||
 

 

 

 

 

 

 

 

Inserve

 

HoganLovells

 

Lecare

 

Consilio

 

 

 

 
Beitrags Sprache: Deutsch
Unter-Überschrift: Eine pragmatische Darstellung
Lesezeit 10 Min.
Beitrags Kategorie: Datenschutz
Beitrags Art: Wissenschaftlicher Artikel
Farbe: Blau
Erdem Durmus
Master-Student, Internationales Lizenzrecht (LL.M.) Hochschule Darmstadt; Certified Information Privacy Professional (CIPP/E)

Nach Art. 37 DSGVO darf eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten ernennen, sofern dieser von jeder Niederlassung aus leicht erreicht werden kann. Dieser gemeinsame Datenschutzbeauftragte wird auch als „Konzerndatenschutzbeauftragter“ bezeichnet. Nachfolgend wird auf die Aufgaben und Funktion des Datenschutzbeauftragten eingegangen und sein gesetzlicher Status dargestellt, um darauf aufbauend zu den Besonderheiten des Konzerndatenschutzbeauftragten zu kommen.


 

 

 


Aufgaben und Funktion des Datenschutzbeauftragten

Die Aufgaben des Datenschutzbeauftragten sind in Art. 39 Abs. 1 lit. a – e DSGVO aufgezählt. Nach Art. 39 Abs. 1 lit. a DSGVO muss der Datenschutzbeauftragte den Verantwortlichen oder den Auftragsverarbeiter und deren Beschäftigte, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO und anderen anwendbaren Datenschutzvorschriften unterrichten und beraten. Nach Art. 39 Abs. 1 lit. b DSGVO ist der Datenschutzbeauftragte auch für die Überwachung der Einhaltung der DSGVO und der Strategien des Verantwortlichen oder Auftragsverarbeiters zuständig; einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen.

Art. 39 Abs. 1 lit. c DSGVO normiert die Pflicht des Datenschutzbeauftragten, in Bezug auf Art. 35 DSGVO (Datenschutzfolgenabschätzung) auf Anfrage zu beraten und ihre Durchführung zu überwachen. Nach Art. 39 Abs. 1 lit. d hat er zudem die Aufgabe, mit der Aufsichtsbehörde zusammenzuarbeiten. Schließlich legt Art. 39 Abs. 1 lit. e fest, dass der Datenschutzbeauftragte die Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen ist. Art. 39 Abs. 2 DSGVO fügt hinzu, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung trägt, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

An dieser Stelle ist anzumerken, dass die Vorschrift hiermit einen Mindestumfang der Aufgaben des Datenschutzbeauftragten vorschreibt, die fünf Buchstaben aber keine abschließende Aufzählung darstellen. Es liegt nahe, zu behaupten, dass der Verantwortliche, respektive der Auftragsverarbeiter, dafür verantwortlich ist, das Stellenprofil des Datenschutzbeauftragten so zu gestalten bzw. zu erweitern, dass er für die Einhaltung des Datenschutzrechts nach den Besonderheiten der eigenen Organisation sorgen kann.

Die Unterrichtungspflicht des Datenschutzbeauftragten aus Art. 39 Abs. 1 DSGVO besteht unmittelbar gegenüber der höchsten Managementebene (vgl. Art. 38 Abs. 3 DSGVO).[1] Durch diese Berichtslinie wird dem Datenschutz im Unternehmen bereits per Gesetz eine besonders hohe Wichtigkeit zugeschrieben.

Art. 39 Abs. 1 lit. b DSGVO statuiert eine Kontrollfunktion des Datenschutzbeauftragten. Dabei hat er nicht nur die Einhaltung des anwendbaren Datenschutzrechts zu überwachen, sondern muss auch die Datenschutzorganisation und -strategie des Unternehmens monitoren. Das können bspw. „Regeln und Richtlinien“ sein, aber auch die personelle Zuständigkeitsverteilung.[2] Zwar darf der Datenschutzbeauftragte nicht entscheiden, wie die personellen Ressourcen eingesetzt werden, er kann aber auf Grundlage seines Datenschutz-Fachwissens Empfehlungen aussprechen, für welche Tätigkeiten wie viele Arbeitskräfte benötigt werden (bspw. zur Bearbeitung von Betroffenenrechten, Datenschutzberatung, Überwachung der Einhaltung des Datenschutzes etc.).

