Der Datenschutz­beauftragte…

Der/Die Datenschutz­beauftragte (DSB) ist ein großer Erfolg und ist so alt wie das deut­sche Da­ten­schutz­recht. Diese be­währ­te deut­sche Re­ge­lung wurde auch in die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DSGVO) über­nom­men, welche nun die Be­nen­nung von Da­ten­schutz­be­auf­trag­ten überall in der Eu­ro­päi­schen Union vorsieht.
Der/Die Datenschutz­beauftragte ist der kom­pe­ten­te und fach­kun­di­ge An­sprech­part­ner für Or­ga­ni­sa­tio­nen, Be­trie­be, In­sti­tu­tio­nen und Be­hör­den und die Da­ten­schutz­pra­xis ist we­sent­lich durch ihn bestimmt.

Hin­sicht­lich der Sys­te­ma­tik der Rechts­grund­la­gen gilt in Deutsch­land im An­wen­dungs­be­reich der DSGVO ein ge­setz­li­cher Drei­klang. Die DSGVO selbst ist als eu­ro­päi­sche Ver­ord­nung un­mit­tel­bar in den Mit­glieds­staa­ten gel­ten­des Recht. Somit sind zu­nächst die Vor­schrif­ten der Artt. 37 bis 39 DSGVO für Datenschutz­beauftragte bezogen auf Be­nen­nung, Stel­lung und Auf­ga­ben ein­schlä­gig. Das BDSG ist nach­ran­gig. Im Ver­hält­nis zur DSGVO gelten seine Re­ge­lun­gen nur dann, soweit die DSGVO nicht un­mit­tel­bar gilt (§ 1 Abs. 5 BDSG). Darüber hinaus gilt es auch dann nicht, wenn es andere Rechts­vor­schrif­ten des Bundes über den Daten­schutz gibt. ^[1]

Stel­lung des DSB nach der DSGVO
Der DSB ist Teil einer ju­ris­ti­schen Einheit, für die er benannt wurde. Das be­deu­tet auch, dass nicht der DSB ge­gen­über dem Be­trof­fe­nen oder den (Da­ten­­­schutz-) Be­hör­den ver­ant­wort­lich ist, sondern der Ver­ant­wort­li­che, der Auf­trags­ver­ar­bei­ter, kurz die Organisation.

Auf­ga­ben des DSB
Im Rahmen seiner Auf­ga­ben ist der DSB als Organ der da­ten­schutz­recht­li­chen Selbst­kon­trol­le zu ver­ste­hen. Die Stel­lung und Auf­ga­ben des DSB sind in Artt. 37 bis 39 DSGVO normiert.
In ErwG 97 heißt es, […] sollte der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter bei der Über­wa­chung der in­ter­nen Ein­hal­tung der Be­stim­mun­gen dieser Ver­ord­nung von einer wei­te­ren Person, die über Fach­wis­sen auf dem Gebiet des Da­ten­schutz­rechts und der Da­ten­schutz­ver­fah­ren verfügt un­ter­stützt werden. […] Der DSB un­ter­stützt somit mit seiner Fach­kun­de als Be­ra­­tungs- und Kon­troll­organ und leistet damit zum einen, einen wich­ti­gen Beitrag zum Per­sön­lich­keits­schutz der Be­trof­fe­nen, aber vor allem trägt der zur Re­du­zie­rung von Un­ter­neh­mens­ri­si­ken bei. Der EDSA hat den Da­ten­schutz­be­auf­trag­ten als „Schlüs­sel­fi­gur“ be­zeich­net, der die Ein­hal­tung der DSGVO er­leich­tert und als Mittler zwi­schen den maß­geb­li­chen In­ter­es­sen­trä­gern (z.B. Auf­sichts­be­hör­den, be­trof­fe­nen Per­so­nen, Un­ter­neh­mens­lei­tung) fun­giert. ^[2]

