt rechtlich gesehen einseitig durch den Verantwortlichen und stellt keinen Vertrag dar.
Muster: Benennung eines Mitarbeiters zum DSB, der außerdem noch andere Aufgaben im Unternehmen wahrnimmt.