Die Aufgabe des Datenschutzbeauftragten, nach Art. 39 Abs. 1 lit. c DSGVO den Verantwortlichen bei der Durchführung von Datenschutzfolgenabschätzungen zu unterstützen, stimmt mit der Vorgabe aus Art. 35 Abs. 2 DSGVO überein. Dort wird umgekehrt dem Verantwortlichen die Pflicht auferlegt, den Rat des Datenschutzbeauftragten bei der Durchführung einer Datenschutzfolgenabschätzung einzuholen. Der Umfang der Unterstützungspflicht des Datenschutzbeauftragten bezieht sich auf alle Einzelbestandteile einer Datenschutzfolgenabschätzung.[3]

Die Aufgabe des Datenschutzbeauftragten zur Zusammenarbeit mit der Aufsichtsbehörde nach Art. 39 Abs. 1 lit. d DSGVO sowie dessen Rolle als Anlaufstelle nach lit. e ist durch den Unionsgesetzgeber vermutlich absichtlich nicht näher spezifiziert worden und somit weit zu verstehen. Hier sind verschiedenste Praxisbeispiele denkbar, so etwa die Führung einer Korrespondenz (Telefonate, Schriftwechsel) bspw. bei Rückfragen zu Datenschutzverstößen oder Beschwerden von betroffenen Personen oder aber auch die Funktion als Kommunikationsinstanz bei Kontrollen und Audits seitens der Aufsichtsbehörde. Demnach kann der Datenschutzbeauftragte grundsätzlich als „Instrument der innerbetrieblichen Selbstkontrolle“ angesehen werden, stellt aber in manchen Bereichen dennoch den „verlängerten Arm“ der Aufsichtsbehörde dar; eben dort, wo die Aufsichtsbehörde einen „Wegweiser“ benötigt, welcher Einblicke in die Besonderheiten und die Struktur der betrieblichen Organisation des Verantwortlichen ermöglicht.[4]

Banner DEU


Gesetzlicher Status

Der Datenschutzbeauftragte genießt per Gesetz einen Sonderstatus. Die Kernregelungen hierzu finden sich in Art. 38 Abs. 3 S. 1 und 2 DSGVO. Nach S. 1 der Vorschrift heißt es, dass der Verantwortliche und der Auftragsverarbeiter sicherstellen müssen, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. S. 2 fügt hinzu, dass der Datenschutzbeauftragte von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden darf.

Die Unabhängigkeit des Datenschutzbeauftragten bedeutet nicht nur, dass er unabhängig von fachlichen Weisungen ist, sondern auch, dass sein unmittelbarer Berichtsweg zur höchsten Managementebene gewährleistet sein muss.[5] Durch diese Vorgabe im Gesetz wird präventiv verhindert, dass der Verantwortliche bzw. der Auftragsverarbeiter den Datenschutzbeauftragten in Erfüllung seiner Aufgaben negativ beeinflussen oder ihm konkrete Vorgaben machen, sodass im Ergebnis der Datenschutz - bspw. aus wirtschaftlichen oder organisatorischen Gründen - „aufgeweicht“ wird. Diese Gefahr hat der Gesetzgeber erkannt und dem Datenschutzbeauftragten deshalb diese Sonderstellung verliehen. Dieser Gedanke wird durch die Regelung in S. 3 fortgesetzt; der Datenschutzbeauftragte soll - bspw. aufgrund des Inhalts seiner Beratung - nicht als „Verhinderer des Geschäfts“ angesehen werden und in einen Konflikt mit seinem Vorgesetzten geraten. In diesem Kontext sieht § 6 Abs. 4 BDSG n.F. wie auch nach alter Rechtslage einen Sonderkündigungsschutz für den Datenschutzbeauftragten i.S.d. § 626 BGB vor.

