Auch nach der am 25. Mai 2018 in Kraft tretenden Datenschutz-Grundverordnung (DSGVO) wird eine zentrale Figur der datenschutzrechtlichen Selbstkontrolle der Datenschutzbeauftragte (DSB) sein. War diese Rolle nach der Datenschutzrichtlinie nur in einzelnen Mitgliedstaaten vorgesehen, besteht eine Pflicht zur Benennung nunmehr nach der DSGVO europaweit.
Der DSB soll den Verantwortlichen oder Auftragsverarbeiter und seine Mitarbeiter in Fragen des Datenschutzes beraten und die Einhaltung der datenschutzrechtlichen Regeln überwachen. Er unterstützt das jeweilige Unternehmen bei der Durchführung einer Datenschutz-Folgenabschätzung und stellt eine Kontaktperson sowohl für die zuständige Aufsichtsbehörde als auch für Betroffene dar. Er soll der höchsten Managementebene Bericht erstatten.
Werden die datenschutzrechtlichen Vorgaben nicht eingehalten, drohen Bußgelder von bis zu EUR 10.000.000,- oder 2 % des Vorjahresumsatzes.
Welche Unternehmen benötigen einen Datenschutzbeauftragten?
Jedes Unternehmen (als Verantwortlicher oder Auftragsverarbeiter) ist verpflichtet, einen DSB zu benennen, wenn
- die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.
Ersteres liegt in der Regel vor, wenn zum Beispiel personenbezogene Daten für E-Mail-Retargeting, Profiling oder Kundenbindungsprogramme verwendet werden. Zweiteres liegt in der Regel vor, wenn besondere Kategorien von Daten, wie zum Beispiel genetische oder biometrische Daten oder Gesundheitsdaten, oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten verwendet werden.
Der deutsche Gesetzgeber hat zudem festgelegt, dass in Deutschland ein DSB benannt werden muss, sobald zehn Personen regelmäßig mit der automatisierten Verarbeitung beschäftigt sind. Hierunter fallen nicht nur Vollzeitkräfte, sondern auch freie Mitarbeiter, Auszubildende, Leiharbeiter, Praktikanten und Volontäre. Unabhängig von der Mitarbeiteranzahl besteht in Deutschland zudem eine Pflicht zur Benennung eines DSB, wenn Verarbeitungen vorgesehen sind, die einer Datenschutz-Folgenabschätzung unterliegen, sowie für die geschäftsmäßige Verarbeitung für Zwecke der Markt- oder Meinungsforschung.
Daneben besteht stets die Möglichkeit, freiwillig einen DSB zu benennen.
Wer darf als Datenschutzbeauftragter benannt werden?
Der zu benennende DSB muss fachlich geeignet sein und weisungsfrei und unabhängig seine Aufgaben ausführen können. Hierzu müssen ihm von dem Unternehmen ausreichend Mittel zur Verfügung gestellt werden.
Der DSB kann intern benannt werden. Es darf hierbei jedoch nicht zu einem Interessenkonflikt kommen. Dies wäre immer dann der Fall, wenn der DSB seine eigene Tätigkeit überwachen müsste, also auch neben seiner Tätigkeit als DSB die jeweiligen Zwecke oder Mittel der Datenverarbeitung bestimmt. Der Leiter der IT, der die Mittel der Datenverarbeitung bestimmt, sollte also in der Regel nicht auch zum DSB benannt werden – aber auch andere Positionen könnten zu einem Interessenkonflikt führen, was grundsätzlich bei allen Positionen des leitenden Management zutreffen kann.
Zudem kann auch ein Problem in der durch die DSGVO gestärkten Rolle des DSB als „Anwalt der Betroffenen im Unternehmen“ bestehen. So führt beispielsweise der Leiter der Rechtsabteilung unter Umständen auch die Abwehr datenschutzrechtlicher Ansprüche gegen das Unternehmen durch oder beaufsichtigt dies zumindest. Hierbei könnte es theoretisch zu einem Interessenkonflikt kommen oder aber einer unzureichenden Ausführung der Pflichten als DSB. Daher ist zumindest nicht ausgeschlossen, dass die zuständige Aufsichtsbehörde eine unwirksame Benennung feststellt.
Der DSB kann jedoch auch extern benannt werden.
Können mehrere Unternehmen eines Konzerns einen gemeinsamen Datenschutzbeauftragten benennen?
Mehrere Unternehmen eines Konzerns können einen gemeinsamen DSB benennen. Dies ist nun ausdrücklich gesetzlich geregelt. Musste früher noch jede einzelne Gesellschaft den DSB bestellen, genügt nach der DSGVO nunmehr ein einziger Benennungsakt für den gesamten Konzern.
Wie haftet der Datenschutzbeauftragte?
Der DSB kann grundsätzlich sowohl für sein eigenes Tun (insbesondere falsche, unvollständige oder zu späte Datenschutzberatung) als auch für sein Unterlassen (fehlender Hinweis auf organisatorische Probleme, „Übersehen“ von Fehlern oder Pannen) haften. Der interne DSB unterfällt dabei dem so genannten „innerbetrieblichen Schadensausgleich“, wonach ein Schaden von dem Mitarbeiter selbst zu zahlen ist, wenn er vorsätzlich oder grob fahrlässig verursacht wurde. Grob fahrlässig handelt dabei auch derjenige, der Aufgaben übernimmt, die er vorhersehbar nicht ordentlich erledigen kann, etwa aus mangelnder Fachkunde.
