Die Datenschutz-Grundverordnung (DSGVO) sieht vor, dass Unternehmen in bestimmten Fällen einen Datenschutzbeauftragten zu bestellen haben. Der Datenschutzbeauftragte ist die erste Ansprechperson in datenschutzrechtlichen Fragen.
Gemäß Art 37 DSGVO haben Verantwortliche und Auftragsverarbeiter einen Datenschutzbeauftragten zu bestellen, wenn die Kerntätigkeit des Unternehmens entweder in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder in der Verarbeitung besonderer Kategorien von Daten (sensible Daten") bzw. von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten liegt.
Die Verpflichtung zur Benennung eines Datenschutzbeauftragten ist dabei unabhängig von der Unternehmensgröße oder der Anzahl der Mitarbeiter. Eine Unternehmensgruppe – also etwa ein Konzern – darf einen gemeinsamen (Konzern-) Datenschutzbeauftragten ernennen, sofern dieser von jeder Niederlassung aus leicht erreicht werden kann.
Bei Verstößen gegen die Verpflichtung zur Bestellung eines Datenschutzbeauftragten drohen Geldbußen von bis zu EUR 10 Mio oder 2 % des gesamten weltweit erzielten Jahresumsatzes.
Die Aufgaben des Datenschutzbeauftragten
Die wesentlichen Aufgaben des Datenschutz-beauftragten bestehen in seiner Funktion als internes Beratungs-und Kontrollorgan. So hat der Datenschutzbeauftragte insbesondere die Verantwortlichen bzw. Auftragsverarbeiter und deren Beschäftigte hinsichtlich ihrer Pflichten nach der DSGVO und den nationalen Datenschutzbestimmungen zu unterrichten und zu beraten und die Einhaltung datenschutzrechtlicher Bestimmungen zu kontrollieren. Der Datenschutzbeauftragte hat überdies eine Beratungs-und Überwachungsfunktion im Zusammenhang mit der Datenschutz- Folgenabschätzung. Als interne Anlaufstelle obliegt dem Datenschutzbeauftragten außerdem die Zusammenarbeit mit der Aufsichtsbehörde.
Unabhängigkeit und Weisungsfreiheit des Datenschutzbeauftragten
Unternehmen haben gemäß Art 38 DSGVO sicherzustellen, dass der Datenschutzbeauftragte in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird, und den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen. Dabei ist insbesondere sicherzustellen, dass Datenschutzbeauftragte bei der Erfüllung ihrer Aufgaben keinerlei Anweisungen erhalten; sie sollen ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.
Vermeidung von Interessenkonflikten
Datenschutzbeauftragte können entweder Arbeitnehmer des Unternehmens oder externe Datenschutzbeauftragte auf Grundlage eines Dienstleistungsvertrages sein. Handelt es sich beim Datenschutzbeauftragten um einen Arbeitnehmer, der neben seiner Funktion als Datenschutzbeauftragter auch andere Aufgaben und Pflichten wahrzunehmen hat, so sind diese beiden Funktionen und die sich daraus ergebenden Rechte und Pflichten voneinander zu trennen. Während er bei der Erfüllung seiner Aufgaben als Datenschutzbeauftragter weisungsfrei ist, ist derselbe Arbeitnehmer bezüglich der sonstigen Aufgaben wie jeder Arbeitnehmer den Weisungen des Arbeitgebers unterworfen.
In solchen Fällen sind Verantwortliche und Auftragsverarbeiter auch verpflichtet, Interessenskonflikte zu vermeiden. Datenschutz-beauftragte dürfen deshalb nicht mit Aufgaben und Pflichten betraut werden, die zu einem Interessen-konflikt führen können. Damit sind insbesondere Positionen gemeint, die es mit sich bringen, den Zweck und die Mittel der Verarbeitung personenbezogener Daten festzulegen. Ein Interessenkonflikt kann etwa dann entstehen, wenn sich der Datenschutzbeauftragte selbst kontrollieren müsste. Dies wäre beispielsweise der Fall, wenn er gleichzeitig die Leitung der IT-Abteilung, der Marketingabteilung oder der Personalabteilung ausüben würde. Auch die Tätigkeit als Geschäftsführer wäre mit der in der DSGVO verankerten Verpflichtung zur unmittelbaren Berichterstattung an die höchste Managementebene unvereinbar. Unternehmen ist daher bei der Bestellung von Datenschutzbeauftragten zu empfehlen, interne Richtlinien zur Vermeidung von Interessenskonflikten auszuarbeiten.
Freiwillige Benennung eines Datenschutzbeauftragten
Eine Mindestdauer für die Bestellung eines Datenschutzbeauftragten ist weder in der DSGVO noch im DSG vorgesehen. Während Arbeitnehmer grundsätzlich jederzeit ohne Angabe von Gründen gekündigt werden können, darf ein Datenschutzbeauftragter nach der DSGVO wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden". Wie dieser Konflikt in der Praxis gelöst werden kann, bleibt abzuwarten. Jedenfalls auszuschließen ist, dass dem Datenschutzbeauftragten ein ähnlicher Kündigungsschutz zukommt wie Betriebsräten, weshalb eine Abberufung keiner gerichtlichen Genehmigung bedarf. Grobe Pflichtverletzungen, die sogar einen Entlassungsgrund darstellen, rechtfertigen wohl auch die Abberufung des Datenschutzbeauftragten. Eine Befristung der Benennung als Datenschutzbeauftragter ist zulässig und in der Praxis auch zu empfehlen.
Unternehmen steht es frei, einen Datenschutzbeauftragten auch dann zu benennen, wenn keine Verpflichtung gemäß DSGVO besteht. Eine solche freiwillige Benennung bietet sich insbesondere in jenen Konstellationen an, in denen nicht klar ist, ob eine solche Verpflichtung besteht oder nicht. Zu beachten ist jedoch, dass freiwillig bestellten Datenschutzbeauftragten dieselben Aufgaben, Rechte und Pflichten zukommen wie verpflichtend zu benennenden Datenschutzbeauftragten.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
