Die Figur des Datenschutzbeauftragten ist nicht neu. In Deutschland regeln die §§ 4f und 4g BDSG, in welchen Fällen ein Datenschutzbeauftragter bestellt werden muss, welche Formalia eingehalten werden müssen und wer für die Person des Datenschutzbeauftragten in Frage kommt. Nun ist am 24.5.2016 eine neue europäische Verordnung in Kraft getreten, die Datenschutz-Grundverordnung (DSGVO). Diese Verordnung gilt in den Mitgliedstaaten unmittelbar, wird ab dem 25.5.2018 wirksam und ersetzt das bisher geltende Bundesdatenschutzgesetz (BDSG). Dieser Beitrag befasst sich mit der Frage, unter welchen Voraussetzungen zukünftig Datenschutzbeauftragte benannt werden können und müssen und mit den Änderungen im Gegensatz zur bisherigen Rechtslage (Spoiler: es sind nicht viele).
Geltende Vorschriften
Die DSGVO hatte das Ziel, das Datenschutz in Europa einer Vollharmonisierung zu unterwerfen. Aufgrund des engen zeitlichen Rahmens (erster Entwurf aus Januar 2012, Verabschiedung durch das Europäischen Parlament im April 2016) ist dies allerdings nicht gelungen. Vielmehr enthält die DSGVO viele Öffnungsklauseln, die es den Mitgliedstaaten erlauben, die Regelungen der DSGVO durch eigene nationale Regelungen zu ergänzen, so zum Beispiel in Art. 37 Abs. 4 S. 1 2. HS DSGVO zur Pflicht der Benennung eines Datenschutzbeauftragten. Zur Ergänzung der DSGVO ist in Deutschland am 27.4.2017 das Datenschutz Anpassungs- und Umsetzungsgesetz-EU (DSAnpUG-EU inkl. BDSG-neu) verabschiedet worden; dieses tritt am 25.5.2018 in Kraft und löst das bisherige BDSG ab.
Vorschriften zum Datenschutzbeauftragten finden sich in Art. 37 bis 39 DSGVO ergänzt durch §§ 5 bis 7 und 38 BDSG-neu. Hintergrund ist, dass die Mitgliedstaaten sich im Rahmen der Verhandlungen über die DSGVO nicht über den zukünftigen Stellenwert des Datenschutzbeauftragten einigen konnten. Das Ergebnis sind stark eingeschränkte Pflichten zur Benennung eines Datenschutzbeauftragten für den privaten Sektor gepaart mit einer Öffnungsklausel für die Mitgliedstaaten, von der Deutschland im BDSG-neu Gebrauch gemacht hat.
Wer muss zukünftig einen Datenschutzbeauftragten bestellen?
Adressat der Pflicht zur Benennung eines Datenschutzbeauftragten ist gemäß Art. 37 Abs. 1 DSGVO nach wie vor sowohl der für die Verarbeitung Verantwortliche als auch der Auftragsverarbeiter. Es bleibt auch weiterhin bei der Differenzierung zwischen öffentlichen und nicht-öffentlichen Stellen. Im Gegensatz zur bisherigen Rechtslage kann die Benennung zukünftig allerdings auch mündlich erfolgen. Aus Gründen der Nachweisbarkeit empfiehlt sich jedoch auch weiterhin die schriftliche Benennung.
Benennungspflicht für öffentliche Stellen
Öffentliche Stellen müssen gemäß Art. 37 Abs 1 lit. a) DSGVO immer, wenn eine Verarbeitung personenbezogener Daten im Sinne der DSGVO durchgeführt wird, einen Datenschutzbeauftragten bestellen. Diese Pflicht besteht ausnahmsweise dann nicht, wenn die Verarbeitungen durch Gerichte im Rahmen ihrer justiziellen Tätigkeit erfolgen.
Benennungspflicht für nicht-öffentliche Stellen
Nicht-öffentliche Stellen müssen hingegen nach der DSGVO nur in wenigen definierten Fällen einen Datenschutzbeauftragten benennen, nämlich wenn ihre Kerntätigkeit in Verarbeitungsvorgängen besteht, die gemessen an Art, Umfang und/oder Zweck eine umfangreiche regelmäßige und systematische Überwachung betroffener Personen erforderlich machen (Art. 37 Abs. 1 lit. b) DSGVO) oder wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten bzw. Daten über strafrechtliche Verurteilungen und Straftaten besteht (Art. 37 Abs. 1 lit. c) DSGVO, Art. 9, 10 DSGVO).
§ 38 Abs. 1 S. 1 BDSG-neu ergänzt die Benennungspflichten dahingehend, dass ein Datenschutzbeauftragter – ähnlich der bisherigen Regelung in § 4f Abs. 1 BDSG – auch zu benennen ist, wenn bei dem Verantwortlichen/Auftragsverarbeiter ständig mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) für Verarbeitungen durchgeführt werden muss, Verarbeitungen geschäftsmäßig dem Zweck der anonymisierten Übermittlung dienen oder für Zwecke der Markt und Meinungsforschung erfolgen.
Konzerne können zukünftig einen Konzerndatenschutzbeauftragter benennen, richtig?
Gemäß Art. 37 Abs. 2 DSGVO können Unternehmensgruppen (Art. 4 Nr. 19 DSGVO) zukünftig einen sogenannten gemeinsamen Datenschutzbeauftragten benennen. Da die Unternehmensgruppe aber kein eigener Rechtsträger und damit zur Benennung weder berechtigt noch verpflichtet ist, ist damit die bisher schon praktizierte Benennung durch mehrere einer Unternehmensgruppe zugehörige Unternehmen gemeint. Der Datenschutzbeauftragte wird dann bei dem Unternehmen, bei dem er angestellt ist, als interner und für die anderen Unternehmen jeweils als externer Datenschutzbeauftragter benannt.
