Datenschutzbeauftrage im Unternehmen
Mit der Datenschutz-Grundverordnung wird die Rolle des Datenschutzbeauftragten deutlich gestärkt. Dies ist zu begrüßen. Zugleich überträgt der Verordnungsgeber der einzelnen Organisation als der für die Datenverarbeitung verantwortlichen Stelle klare Handlungsaufträge zur Unterstützung des Datenschutzbeauftragten, deren Missachtung sanktioniert werden kann. Datenschutz wird damit in das Bewusstsein aller gerückt – eine Grundvoraussetzung für den effektiven Schutz personenbezogener Daten und des zugrunde liegenden Grundrechts auf informationelle Selbstbestimmung.
Europaweite Bestellungspflicht (Art. 37 Abs. 1 DS-GVO)
Eine Folge der Datenschutz-Grundverordnung (DS-GVO) ist die erstmalige Einführung einer europaweiten Pflicht für alle Verwaltungen und bestimmte Unternehmen zur Bestellung eines Datenschutzbeauftragten. Ausgehend von dem risikoorientierten Ansatz der Verordnung erstreckt sich die Bestellungspflicht im privaten Sektor zunächst auf solche Stellen, deren Haupttätigkeit entweder in einer systematischen Überwachung von Personen oder der umfangreichen Verarbeitung besonders schutzbedürftiger Daten besteht (z.B. Internetprovider oder Krankenhäuser). § 38 Abs. 1 S. 1 Bundesdatenschutzgesetz weitet diese Pflicht aus. Jedoch gilt seit dem 21. November 2019 die Pflicht zur Bestellung eines Datenschutzbeauftragten für nicht-öffentliche Stellen, wie Unternehmen und Vereine, erst dann, soweit in der Regel mindestens 20 – und nicht wie bisher zehn – Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die Norm wurde insoweit durch das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU (BGBl. 2019, Teil I Nr. 41, S. 1626 ff.) geändert. Zudem müssen alle Verantwortlichen einen Datenschutzbeauftragten bestellen, wenn ihre Verarbeitungsvorgänge der Datenschutz-Folgenabschätzung unterliegen oder sie im Bereich der Markt- und Meinungsforschung tätig sind oder eine Wirtschaftsauskunftei betreiben. Ein Verstoß gegen die Bestellungspflicht kann sanktioniert werden.
Für die Meldung der Kontaktdaten des/der Datenschutzbeauftragten steht ein Online-Formular zur Verfügung.
Anforderungsprofil
Maßgeblich für die Personalauswahl eines Datenschutzbeauftragten ist dessen Fähigkeit, die von der Datenschutz-Grundverordnung genannten Aufgaben zu erfüllen. Neben profunden Kenntnissen der rechtlichen und technisch-organisatorischen Grundlagen setzt dies insbesondere die Fähigkeit zum Risikomanagement voraus (Art. 39 Abs. 2 DS-GVO). Die Bestellung externer Dienstleister ist weiterhin möglich. Abhängig von der Größe und Komplexität der Stelle kann die Berufung eines Teams, das aus dem Datenschutzbeauftragten und weiteren Personen besteht, geboten sein.
Aufgabenspektrum des Datenschutzbeauftragten
Künftig wird der Datenschutzbeauftragte neben seiner Beratungsfunktion verstärkt die Rolle eines Compliance-Beauftragten zum Datenschutz einnehmen, der intern nicht nur die Einhaltung der datenschutzrechtlichen Vorgaben überwachen, sondern auch die dazu innerhalb seiner Organisation entwickelten Strategien zum Schutz personenbezogener Daten inhaltlich bewerten soll (Art. 39 Abs. 1 lit. b und c DS-GVO), z.B. bei der Datenschutz-Folgenabschätzung. So überprüft nach dem Willen der Verordnung der Datenschutzbeauftragte dabei z.B. die Datenschutzverträglichkeit der intern getroffenen Zuweisung von Zuständigkeiten oder die zur Sensibilisierung der Beschäftigten durchgeführten Maßnahmen. Allein diese eher risikoorientierten, koordinierenden und bewertenden Aufgaben stellen im Vergleich zu der bisherigen Rechtslage eine gravierende Änderung der praktischen Tätigkeit der Datenschutzbeauftragten und damit auch ihrer internen Rolle dar. Zusammen mit ihrer unmittelbaren Berichtspflicht gegenüber der höchsten Managementebene verfügen die Datenschutzbeauftragten damit über umfassende Einflussmöglichkeiten in den von ihnen betreuten Organisationen.
Datenschutzmanagement/Pflichten des Verantwortlichen
Die mit der Bestellung eines Datenschutzbeauftragten einhergehenden Pflichten des Verantwortlichen werden von der Verordnung deutlich benannt (insbesondere Art. 38 Abs. 1, Abs. 2, Abs. 3, Abs. 6 Satz 2 DS-GVO). Für die interne Einbindung des Datenschutzbeauftragten ist bereits die Pflicht zur Veröffentlichung seiner Kontaktdaten bedeutsam (Art. 37 Abs. 7 DS-GVO). Inhaltlich mehr Gewicht dürfte allerdings die klare Verpflichtung des Verantwortlichen haben, dem Datenschutzbeauftragten die zur Aufgabenerfüllung erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen zur Verfügung zu stellen (Art. 38 Abs. 2 DS-GVO). Vor allem die Bereitstellung ausreichender Personalressourcen war in der Vergangenheit in der Praxis selten gewährleistet. Da nach Art. 83 Abs. 4 lit. a DS-GVO u.a. ein Verstoß gegen die Vorgaben der Art. 37 bis 39 DS-GVO mit hohen Bußgeldern sanktioniert werden kann, bleibt zu hoffen, dass künftig Datenschutzbeauftragte angemessen ausgestattet werden. Daneben dürfte vor diesem Hintergrund auch die von der Datenschutz-Grundverordnung explizit verlangte und in die Verantwortlichkeit der Organisation gestellte frühzeitige Einbindung des Datenschutzbeauftragten in alle mit dem Schutz personenbezogener Daten zusammenhängender Fragen (Art. 38 Abs. 1 DS-GVO) künftig regelmäßig Beachtung finden. Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen, zudem ist der bestellte Datenschutzbeauftragte der Aufsichtsbehörde zu melden.