Ferner hat der Datenschutzbeauftragte einen Anspruch auf Einbindung, Unterstützung und Fortbildung, vgl. Art. 38 Abs. 1 und 2 DSGVO. Die Einbindung des Datenschutzbeauftragten in Fragen des Datenschutzes soll in erster Linie sicherstellen, dass der Verantwortliche compliant bleibt und sich an die Vorgaben des Datenschutzrechts hält. Die Unterstützung und Fortbildung beziehen sich auf den Datenschutzbeauftragten selbst. Schließlich muss er die Möglichkeit haben, datenschutzrechtliche Entwicklungen zu verfolgen und zu evaluieren. Dazu sind verschiedene Maßnahmen dienlich, bspw. Zugang zu Fachliteratur, Teilnahme an Schulungen/ Seminaren/ Fortbildungen und Kongressen in Fachkreisen und auch Zusatzzertifizierungen im Datenschutz oder artverwandten Fachgebieten.

Es ist nachvollziehbar, zu behaupten, dass der genaue Umfang der Unterstützung davon abhängt, wie groß oder komplex die Datenverarbeitung des Verantwortlichen ist, welche Daten verarbeitet werden bzw. welcher Branche der Verantwortliche zugeordnet werden kann und – im Lichte des risikobasierten Ansatzes der DSGVO – welche Prozesse und IT-Applikationen in die Verarbeitung involviert sind.[6]


Der Konzerndatenschutzbeauftragte

Der Begriff des „Konzerndatenschutzbeauftragten“ existiert in dieser Form in der DSGVO nicht und ist vielmehr eine Paraphrasierung des „gemeinsamen Datenschutzbeauftragten“ aus Art. 37 Abs. 2 DSGVO. Danach heißt es, dass eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauf-tragten ernennen darf, sofern dieser von jeder Niederlassung aus leicht erreicht werden kann.

Die Unternehmensgruppe ist in Art. 4 Nr. 19 DSGVO definiert. Nach dieser Definition ist eine Unter-nehmensgruppe eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem ab-hängigen Unternehmen besteht. Die hier zugrunde gelegte Definition entspricht der Definition des Konzerns in § 18 AktG.[7]

Es genügt ein einziger Benennungsakt, um den Konzerndatenschutzbeauftragten für mehrere Niederlassungen zu benennen. Dies dürfte insbesondere für größere Konzerne einen nennenswerten Vorteil darstellen, da dadurch viel formaler Aufwand erspart bleibt. Nichtsdestotrotz sollte der Konzerndatenschutzbeauftragte nur für die Niederlassungen benannt werden, bei denen insofern keine sprachlichen Hürden auftreten würden, als dass sie einem Sprachraum entstammen oder der Konzerndatenschutzbeauftragte entsprechende sprachliche Kenntnisse vorweisen kann.[8]


Leichte Erreichbarkeit

Der Konzerndatenschutzbeauftragte muss gem. Art. 37 Abs. 2 DSGVO von jeder Niederlassung aus leicht erreichbar sein. Dabei ist fraglich, was die leichte Erreichbarkeit genau bedeutet. Konkret stellt sich hier die Frage, ob er immer persönlich vor Ort sein muss oder ob eine leichte Erreichbarkeit über Fernkommunikationsmittel wie bspw. E-Mail oder Telefon genügt. Hierzu gibt es widerstreitende Auffassungen in der Literatur. Während eine Stimme behauptet, dass sich die leichte Erreichbar-keit über die üblichen Fernkommunikationsmittel „hinreichend sicherstellen“ lässt[9], ist die Gegenmeinung der Ansicht, dass eine Anwesenheit des Konzerndatenschutzbeauftragten vor Ort erforder-lich ist. Begründet wird dies damit, dass andernfalls eine weltweite leichte Erreichbarkeit unter Ver-wendung von Fernkommunikationsmitteln nach derzeitigem Stand der Technik immer gegeben wäre.[10]

