DSGVO: Datenschutzbeauftragter

29. March 2018

Erwägungsgrund 4 der DSGVO besagt Folgendes: Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Dies gilt auch für die Auffassung der Aufgaben und der Rolle, welche der DSB – eine neue Funktion, die durch die DSGVO eingeführt wird – in einer Organisation spielt.

Ist ein DSB im Unternehmen unentbehrlich?

In Art. 37 DSGVO sind Fälle vorgesehen, in denen der Verantwortliche und der Auftragsverarbeiter (im Namen des Verantwortlichen) einen DSB benennen müssen, ansonsten kann eine Geldbuße verhängt werden. Dabei handelt es sich um folgende Fälle:

• die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln;
• die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen;
• die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 Abs. 1 DSGVO (sensible Daten, die u.a. die Herkunft, die politische Meinung, den Gesundheitszustand, die Weltanschauung offenlegen) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO.

Die meisten Unternehmen, die eine Gewerbetätigkeit in Polen und der EU ausüben, werden nicht verpflichtet sein, einen Datenschutzbeauftragten zu benennen. In vielen Fällen wird die Benennung freiwillig erfolgen. Zu beachten sind die Vorteile einer solchen Entscheidung.

Zweifelsohne wird der DSB in jeder Wirtschaftsorganisation als Aufseher über die Prozesse für den Schutz personenbezogener Daten für die Beachtung nicht nur der DSGVO, sondern auch der Übereinstimmung der Tätigkeit und Organisation des Unternehmens mit den sonstigen Vorschriften über den Schutz personenbezogener Daten verantwortlich sein. Der DSB wird nicht nur über den Schutz personenbezogener Daten natürlicher Personen, die der Verantwortliche oder der Auftragsverarbeiter verarbeiten wird, wachen. Zu seinen Aufgaben gehört die laufende Durchführung von Audits in der Organisation, die Informationen nicht nur über die Verarbeitungsprozesse personenbezogener Daten, sondern auch über andere Funktionsstörungen in der Organisation liefern. Die Funktion des DSB kann ein Mitarbeiter des Verantwortlichen oder des Auftragsverarbeiters sowie ein externer Spezialist ausüben, der neben der Bewertung der Datenverarbeitung andere Abläufe in der Organisation beurteilen kann, beispielweise finanzielle, logistische und IT-Prozesse.
Lohnt es sich, in der Struktur einer Organisation einen DSB zu bestellen, obwohl hierzu keine gesetzliche Pflicht besteht? Wird der DSB tatsächlich berechtigt sein, eine Reihe anderer Handlungen vorzunehmen, die nicht unter den Schutz personenbezogener Daten fallen?

Der DSB und die Artikel-29-Datenschutzgruppe

Artikel-29-Datenschutzgruppe ist ein unabhängiges Beratungsgremium, das gemäß Art. 29 der Richtlinie 95/46/EG bestellt wurde. Die Richtlinien der Gruppe besagen eindeutig, dass die Bestellung eines DSB die Beachtung der Vorschriften erleichtern und zur Steigerung der Wettbewerbsfähigkeit des Unternehmens beitragen kann. Der DSB soll einerseits durch die Einführung von Abrechnungsmechanismen die Beachtung der Vorschriften erleichtern, andererseits soll er als Vermittler zwischen den Parteien fungieren (z.B. zwischen dem für den Schutz personenbezogener Daten zuständigen Organ und den betroffenen Personen oder den Einheiten innerhalb des Unternehmens).

Die Artikel-29-Datenschutzgruppe weist auf die gute Praxis hin, dass der vom Auftragsverarbeiter benannte DSB auch für die Überwachung der Maßnahmen des Auftragsverarbeiters, für die der Auftragsverarbeiter als Verantwortlicher tätig ist, verantwortlich ist (z.B. Auftragsverarbeiter, mit denen der Verantwortliche Verträge über HR-, IT- oder Logistikdienstleistungen geschlossen hat).

Daraus ergibt sich, dass die Rolle und Aufgaben des DSB nicht nur und ausschließlich darauf beschränkt sind, dass er als Aufseher der Beachtung der DSGVO und sonstiger Vorschriften und Regelungen bezüglich des Schutzes personenbezogener Daten durch den Verantwortlichen (oder Auftragsverarbeiter) tätig ist, sondern auch darauf abgezielt sind, andere Maßnahmen zur Überwachung der Prozesse in der betreffenden Organisation zu ergreifen.

Sonstige Pflichten des DSB

Die Artikel-29-Datenschutzgruppe erklärt gemäß Art. 38 (6) DSGVO, dass der Datenschutzbeauftragte beispielsweise als Mitglied der Organisation andere Aufgaben und Pflichten wahrnehmen kann, die aber nicht zu einem Interessenkonflikt führen dürfen. Die Artikel-29-Datenschutzgruppe betont, dass der Datenschutzbeauftragte keine Stelle in der Organisation bekleiden kann, die dazu führt, dass die Zwecke und Mittel der Datenverarbeitung bestimmt werden.

In diesem Zusammenhang ist der DSB einerseits eng an die DSGVO gebunden, andererseits jedoch (insbesondere, wenn er andere Tätigkeiten für den Verantwortlichen oder Auftragsverarbeiter ausübt) fungiert er neben der DSGVO und seine Tätigkeiten können z.B. darauf abzielen, die Geschäftseffektivität des Verantwortlichen oder des Auftragsverarbeiters und damit auch deren Wettbewerbsfähigkeit zu steigern.
Sollten Sie an dieser Thematik und allen Änderungen, die durch DSGVO eingeführt werden, interessiert sein, so stehen Ihnen die Experten von Rödl & Partner gerne zur Verfügung.