Datenschutz: Rolle des Datenschutzbeauftragten unter der EU-Datenschutz-Grundverordnung

Die Pflicht zur Bereitstellung des Datenschutzbeauftragten wird von vielen, gerade kleinere bzw. mittelständische Unternehmen oft als ein lästiges, weil Ressourcen-bindendes und kostspieliges Übel empfunden. Hinzukommt eine große Verunsicherung, weil sich der Rechtsrahmen im Datenschutz im Mai 2018 ändert. Was bedeutet die Bestellpflicht heute konkret für die Unternehmen, wo gibt es Risiken, die zu beachten sind und was ändert sich für die Zukunft. Praxisnahe Tipps werden in diesem Artikel dargestellt.

(Beitrag von Frau Rechtsanwältin Sabine Schmitt-Hennig (externe Datenschutzbeauftragte und Datenschutz-Auditorin)

Bestellpflicht nach dem bisherigen Bundesdatenschutzgesetz

Die Schwelle zur Bestellpflicht ist vom Gesetzgeber im Bundesdatenschutzgesetz (BDSG) sehr niedrig angesetzt und greift schon, wenn eine sensitive Datenverarbeitung vorgenommen wird oder mehr als neun Mitarbeiter im Unternehmen beschäftigt sind und wenn eine automatisierte personenbezogene Datenverarbeitung vorgenommen wird. Da als Mitarbeiter auch Teilzeitkräfte sowie Leiharbeiter zählen und eine automatisierte personenbezogene Datenverarbeitung schon dann vorliegt, wenn die Beschäftigten bei ihrer Arbeit allein ein E-Mail Programm, wie z.B. Outlook nutzen, ist man bei der Bestellpflicht des Datenschutzbeauftragten überaus schnell.

Ebenfalls schnell ist diese Verpflichtung dann auch umzusetzen. Das Unternehmen muss spätestens einen Monat nach Betriebsaufnahme einen Datenschutzbeauftragten – schriftlich – bestellen (§ 4 f Abs. 1 S. 1 BDSG). Wenn dies nicht oder verspätet geschieht, liegt eine Ordnungswidrigkeit vor, die mit einem Bußgeld von bis zu 50.000 Euro verfolgt werden kann (gemäß § 43 Abs. 1 Nr. 2 BDSG).

Aufgaben und Rolle des Datenschutzbeauftragten

Der zu bestellende Datenschutzbeauftragte für die Organisation kann Mitarbeiter sein - er muss jedoch die notwendige Zuverlässigkeit und Fachkunde für die Ausübung der Tätigkeit mitbringen. Dabei gilt die Faust-Formel: Je mehr personenbezogene Daten verarbeitet werden und je sensibler diese sind (z.B. Krankheitsdaten), desto höher muss die Fachkunde sein. Der Datenschutzbeauftragte hat berufstypische Aufgaben zu erfüllen und hat in seiner Funktion auf die Einhaltung des BDSG und anderer Gesetze (wie z.B. das Telekommunikationsgesetz - TKG) zu wachen.

Eine seiner Kernaufgaben ist es, die unternehmensinternen Prozesse und Programme der Datenverarbeitung zu überwachen und ihre ordnungsgemäße Anwendung zu kontrollieren. Dabei dürfen ihm keine Weisungen ausgesprochen werden. Der Datenschutzbeauftragte ist unabhängig von Vorgesetzten und in der Ausübung seiner Fachkunde frei. Er hat u.a. einen besonderen Kündigungsschutz ausgestattet (§ 4f Abs. 3 S. 5 und 6 BDSG -) – nur wenn die Voraussetzungen für eine fristlose Entlassung greifen, kann der Arbeitsvertrag mit dem betrieblichen Datenschutzbeauftragten gekündigt werden. Der Kündigungsschutz greift auch noch ein weiteres Jahr nach der Abberufung.

Datenschutzbeauftragter: frei von vermeidbaren Interessenkollisionen

Kleinere Unternehmen stehen allein schon vor der Herausforderung, einen internen geeigneten Kandidaten zu finden, der die notwendige Fachkunde sowie die Befähigung zur Selbstkontrolle für die Position des Datenschutzbeauftragten erfüllen kann. Die zusätzliche Einstellung eines neuen Mitarbeiters ist wirtschaftlich oft zu sehr belastend und hinzukommt, dass nur in großen Unternehmen diese Art von Tätigkeit eine Vollzeitbeschäftigung darstellt. Es ist daher eher die Regel, dass der Datenschutzbeauftragte zusätzlich einer anderen Tätigkeit nachgeht, allerdings muss er dann auch in der Lage sein, sich selbst kontrollieren zu können.

