Der/Die Datenschutzbeauftragte (DSB) ist ein großer Erfolg und ist so alt wie das deutsche Datenschutzrecht. Diese bewährte deutsche Regelung wurde auch in die Datenschutz-Grundverordnung (DSGVO) übernommen, welche nun die Benennung von Datenschutzbeauftragten überall in der Europäischen Union vorsieht.
Der/Die Datenschutzbeauftragte ist der kompetente und fachkundige Ansprechpartner für Organisationen, Betriebe, Institutionen und Behörden und die Datenschutzpraxis ist wesentlich durch ihn bestimmt.
Hinsichtlich der Systematik der Rechtsgrundlagen gilt in Deutschland im Anwendungsbereich der DSGVO ein gesetzlicher Dreiklang. Die DSGVO selbst ist als europäische Verordnung unmittelbar in den Mitgliedsstaaten geltendes Recht. Somit sind zunächst die Vorschriften der Artt. 37 bis 39 DSGVO für Datenschutzbeauftragte bezogen auf Benennung, Stellung und Aufgaben einschlägig. Das BDSG ist nachrangig. Im Verhältnis zur DSGVO gelten seine Regelungen nur dann, soweit die DSGVO nicht unmittelbar gilt (§ 1 Abs. 5 BDSG). Darüber hinaus gilt es auch dann nicht, wenn es andere Rechtsvorschriften des Bundes über den Datenschutz gibt. [1]
Stellung des DSB nach der DSGVO
Der DSB ist Teil einer juristischen Einheit, für die er benannt wurde. Das bedeutet auch, dass nicht der DSB gegenüber dem Betroffenen oder den (Datenschutz-) Behörden verantwortlich ist, sondern der Verantwortliche, der Auftragsverarbeiter, kurz die Organisation.
Aufgaben des DSB
Im Rahmen seiner Aufgaben ist der DSB als Organ der datenschutzrechtlichen Selbstkontrolle zu verstehen. Die Stellung und Aufgaben des DSB sind in Artt. 37 bis 39 DSGVO normiert.
In ErwG 97 heißt es, […] sollte der Verantwortliche oder der Auftragsverarbeiter bei der Überwachung der internen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person, die über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügt unterstützt werden. […] Der DSB unterstützt somit mit seiner Fachkunde als Beratungs- und Kontrollorgan und leistet damit zum einen, einen wichtigen Beitrag zum Persönlichkeitsschutz der Betroffenen, aber vor allem trägt der zur Reduzierung von Unternehmensrisiken bei. Der EDSA hat den Datenschutzbeauftragten als „Schlüsselfigur“ bezeichnet, der die Einhaltung der DSGVO erleichtert und als Mittler zwischen den maßgeblichen Interessenträgern (z.B. Aufsichtsbehörden, betroffenen Personen, Unternehmensleitung) fungiert. [2]
Funktion des DSB
Ausschlaggebend für die Funktion des DSB ist, dass er vor allem eine unabhängige und organisatorisch herausgehobene Position hat. Er ist bei der Wahrnehmung seiner Aufgaben weisungsfrei und untersteht unmittelbar der obersten Unternehmensleitung. Er zeichnet sich somit durch seine Neutralität aus und hat ausschließlich das Risiko der betroffenen Person bei dessen Verarbeitung von personenbezogenen Daten im Fokus. Auch wenn dies gleichzeitig zur Risikominimierung und Prozessoptimierung innerhalb der Organisation beiträgt, ist dieser Aspekt, gemäß Datenschutzgesetz, nachgelagert. Der DSB ist in der Bewertung weisungsfrei und auch die oberste Unternehmensleitung kann ihm nicht vorschreiben, für welche Rechtsauffassung er sich im Einzelfall entscheidet. Seine Aufgabe ist es zu beraten und Handlungsempfehlungen zu geben. Die oberste Unternehmensleitung kann sich jederzeit darüber hinwegsetzen und anders entscheiden, denn sie trägt ausschließlich die Verantwortung für die Umsetzung und Einhaltung der Datenschutzrechte.
Fachkunde des DSB
Das Fachwissen des DSB soll sich im Umfang der Datenverarbeitung und dem Schutzbedarf der personenbezogene Daten orientieren. Je mehr Daten der Verantwortliche verarbeitet und je sensibler die personenbezogenen Daten sind, desto höhere Anforderungen sind an die Qualifikation und das Fachwissen zu stellen. [3] Fachkunde bedeutet ungeachtet dessen, dass der DSB die gesetzlichen Regelungen (DSG, BDSG, datenschutzrechtliche Normen) kennt und diese auch anzuwenden weiß. Er verfügt u. a. über Kenntnisse und Erfahrungen in der Prozessdokumentation und Prozessoptimierung, IT-(Sicherheit-)Kenntnisse sowie Projekt- und Change Management, hat ein strategisches und betriebswirtschaftliches Verständnis, kann Risiken bewerten und diese visualisieren, er ist vertraut mit Führungsprinzipien und unternehmerischem Handeln. Er sollte sowohl prozess- und personenorientiert als auch aufgaben- und zielorientiert sein.
Der DSB „begleitet personenbezogene Daten“ innerhalb des Unternehmens mit einem datenschutzrechtlichen Auge – er überwacht und kontrolliert die Einhaltung der datenschutzrechtlichen Vorgaben und berät ausschließlich im Datenschutzrecht. Seine Aufgabe ist es nicht z.B. arbeits- oder wettbewerbsrechtlich tätig zu werden. Dies ungeachtet seiner sonstigen Qualifikation.
AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.
[1] BfDI, (2020), Info 4, Die Datenschutzbeauftragten in Behörden und Betrieben, S. 9
[2] HK DS-GVO/BDSG, Jaspers/Reif Art. 73, S. 1035, Rn. 2
[3] BfDI, (2020), Info 4, Die Datenschutzbeauftragten in Behörden und Betrieben, S. 13
10. März 2021