Die letztere Ansicht überzeugt. Um seinen Aufgaben nachzukommen, muss der Konzerndatenschutzbeauftragte sich vor Ort ein konkretes Bild machen können. Auch wenn er nicht in allen datenschutzrechtlich relevanten Fällen seine Präsenz zeigen muss, so ist dies zumindest für manche seiner Aufgaben von großer Bedeutung. Als Beispiel kann hier die Überwachungsaufgabe bzgl. der Einhaltung des Datenschutzrechts durch den Verantwortlichen genannt werden. Es wäre grob fahrlässig, wenn der Konzerndatenschutzbeauftragte sich die Datenschutzkonformität der betreffenden Niederlassung „von der Ferne“ bestätigen lassen würde, anstatt sich vor Ort selbst davon zu überzeugen. Auch im Hinblick auf mögliche Haftungsrisiken sollte hier das Prinzip „Vertrauen ist gut, Kontrolle ist besser“ gelten.

Weiterhin kann eine Anwesenheit erforderlich sein, wenn eine Niederlassung in einen größeren Datenschutzverstoß verwickelt ist und Maßnahmen von der für diese Niederlassung federführenden Aufsichtsbehörde erwartet werden. In solchen Fällen muss der Konzerndatenschutzbeauftragte über den genauen Sachverhalt unmissverständlich informiert werden und mit den verantwortlichen Personen gemeinsam adäquate Maßnahmen treffen.

Eine Anwesenheit kann auch zwingend notwendig sein, wenn die für die Niederlassung federführende Aufsichtsbehörde den Konzerndatenschutzbeauftragten konsultieren möchte. Dies könnte etwa der Fall sein, wenn sie ein Audit durchführt und sämtliche (Rück-)Fragen zur innerbetrieblichen bzw. konzernweiten Datenschutzorganisation hat.

Eine leichte Erreichbarkeit sei gegeben, wenn der Konzerndatenschutzbeauftragte „unter Aufwand zumutbarer zeitlicher und finanzieller Ressourcen persönlich von der Niederlassung aus aufgesucht werden kann“.[11] Der Aufwand einer Tagesreise unter Benutzung von PKW, Bus, Bahn oder Flugzeug wird als „zumutbar“ angesehen.[12]


Datenschutzorganisation innerhalb des Konzerns

In Großkonzernen mit einer Vielzahl von Gesellschaften ist es schlichtweg unmöglich, den Konzerndatenschutzbeauftragten als einzige Ressource für den Datenschutz bereitzustellen. Solche Organisationen benötigen ein gut durchdachtes Datenschutzmanagementsystem mit einer ausreichenden Zahl an personellen Ressourcen, um alle aufkommenden Datenschutzthemen abdecken zu können. Dieses „Hilfspersonal“ unterstützt den Konzerndatenschutzbeauftragten in seinen Aufgaben. Der Unionsgesetzgeber hat diese Möglichkeit nicht explizit ausgeschlossen. Im Gegenteil kann sich sogar eine solche Aufgabe des Konzerndatenschutzbeauftragten aus Art. 37 Abs. 1 lit. b DSGVO ableiten lassen. Dort ist geregelt, dass dieser den Verantwortlichen bei der Einhaltung seiner Datenschutzstrategie überwachen muss. Unter Ziffer 2 wurde bereits gesagt, dass die Datenschutzstrategie aus „Richtlinien und Regeln“ bestehen kann. Es ist nachvollziehbar, dass solche Regelwerke unter Einbindung des Konzerndatenschutzbeauftragten erstellt werden, da dieser die Expertise im Datenschutz hat und auch beurteilen kann, welche personellen Ressourcen für welche Aufgaben benötigt werden und wie die Zuständigkeiten am besten verteilt werden können.

In Großkonzernen findet sich daher häufig die Abteilung „Konzerndatenschutz“ mit dem Konzerndatenschutzbeauftragten als Abteilungsleiter und den ihm untergeordneten Personal. Dieses Personal wird meistens als „Referent Datenschutz“ oder „Datenschutzkoordinator“ bezeichnet. Die Mitarbeiter des Konzerndatenschutzbeauftragten sollten typischerweise ebenfalls fundierte Kenntnisse im Datenschutz vorweisen können und die durch Art. 37 Abs. 5 DSGVO geforderte Qualifikation besitzen. Je nachdem, wie die Datenschutzorganisation im Konzern aufgebaut ist, kann es sein, dass der Konzerndatenschutz als zentrale Organisationseinheit alle konzernweit anfallenden Datenschutzthemen behandelt.

