Die Rolle des Datenschutzbeauftragten (DSB)

Auszug aus Bruno DUMAYs Buch: GDPR DECRYPTION – Für Manager, strategische Abteilungen und Mitarbeiter von Unternehmen und Organisationen – Vorwort von Gaëlle MONTEILLER

Neben der Folgenabschätzung ist der Datenschutzbeauftragte (DSB) die zweite wichtige Neuerung der DSGVO. In Frankreich ersetzt er logischerweise den Datenschutzbeauftragten (CIL) bzw. den Datenschutzbeauftragten (CPL). Es ist jedoch zu beachten, dass die Europäische Union die Ernennung eines DSB in großen Verwaltungs- und Wirtschaftsstrukturen seit langem empfiehlt und einige dieser Empfehlung gefolgt sind.

Die G29 arbeitete an der Rolle des Datenschutzbeauftragten und verabschiedete einige „Leitlinien“, die am 5. April 2017 fertiggestellt wurden. Diese Einzelheiten helfen uns, die Konturen und Inhalte dieser Schlüsselposition zu skizzieren.

Die Benennung eines DSB ist obligatorisch für (Art. 37-1):

– öffentliche Stellen;

– Organisationen, deren Kernaktivitäten eine regelmäßige und systematische Überwachung von Einzelpersonen in großem Umfang erfordern. Die G29 unterscheidet zwischen unterstützenden Aktivitäten wie Lohn- und Gehaltsabrechnung oder IT und Kernaktivitäten, die das Kerngeschäft der Organisation betreffen (z. B. Gesundheitsdaten für ein Krankenhaus). Ebenso wird der Begriff der „regelmäßigen und systematischen Überwachung“ sehr weit gefasst und nicht auf die Online-Umgebung beschränkt.

– Organisationen, die aufgrund ihrer Kerntätigkeiten in großem Umfang „sensible“ Daten oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten verarbeiten (G29 liefert wichtige Elemente zur Bestimmung des Begriffs „großen Umfangs“).

Eine Unternehmensgruppe oder eine Gruppe öffentlicher Stellen kann einen gemeinsamen Datenschutzbeauftragten ernennen (Art. 37-2 und 37-3). Die Ernennung eines Datenschutzbeauftragten wird von der G29 ausdrücklich empfohlen und stellt auch hier eine bewährte Vorgehensweise dar.

Der Datenschutzbeauftragte wird vom Verantwortlichen und gegebenenfalls vom Auftragsverarbeiter aufgrund seiner beruflichen Qualifikationen ernannt, „insbesondere aufgrund seiner Fachkenntnisse im Bereich Datenschutzrecht und -praxis sowie seiner Fähigkeit zur Erfüllung seiner Aufgaben“ (Art. 37-5). Je komplexer die Verarbeitungsvorgänge, desto höher sind die erwarteten Fähigkeiten.

Der DSB kann intern oder extern angesiedelt sein und im letzteren Fall seine Aufgaben auf der Grundlage eines Vertrags erfüllen. Handelt es sich bei dem Dienstleister um ein Team, müssen die Aufgaben jedes Mitglieds festgelegt und ein Teamleiter benannt werden. Die WP29 empfiehlt, dass der DSB leicht erreichbar sein und daher in der Europäischen Union ansässig sein sollte. Insbesondere wenn der Verantwortliche oder der Auftragsverarbeiter außerhalb der Europäischen Union ansässig sind, ist ein Sitz des DSB außerhalb der EU zulässig, sofern er so effektiver agieren kann.

Der DSB spielt nicht nur eine symbolische Rolle. Er muss vom Verantwortlichen und vom Auftragsverarbeiter „in alle Fragen im Zusammenhang mit dem Schutz personenbezogener Daten“ einbezogen werden (Art. 38-1). Er kann von jeder Person kontaktiert werden, deren personenbezogene Daten verarbeitet werden (Art. 38-4). Er verfügt über die „erforderlichen Ressourcen“, um seine Aufgaben zu erfüllen, hat Zugriff auf die Daten und Verarbeitungsvorgänge und muss in der Lage sein, „sein Fachwissen aufrechtzuerhalten“ (Art. 38-2). Mit „erforderlichen Ressourcen“ meint die G29 auch Unterstützung durch Aufsicht, ausreichend Zeit, materielle Voraussetzungen und Schulung. Der DSB ist gewissermaßen heilig.

Dies gilt umso mehr, als seine Unabhängigkeit gewährleistet ist. Er darf keine Anweisungen zur Erfüllung seiner Aufgaben erhalten (Art. 38-3). Der Verantwortliche und der Subunternehmer haben keinerlei Weisungsbefugnis über ihn (sie sind jedoch befugt, ihn zu ernennen). Der Auftragsverarbeiter ist lediglich der obersten Führungsebene rechenschaftspflichtig. Er unterliegt zudem der Schweigepflicht und der Geheimhaltungspflicht (Art. 38-5).

Trotz seines Status haftet der Datenschutzbeauftragte nicht für die Nichteinhaltung der DSGVO durch die Organisation, die ihn beauftragt hat. Die Verantwortung liegt ausschließlich beim Verantwortlichen und/oder Auftragsverarbeiter. Eine strafrechtliche Haftung kann nur im Falle der Mittäterschaft bei einer vorsätzlichen Verletzung entstehen.