Da der Ablauf der internen EDV-Verarbeitung und die Flüsse der personenbezogenen Daten im Unternehmen zu verstehen und zu kontrollieren sind, neigen Unternehmen manchmal zu einem letztendlich kostspieligen und riskanten Pragmatismus, indem sie verantwortliche Leiter aus der „organisationsverstehenden Umgebung“ als Datenschutzbeauftragten bestellen. Das kann dann z.B. der Leiter Personal, IT oder der Leiter Sicherheit oder auch direkt der Geschäftsführer selbst sein. Ein solches Vorgehen ist aber rechtswidrig und erfüllt die Voraussetzung der bereits vorab erwähnten Ordnungswidrigkeit, die mit bis zu 50.000 Euro geahndet werden kann. Es ist als Unternehmen, auch wenn es klein ist, streng darauf zu achten, dass der bestellte Datenschutzbeauftragte nicht einem Interessenkonflikt bei der Ausübung seiner Tätigkeit unterliegt und das er somit die von ihm zu gewährende Selbstkontrolle auch erfüllen kann.

Sanktionen durch Datenschutz-Aufsichtsbehörde

Dass dies auch tatsächlich sanktioniert wird, zeigt sich u.a. an den Kontrollen der Bayerischen Landesdatenschutzbehörde. So hatte das Bayerisches Landesamt für Datenschutzaufsicht in einer Pressemeldung vom 10 Oktober 2016 darüber informiert, dass ein Unternehmen mit einem Bußgeld (gemäß § 43 Abs. 1 Nr. 2 BDSG) belastet wurde, was den internen IT-Manager zum Datenschutzbeauftragten ernannt hatten. Nach den Regelungen des § 43 BDSG sind Bußgelder von bis zu 300.000 Euro pro einzelnem Fall möglich

EU-Datenschutzgrundverordnung: wesentlich höheres Sanktionsrisiko für Unternehmen

Mit Blick auf die anstehende Änderung und Harmonisierung der datenschutzrechtlichen Gesetzgebungen in Europa und der deutschen Umsetzung durch das in Kraft treten der EU-Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018, werden jedoch viele bisherige Regelungen aus dem BDSG nicht mehr anwendbar sein. Lediglich wo es in der DSGVO sogenannte Öffnungsklauseln gibt, darf es weiter nationale Regelungen geben.

Bis zu dem Stichtag im Mai 2018 müssen die Unternehmen sich also hinsichtlich ihrer Struktur und internen Abläufe so aufstellen, dass dies den Vorgaben des neuen Rechtsrahmens entspricht. Was sich auch elementar ändern wird, ist die bisherige Bußgeldregelung bei Fehlern bzw. bei Nachbestellung des Datenschutzbeauftragten. Künftig ist ein Bußgeld von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes vorgesehen (Art. 83 Abs. 4 DSGVO). Es ist also gerade für die Zukunft entscheidend, dass die Bestellung des Datenschutzbeauftragten rechtskonform erfolgt.

Die Benennung des Datenschutzbeauftragten nach der EU-Datenschutz-Grundverordnung

Mit der im Mai 2016 in Kraft getretenen und ab dem 25 Mai 2018 sofort wirksam werdenden EU-Datenschutzgrundverordnung ist ein betrieblicher Datenschutzbeauftragter zu bestimmen, wenn im Unternehmen sog. Kerntätigkeiten i.S.d. Art. 37 Abs. 1 b DSGVO als Haupttätigkeiten vorzunehmen sind: Diese sind bei Daten-Verarbeitungsvorgängen gegeben, die eine umfangreiche, „regelmäßige und systematische Überwachung der betroffenen Personen“ erfordern, sowie wenn in großem Umfang persönliche Daten von besonderer Kategorie (wie z.B. Gesundheitsdaten oder konfessionelle Daten) oder strafrechtlich relevante Daten wie z.B. Daten über gerichtliche Verurteilungen und Straftaten verarbeitet werden.

Fachwissen des Datenschutzbeauftragten

Die Anforderungen an das Fachwissen und die datenschutzrechtliche Kompetenz des zu bestellenden Datenschutzbeauftragten richten sich dabei an der Qualität der Durchführungen zur Datenverarbeitung aus. Je höher der Schutzbedarf der verarbeiteten Daten ist, desto höher sind auch die Anforderungen an das Fachwissen und die vorzuhaltende Kompetenz. Art. 37 Abs. 5 DSGVO ist also hinsichtlich seiner Voraussetzungen völlig vergleichbar mit der bisherigen Regelung aus dem BDSG.

