Eine wesentliche organisatorische Maßnahme zur Gewährleistung der rechtskonformen Datenverarbeitung und internen Kontrollfähigkeit im Unternehmen ist nach derzeitiger Rechtslage die Bestellung eines betrieblichen Datenschutzbeauftragten. Dies bleibt grundsätzlich auch so, wenn ab 25.05.2018 die DSGVO und das BDSG neu gelten. Die sog. „Artikel 29 – Datenschutzgruppe“, ein offizielles Beratungsgremium der Europäischen Kommission in Datenschutzfragen, beschreibt den Datenschutzbeauftragten gar als „Herz“ des neuen Regelungswerks bzw. ein Compliance-Meilenstein, der immer mehr zum Wettbewerbsvorteil für Unternehmen werden kann.
Unternehmen, die bereits jetzt zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, bleiben dies in der Regel auch nach der neuen Rechtslage. Darüber hinaus ergeben sich jedoch neue (Prüf-)Pflichten für Unternehmen, die – bisher privilegiert – als sog. Auftragsverarbeiter personenbezogene Daten lediglich im Auftrag Dritter halten und verarbeiten oder diejenigen, die überwachungsgeneigte Technik einsetzen oder besondere Kategorien von Daten verarbeiten, wie beispielsweise Gesundheitsdaten, Daten zur ethnischen Herkunft oder über die Gewerkschaftszugehörigkeit.
Nachfolgend werden die neuen Regelungen zum Datenschutzbeauftragten und ihre Bedeutung für Unternehmen überblicksartig beleuchtet.
1. Der Datenschutzbeauftragte als Berater und Überwachungsinstanz im Unternehmen
Dem Datenschutzbeauftragten obliegt nach DSGVO im Wesentlichen die Unterrichtung und Beratung der Unternehmensführung und der Beschäftigten hinsichtlich ihrer datenschutzrechtlichen Pflichten, die Überwachung der Einhaltung der Datenschutzvorschriften, einschließlich der Zuweisung von Zuständigkeiten sowie die Sensibilisierung und Schulung von Mitarbeitern. Darüber hinaus treffen ihn Beratungspflichten im Zusammenhang mit der Durchführung und Überwachung von Datenschutz-Folgenabschätzungen. Schließlich gehört die Zusammenarbeit mit Aufsichtsbehörden zu seinem Tätigkeitsfeld.
Hierzu ist er frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubeziehen. Wie bereits in unserem Artikel zur Einführung eines Datenschutzmanagementsystems ausgeführt, empfiehlt es sich in der internen Datenschutzrichtlinie zu regeln, in welchen Fällen der Datenschutzbeauftragte in Entscheidungen und Prozesse einzubeziehen ist, etwa bei der Neueinstellung von Mitarbeitern oder der Einführung neuer Technik- oder Softwarelösungen.
Auch nach der DSGVO ist darauf zu achten, dass als Datenschutzbeauftragte nicht Personen bestimmt werden dürfen, bei denen aufgrund ihrer sonstigen Rolle und Tätigkeitsbeschreibung im Unternehmen Interessenkonflikte vorprogrammiert sind. Dies trifft sowohl die Geschäftsführung und Prokuristen, als auch Leiter der Personal- oder IT-Abteilung. Diese Funktionsträger haben umfassende Zugriffsrechte auf personenbezogene Daten, was eine unabhängige Aufgabenwahrnehmung als Datenschutzbeauftragter grundsätzlich ausschließt.
2. Bestellpflicht für Unternehmen
Unternehmen haben einen Datenschutzbeauftragten zu bestellen, wenn in der Regel mindestens 10 Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Eine automatisierte Verarbeitung liegt bereits vor, wenn den Mitarbeitern ein IT-basierter Arbeitsplatz, ein Tablet oder Smartphone zur Verfügung steht und die Kommunikation mit Kollegen, Geschäftspartnern oder Kunden per E-Mail erfolgt. Insoweit hat Deutschland durch eine besondere Regelung im BDSG neu von der Möglichkeit Gebrauch gemacht, die bisherige Rechtslage im Inland weiterhin zur Anwendung zu bringen. Die DSGVO führt diesbezüglich kaum zu Änderungen.
Eine Bestellpflicht besteht nach DSGVO – unabhängig von der Mitarbeiterzahl – aber auch dann, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche eine umfangreiche, regelmäßige und systematische Überwachung von Personen erforderlich machen. Ersteres ist zum Beispiel von Unternehmen zu beachten, die sog. „Wearables“, etwa zur Überwachung von Fitness- und Gesundheitsdaten, einsetzen. Die umfangreiche Verarbeitung besonderer Kategorien von Daten ist beispielsweise für Krankenhäuser und (Zahn-)Arztpraxen sowie Labore relevant.