Alternativen hierzu wären z.B. mehrere dezentrale Datenschutzabteilungen oder auch Teilzeitstellen für „Datenschutzkoordinatoren“ in den betreffenden Konzerngesellschaften oder Abteilungen als First Level Support für Datenschutzfragen in ihrem Verantwortungsbereich; während der zentrale Konzerndatenschutz als Second Level Support fungiert. Die Datenschutzorganisation muss jedenfalls immer so angelegt werden, dass die im Datenschutz tätigen Mitarbeiter weder weisungsgebunden noch weisungsbefugt sind. Entsprechende Regelungen müssen bspw. in der „Konzernrichtlinie Datenschutz“ festgehalten werden.


Fazit

Es ist begrüßenswert, dass die DSGVO weiterhin großen Unternehmen und Konzernen ermöglicht, einen einzigen Datenschutzbeauftragten für sämtliche Niederlassungen zu benennen. Diese Möglichkeit erspart viel bürokratischen Aufwand und gestattet es dem Verantwortlichen, seine Datenschutzprozesse und –organisation zu optimieren. Für die Einheitlichkeit der gesamten Datenschutzorganisation ist es von essentieller Bedeutung, eine einzige, übergeordnete Kontrollinstanz zu haben, anstatt zahlreiche Datenschutzbeauftragte, die sich möglicherweise aufgrund divergierender Ansichten gegenseitig verhindern und somit auch den Geschäftsbetrieb beeinträchtigen. Der Gesetzgeber hat zur Benennung eines Konzerndatenschutzbeauftragten als einzige Bedingung die leichte Erreichbarkeit vorgesehen und diese wiederum nicht näher spezifiziert. Im Moment liegt es im Ermessen der Verantwortlichen, die Aufgaben zu definieren, die eine leichte Erreichbarkeit des Konzerndatenschutzbeauftragten erfordern. Es bleibt aber abzuwarten, ob die Rechtsprechung oder die Aufsichtsbehörden sich hierzu positionieren. 

 

 


[1] ZD 2016, 318.
[2] ZD 2016, 318.
[3] Moos, in: BeckOK Datenschutzrecht, Art. 39, Rn. 11.
[4] Vgl. auch Franzen, in: Franzen/Gallner/Oetker, Kommentar zum europ. ArbR, Art. 39, Rn. 2.
[5] Imping, in: Kilian/Heussen, Computerrechts-Handbuch, 70.9, Rn. 35.
[6] Imping, in: Kilian/Heussen, Computerrechts-Handbuch, 70.9, Rn. 36.
[7] Paal, in: Paal/Pauly, DSGVO/BDSG, Art. 37, Rn. 10.
[8] Bergt, in: Kühling/Buchner, DSGVO Kommentar, Art. 37, Rn. 27.
[9] Moos, in: BeckOK Datenschutzrecht, Art. 37, Rn. 16.
[10] Paal, in: Paal/Pauly, DSGVO/BDSG, Art. 37, Rn. 10.
[11] Paal, in: Paal/Pauly, DSGVO/BDSG, Art. 37, Rn. 10.
[12] Bergt, in: Kühling/Buchner, DSGVO Kommentar, Art. 37, Rn. 28.

 

 

 

Ja, ich möchte, dass die LEGAL (R)EVOLUTION GmbH mir ihren zweimonatlichen E-Mail-Newsletter mit Informationen und Neuigkeiten zum The LEGAL ®EVOLUTIONary zusendet. Meine Einwilligung hierzu kann ich jederzeit widerrufen. Nähere Infos finde ich hier: Datenschutzbestimmungen.*

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

 

 

Abonnieren Sie den The LEGAL ®EVOLUTIONary Newsletter!
Registrieren Sie sich jetzt und erhalten Sie 9% Nachlass auf sämtliche Tickets der
LEGAL ®EVOLUTION Expo & Congress 2019!