Der Datenschutzbeauftragte kann weitere Pflichten und Aufgaben wahrnehmen, die keine Interessenkonflikte nach sich ziehen dürfen (Art. 38-6). Es ist ihm daher nicht möglich, Funktionen auszuüben, die ihn dazu zwingen würden, über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu entscheiden. Ein DSB kann daher kaum Verwaltungsfunktionen der Organisation ausüben oder in der für die Datenverwaltung zuständigen Abteilung arbeiten. Im Jahr 2015 führte die CNIL eine Studie durch, um die Profile von Datenschutzbeauftragten zu ermitteln. Es stellte sich heraus, dass es kein typisches Profil gab: 47 % hatten ein technisches Profil, 19 % ein juristisches Profil und 10 % ein administratives Profil. Es ist wahrscheinlich, dass dieses Fehlen eines typischen Profils zumindest anfangs auch bei DSBs zu beobachten sein wird.

Artikel 39 der DSGVO listet die Pflichten des Delegierten auf:

– den Verantwortlichen, den Auftragsverarbeiter und die mit der Verarbeitung beauftragten Mitarbeiter über ihre Pflichten im Zusammenhang mit den Vorschriften zur Verarbeitung personenbezogener Daten zu informieren und zu beraten;

– die Einhaltung der Vorschriften zu überwachen, aber auch das an den Verarbeitungsvorgängen beteiligte Personal zu sensibilisieren und zu schulen;

– auf Anfrage Beratung zur Folgenabschätzung leisten. Die Leitlinien der WP29 weisen dem DSB eindeutig eine wichtige Rolle bei dieser Bewertung zu. Er muss zu Aktualität, Methodik und Inhalt konsultiert werden und anschließend die Qualität der Folgenabschätzung beurteilen;

– mit der Aufsichtsbehörde zusammenarbeiten und deren Ansprechpartner sein. Zum Zeitpunkt der Erstellung dieses Dokuments entwickelt die CNIL ein Formular zur Benennung des Datenschutzbeauftragten.

Es steht zwar nicht im Artikel, aber die G29 fügt dem DSB eine zusätzliche und optionale Aufgabe hinzu: „Der Verantwortliche oder der Auftragsverarbeiter kann den DSB nicht mit der Aufgabe betrauen, das Verzeichnis der unter der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters durchgeführten Verarbeitungsvorgänge zu führen.“ Ist dies vielleicht ein Vorschlag, um den Informationsfluss zwischen den verschiedenen Akteuren zu erleichtern?

Dies wäre nicht nutzlos. Denn am Ende der Analyse dieser Funktion sagen wir uns, dass es selbst in einem großen Unternehmen nicht einfach sein wird, eine Person zu finden, die sowohl kompetent ist, diese wichtige Rolle zu übernehmen, als auch frei von jeglicher Verantwortung bei der Datenverarbeitung ist, um Interessenkonflikte zu vermeiden. Es ist in der Tat nicht einfach, sich der Bestimmungen einer Verordnung und insbesondere ihrer Konsequenzen bewusst zu sein, wenn man sie im Rahmen seiner Arbeit nicht selbst umsetzen muss.

An diesem Punkt ist die Problemstellung für die Benennung Ihres Datenschutzbeauftragten einfach, auch wenn es sich eigentlich um drei separate Aussagen handelt:

Bei einer internen Besetzung sind zahlreiche Hürden zu überwinden, wie etwa der soziale Aspekt und die Neuverhandlung des Arbeitsvertrags. In diesem Fall ist davon auszugehen, dass der Umfang dieser neuen Aufgabe bei Vertragsunterzeichnung noch nicht bekannt war. Berücksichtigt man das Risiko, die direkte und ausschließliche Unterordnung unter die Unternehmensführung, stellt dies eine wesentliche Vertragsänderung dar und ist somit ein neuer Arbeitsvertrag. Und wer wird ihn intern bewerten und kontrollieren? Und wer wird seine Aufgabe erfüllen, da er nicht länger Richter und Schiedsrichter sein kann …

Rekrutiert man ihn, steigt die Nachfrage sprunghaft an. Das Profil ist bei großen und mittelständischen Unternehmen so gefragt, dass es aufgrund des Mangels zu einer regelrechten Inflation kommt. Und das Problem bleibt: Wer wird ihn bewerten und überwachen?

Warum also diese DSB-Funktion nicht an einen vereidigten Fachmann delegieren, der seine Rolle mit einer Kompetenz und Unabhängigkeit ausüben könnte, die intern nur schwer vereinbar ist? Die Verordnung erwähnt diese Möglichkeit nicht, und es wird sich in der Praxis zeigen müssen, ob sie denkbar und vorgesehen ist (nichts hindert uns daran, die CNIL zu diesem Thema zu befragen). In jedem Fall erscheint es uns interessant, eine Garantie für ein gutes Verhältnis zwischen dem Verantwortlichen und dem Datenschutzbeauftragten zu schaffen.

Und schließlich können wir uns einfach dazu entscheiden, keinen Datenschutzbeauftragten zu ernennen, da Sie hierzu nicht zwingend verpflichtet sind.