Wann die Verarbeitung umfangreich ist, ist im Gesetz nicht geregelt. Es ist davon auszugehen, dass dieser unbestimmte Rechtsbegriff in Zukunft von europäischen Gerichten näher ausgestaltet wird. Als relevante Kriterien werden die Anzahl der Betroffenen, der Datenumfang, die Dauer und der räumliche Umfang (lokal oder weltweit) der Datenverarbeitung genannt. Als Beispiel für die Bestellpflicht wird die Verarbeitung von Patientendaten in einem Krankenhaus aufgeführt. Bei der Verarbeitung von Patientendaten durch einen einzelnen Arzt wird die Bestellpflicht durch die Artikel 29-Gruppe verneint. Dazwischen herrscht aktuell eine erhebliche Grauzone und Rechtsunsicherheit, der aktuell mit der Empfehlung begegnet wird, im Zweifel einen Datenschutzbeauftragten zu bestellen.
3. Dokumentation der Prüfung, ob ein Datenschutzbeauftragter zu bestellen ist
Zu beachten ist, dass die Prüfung, ob ein Datenschutzbeauftragter zu bestellen ist, in den meisten Fällen Teil der Rechenschaftspflicht der Unternehmen nach DSGVO ist. Ihre Durchführung ist zukünftig zu dokumentieren. Insbesondere ist dabei nachvollziehbar darzustellen, dass die einschlägigen Kriterien (Mitarbeiterzahl, Art und Umfang der verarbeiteten Daten u.ä.) geprüft und ggf. aus welchen Gründen als nicht einschlägig betrachtet wurden.
Eine weitere Neuerung ist, dass das Unternehmen ab dem 25.05.2018 die Kontaktdaten des Datenschutzbeauftragten – etwa auf der Internetseite – zu veröffentlichen hat und diese Daten der Aufsichtsbehörde mitzuteilen sind.
4. Datenschutzbeauftragter: Extern oder intern?
Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder auch ein externer Fachmann. Vorteil einer internen Lösung kann es sein, dass der ausgewählte Mitarbeiter die Arbeitsabläufe bereits kennt. Vom Unternehmen müssen ihm jedoch die notwendigen Ressourcen zur Erhaltung seines Fachwissens zur Verfügung gestellt, etwa Fortbildungen ermöglicht werden. Im Übrigen muss er zumindest teilweise vom Kerngeschäft freigestellt und ihm von der Unternehmensführung die weisungsfreie Aufgabenwahrnehmung garantiert werden. Schließlich darf der Datenschutzbeauftragte nicht wegen der Erfüllung seiner Aufgaben abberufen oder gegenüber sonstigen Mitarbeitern benachteiligt werden. Hieraus ergeben sich die Vorteile einen externen Datenschutzbeauftragten zu bestellen. Dieser ist grundsätzlich selbst für den Erhalt seiner Fachkunde verantwortlich und unterliegt keinem Benachteiligungsverbot.
Eine persönliche Haftung des Datenschutzbeauftragten bei Verletzung von Datenschutzvorschriften durch das Unternehmen wird von der Artikel 29-Datenschutzgruppe abgelehnt und damit klargestellt, dass die Verantwortung für die datenschutzkonforme Verarbeitung bei der verantwortlichen Stelle oder dem Auftragsverarbeiter liegt. Ob damit aber für jeden Fall eines Beratungsfehlers ein Regress auszuschließen ist, bleibt einer Einzelfallprüfung vorbehalten.
Verstöße gegen die Bestellpflicht können mit einem Bußgeld von bis zu 10 Mio. Euro bzw. 2 % des weltweiten Jahresumsatzes des Unternehmens belegt werden. Die Bußgeldandrohung gilt im Grundsatz ebenso für Fälle, bei denen Personen mit dem Potential zu Interessenkonflikten als Datenschutzbeauftragte bestellt werden.
6. Ausblick
Auch wenn Unternehmen gesetzlich nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, kann die Bestellung eines Datenschutzbeauftragter wirtschaftlich sinnvoll sein. Das Unternehmen hat in jedem Fall die Einhaltung und Kontrolle der Datenschutzvorschriften sicherzustellen und zu dokumentieren. Hierbei können Datenschutzbeauftragte fachlich unterstützen und damit die Unternehmensführung entlasten und gleichzeitig auf das gestiegene Datenschutzbewusstsein von Kunden oder Geschäftspartnern reagieren.
- BGH-Urteil zum Facebook-Datenleck: Schadensersatz bei Kontrollverlust - 19. November 2024
- Erstes KI-Urteil in Deutschland: LG Hamburg entscheidet im Urheberrechtsstreit um KI-Trainingsdaten - 9. Oktober 2024
- EuGH: Datenschutzbehörden müssen nicht in jedem Fall Bußgelder verhängen - 26. September 2024