Funk­ti­on des DSB
Aus­schlag­ge­bend für die Funk­ti­on des DSB ist, dass er vor allem eine un­ab­hän­gi­ge und or­ga­ni­sa­to­risch her­aus­ge­ho­be­ne Po­si­ti­on hat. Er ist bei der Wahr­neh­mung seiner Auf­ga­ben wei­sungs­frei und un­ter­steht un­mit­tel­bar der obers­ten Un­ter­neh­mens­lei­tung. Er zeich­net sich somit durch seine Neu­tra­li­tät aus und hat aus­schließ­lich das Risiko der be­trof­fe­nen Person bei dessen Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten im Fokus. Auch wenn dies gleich­zei­tig zur Ri­si­ko­mi­ni­mie­rung und Pro­zess­op­ti­mie­rung in­ner­halb der Or­ga­ni­sa­ti­on bei­trägt, ist dieser Aspekt, gemäß Da­ten­schutz­ge­setz, nach­ge­la­gert. Der DSB ist in der Be­wer­tung wei­sungs­frei und auch die oberste Un­ter­neh­mens­lei­tung kann ihm nicht vor­schrei­ben, für welche Rechts­auf­fas­sung er sich im Ein­zel­fall ent­schei­det. Seine Aufgabe ist es zu beraten und Hand­lungs­emp­feh­lun­gen zu geben. Die oberste Un­ter­neh­mens­lei­tung kann sich je­der­zeit darüber hin­weg­set­zen und anders ent­schei­den, denn sie trägt aus­schließ­lich die Ver­ant­wor­tung für die Um­set­zung und Ein­hal­tung der Datenschutzrechte.

Fach­kun­de des DSB
Das Fach­wis­sen des DSB soll sich im Umfang der Da­ten­ver­ar­bei­tung und dem Schutz­be­darf der per­so­nen­be­zo­ge­ne Daten ori­en­tie­ren. Je mehr Daten der Ver­ant­wort­li­che ver­ar­bei­tet und je sen­si­bler die per­so­nen­be­zo­ge­nen Daten sind, desto höhere An­for­de­run­gen sind an die Qua­li­fi­ka­ti­on und das Fach­wis­sen zu stellen. ^[3] Fach­kun­de be­deu­tet un­ge­ach­tet dessen, dass der DSB die ge­setz­li­chen Re­ge­lun­gen (DSG, BDSG, da­ten­schutz­recht­li­che Normen) kennt und diese auch an­zu­wen­den weiß. Er verfügt u. a. über Kennt­nis­se und Er­fah­run­gen in der Pro­zess­do­ku­men­ta­ti­on und Pro­zess­op­ti­mie­rung, IT-(Sicherheit-)Kenntnisse sowie Projekt- und Change Ma­nage­ment, hat ein stra­te­gi­sches und be­triebs­wirt­schaft­li­ches Ver­ständ­nis, kann Risiken be­wer­ten und diese vi­sua­li­sie­ren, er ist ver­traut mit Füh­rungs­prin­zi­pi­en und un­ter­neh­me­ri­schem Handeln. Er sollte sowohl prozess- und per­so­nen­ori­en­tiert als auch auf­­­ga­­ben- und ziel­ori­en­tiert sein.

Der DSB „be­glei­tet per­so­nen­be­zo­ge­ne Daten“ in­ner­halb des Un­ter­neh­mens mit einem da­ten­schutz­recht­li­chen Auge – er über­wacht und kon­trol­liert die Ein­hal­tung der da­ten­schutz­recht­li­chen Vor­ga­ben und berät aus­schließ­lich im Da­ten­schutz­recht. Seine Aufgabe ist es nicht z.B. arbeits- oder wett­be­werbs­recht­lich tätig zu werden. Dies un­ge­ach­tet seiner sons­ti­gen Qualifikation.

AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lö­sun­gen für pro­fes­sio­nel­len und fach­kun­di­gen Datenschutz.

[1] BfDI, (2020), Info 4, Die Da­ten­schutz­be­auf­trag­ten in Be­hör­den und Be­trie­ben, S. 9
[2] HK DS-GVO/BDSG, Jaspers/Reif Art. 73, S. 1035, Rn. 2
[3] BfDI, (2020), Info 4, Die Da­ten­schutz­be­auf­trag­ten in Be­hör­den und Be­trie­ben, S. 13

10. März 2021