Voraussetzung ist allerdings, dass der Datenschutzbeauftragte von jeder Niederlassung aus leicht erreichbar ist. Die leichte Erreichbarkeit setzt keine ständige physische Anwesenheit des Datenschutzbeauftragten voraus. Er sollte jedoch geografisch so beweglich sein, dass er alle Niederlassungen verhältnismäßig schnell erreichen kann. Zur Erfüllung der leichten Erreichbarkeit, ist die Ernennung von „Datenschutzkoordinatoren“ in den einzelnen Niederlassungen eine Möglichkeit. Diese unterstützen den Datenschutzbeauftragten und sind Ansprechpartner vor Ort, um beispielsweise Zeitverschiebungen oder Sprachbarrieren besser überbrücken zu können. Letztendlich gibt es für den Begriff der leichten Erreichbarkeit jedoch keine feste Definition, es kommt also auf die konkrete Ausgestaltung und Umsetzung in einem Konzern bzw. einer Unternehmensgruppe an.
Kann ein Datenschutzbeauftragter auch freiwillig benannt werden?
Verantwortliche und Auftragsverarbeiter können natürlich auch freiwillig einen Datenschutzbeauftragten benennen. Der Kündigungsschutz aus § 38 Abs. 2 i.V.m. § 6 Abs. 4 BDSG-neu (vorher in § 4f Abs. 3 S. 3 BDSG) gilt allerdings nur für die verpflichtend zu benennenden Datenschutzbeauftragten. Ein freiwillig benannter Datenschutzbeauftragter kann also jederzeit abberufen werden, wenn im Zeitpunkt seiner Abberufung (!) keine Benennungspflicht besteht (§ 38 Abs. 2 a.E. BDSG-neu) und die Abberufung nicht aufgrund der Erfüllung seiner Aufgaben geschieht, vgl. Art. 38 Abs. 3 S. 2 DSGVO.
Wie sieht es mit einer Befristung der Benennung aus?
Eine Befristung ist weder in der DSGVO noch im BDSG-neu vorgesehen, allerdings auch nicht ausdrücklich ausgeschlossen. Grundsätzlich ist deshalb eine Befristung auch weiterhin denkbar, allerdings sollte diese nicht zu kurz bemessen sein. Andernfalls könnte die Unabhängigkeit und persönliche Integrität des Datenschutzbeauftragten gefährdet sein
Was passiert mit Bestellungen unter dem BDSG?
Wichtig ist für viele Verantwortliche und Auftragsverarbeiter die Frage, was mit Bestellungen unter dem BDSG ab dem 25.5.2018 besteht. Sind diese Bestellungen hinfällig? Müssen die Datenschutzbeauftragten erneut benannt werden? Die DSGVO und das BDSG-neu enthalten keine ausdrückliche Regelungen zu diesem Problem. Die Bestellung eines Datenschutzbeauftragten ist die Übertragung einer gesetzlichen Pflicht des Verantwortlichen. Aus § 4f Abs. 3 S. 3 ff. BDSG ergibt sich, dass eine Bestellung nur durch eine Abberufung in den genannten Ausnahmefällen rückgängig gemacht werden kann. Die Änderung der Rechtslage ist kein solcher Fall. Ein nach dem BDSG bestellter Datenschutzbeauftragter wird damit am 25.5.2018 quasi über Nacht zu einem nach DSGVO und BDSG-neu benannten Datenschutzbeauftragten. Eine dahingehende Handlung oder Erklärung des Verantwortlichen, des Auftragsverarbeiters oder des Datenschutzbeauftragten selbst ist nicht notwendig.
Welche Folgen haben Verstöße gegen die Vorschriften zum Datenschutzbeauftragten?
Verstöße können zukünftig durch die Aufsichtsbehörden gemäß Art. 83 Abs. 4 lit. a) DSGVO mit Bußgeldern bis zu 10 Millionen Euro oder 2 % des welt- und konzernweiten Vorjahresumsatzes geahndet werden. Besonders im Auge zu behalten ist in diesem Zusammenhang, dass Verantwortliche und Auftragsverarbeiter gemäß Art. 37 Abs. 7 DSGVO den jeweiligen Datenschutzbeauftragten und seine Kontaktdaten der Aufsichtsbehörde proaktiv mitteilen müssen. Die nicht erfolgte Mitteilung ist für Aufsichtsbehörden leicht überprüfbar und damit ein „leichter“ Aufhänger für Bußgelder. Die Aufsichtsbehörden prüfen derzeit, ob sie für diese Meldung ein Registrierungsportal o.ä. vorsehen, um eine geordnete Erfassung zu ermöglichen.
Und die Moral von der Geschicht‘?
Es ändert sich zwar nicht viel, allerdings ist die Pflicht, einen Datenschutzbeauftragten zu benennen, auch nach der aktuellen Rechtslage noch nicht zu allen Verantwortlichen und Auftragsverarbeitern durchgedrungen. Nicht zuletzt wegen der proaktiven Meldepflicht ist es an der Zeit dieses Thema nicht mehr auf die Seite zu schieben. Wir haben für Sie eine kleine Übersicht zusammen gestellt, um Ihnen die groben gedanklichen Schritte im Rahmen der Benennung eines Datenschutzbeauftragten aufzuzeigen.
Gerne unterstützen wir als externe Berater Sie bei der Benennung eines internen Datenschutzbeauftragten oder auch Ihren Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben. Sind Sie auf der Suche nach einem externen Datenschutzbeauftragten? Als zertifizierte externe Datenschutzbeauftragte unterstützen wir Sie natürlich auch gerne in dieser Rolle. Wenden Sie sich einfach an unser Anwalts-Team!