Die Tätigkeit des Datenschutzbeauftragten kann auch nach der EU Verordnung gem. Art 37 Abs. 6 DSGVO von einem internen Mitarbeiter wie auch von einem externen besetzt werden. Auch unter der DSGVO hat der Datenschutzbeauftragte frei in seinem Handeln und in seinen Empfehlungen zu sein, so dass er seiner Tätigkeit vollkommen unabhängig nachkommen kann – ebenfalls frei von jeglichem Interessenkonflikt wie in Art 38 Art. 3 S. 1 DSGVO geregelt.

Ebenfalls wie S. 3 in Art 38 DSGVO klar regelt, darf dem Datenschutzbeauftragten seine Tätigkeit nicht zum Nachteil gereichen, Mithin ist dies nahezu gleich zur aktuellen Regelung nach dem Bundesdatenschutzgesetz (BDSG) geblieben. Eine Unterscheidung ergibt sich jedoch hinsichtlich des bisherigen besonderen Kündigungsschutzes in § 4f Abs. 3 S. 5 und 6 BDSG, den es in der DSGVO nicht gibt und der sich auch nicht aus dem Kontext der Verordnung herleiten lässt.

Die Bestellung des Datenschutzbeauftragten nach dem neuen Bundesdatenschutzgesetz (BDSG-neu)

Am 27. April 2017 hat der Bundestag das so genannte "Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG – hier bezeichnet als BDSG-neu)" beschlossen, dem am 12. Mai 2017 vom Bundesrat zugestimmt wurde. Ziel war es, das Bundesdatenschutzgesetz (BDSG) zu aktualisieren und an die Vorgaben der EU-Datenschutzgrundverordnung anzupassen. Das BDSG-neu wird auf Basis der EU-Datenschutzgrundverordnung gelten und soll mit seinen im Gesetz umgesetzten sogenannten „Präzisierungsklauseln“ der der EU-Datenschutzgrundverordnung die nationalen Spezifika regeln. Viele Regelungen des BDSG-neu wurden aus dem bisherigen Bundesdatenschutzgesetz übernommen. So finden sich alle wesentlichen Regelungen zur Position des Datenschutzbeauftragten in dem neuen BDSG wieder.

Bestellpflicht bei mehr als zehn Beschäftigten

Gemäß § 38 Abs. 1 BDSG-neu ist ein betrieblicher Datenschutzbeauftragter zu bestellen, wenn sich in dem Unternehmen „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“, sowie, wenn eine sog. Datenschutzfolgeabschätzung nach Art. 35 DSGVO erforderlich ist.

Dies ist gegeben, wenn die automatisierte Datenverarbeitung die Wahrscheinlichkeit eines hohen Eintrittsrisikos für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Auch wenn geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden, hat die Bestellung eines Datenschutzbeauftragten zu erfolgen. Die Art und Weise der Bestellung ist unverändert – die Schriftform ist zwingend vorgeschrieben.

Kündigungsschutz des internen Datenschutzbeauftragtem besteht fort

In der neuen Regelung des BDSG findet sich auch der besondere Kündigungsschutz für den Datenschutzbeauftragten wieder. Es bleibt dabei, dass bei der Besetzung der Position durch einen Unternehmensmitarbeiter nur die Kündigung aus wichtigem Grund vorgenommen werden kann sowie dass der Sonderkündigungsschutz auch nach Abberufung für ein Jahr fortwirkt.

§ 41 BDSG-neu sieht vor, dass ein Bußgeld bis zu 300.000 Euro verhängt werden kann, so dass auch diesbezüglich der nationale Sanktionsrahmen gleichgeblieben ist. Es ist jedoch darauf hinzuweisen, dass § 41 BDSG-neu nicht an Stelle der Bußgeld-Regelung von Art 83 DSGVO tritt, sondern neben diesem Anwendung findet.

#Fazit#
Auch im neuen nationalen Rechtsrahmen, der aus einem Zusammenspeil des BDSG-neu sowie der EU-Datenschutzgrundverordnung bestehen wird, bleibt es bei der Bestellpflicht des Datenschutzbeauftragten. Unternehmen, die bislang noch keinen Datenschutzbeauftragten bestellt haben, oder die aus Unkenntnis bzw. falsch umgesetzten Pragmatismus eine Person bestellt haben, die im Interessenkonflikt mit der auszuübenden Funktion steht, wird geraten, die noch verbleibende Zeit zu nutzen, und die Bestellung des Datenschutzbeauftragten rechtskonform vorzunehmen.

Gerade vor dem Hintergrund der besseren Kontrollmöglichkeiten der Behörden durch die neue Meldepflicht verbunden mit dem neuen und sehr hohen Sanktionsrahmen, sollte hier kein Risiko eingegangen werden. Neben der Bestellung eines internen Mitarbeiters, könnte auch in Erwägung gezogen werden, die Position mit einem externen Datenschutzbeauftragten zu besetzen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.