Der Datenschutzbeauftragte nach DSGVO

1. Sep 2017/Dr. Conrad Lienhardt /DSGVO / 12. Mär 2018

Die Sicht der DSGVO auf den Datenschutzbeauftragten

In den Erwägungsgründen (ErwG) zur Datenschutz Grundverordnung (DSGVO) wird Verantwortlichen nahegelegt, sich von Fachkundigen des Datenschutzrechtes und der Datenschutzverfahren unterstützen zu lassen. Im Wortlaut formulieren der ErwG 97:

In Fällen, in denen die Verarbeitung […] im privaten Sektor durch einen Verantwortlichen erfolgt, dessen Kerntätigkeit in Verarbeitungsvorgängen besteht, die eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern, oder wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten besteht, sollte der Verantwortliche oder der Auftragsverarbeiter bei der Überwachung der internen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person, die über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügt, unterstützt werden. [Hervorhebung durch Autor]

In der Bundesrepublik Deutschland ist der Datenschutzbeauftragte (DSB) in § 4f und § 4g des Bundesdatenschutzgesetzes (BDSG) schon länger geregelt. Österreich hinkt hier deutlich nach, eher getrieben durch die DSGVO.

Aufgaben des Datenschutzbeauftragten

Die Aufgaben des Datenschutzbeauftragten werden in Art. 39 der DSGVO geregelt.

Er unterrichtet und berät den Verantwortlichen oder Auftragsverarbeiter, auch die mit der Verarbeitung personenbezogener Daten beschäftigten Mitarbeiter hinsichtlich der Pflichten nach der DSGVO
Er überwacht, ob die DSGVO und die nationalen Gesetze zum Datenschutz eingehalten werden.
Er überwacht die Strategien des Verantwortlichen oder Auftragsverarbeiters zum Schutz der personenbezogenen Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an der Verarbeitung beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen.
Er arbeitet mit der Aufsichtsbehörde zusammen
Er berät den Verantwortlichen oder Auftragsverarbeiter im Zusammenhang mit der Datenschutz Folgenabschätzung und Überwachung ihrer Umsetzung

Der Datenschutzbeauftragte erfüllt diese Aufgaben, in dem er dem mit der Verarbeitung personenbezogener Daten verbundenen Risiko gebührend Rechnung trägt

Ab wann braucht es einen Datenschutzbeauftragten?

Es wird von verschiedener Seite, oftmals nicht ganz uneigennützig, der Eindruck erweckt, als sei der Datenschutzbeauftragte ab 25. Mai 2018 zwingend vorgeschrieben und zwar generell. Das stimmt so nicht und das gilt es klar zu machen.

Wann ist ein Datenschutzbeauftragter zwingend vorgeschrieben?

Abschnitt 4 (Art. 37ff) der DSGVO regelt Fragen der Benennung, der Aufgaben und der Stellung des Datenschutzbeauftragten. Art. 37 bestimmt, unter welchen Voraussetzungen ein Datenschutzbeauftragter für Unternehmen zwingend zu benennen ist:

Sofern die Verarbeitung personenbezogener Daten zu den Kerntätigkeiten des Verantwortlichen oder Auftragsverarbeiters zählt, wenn also aufgrund der Art, des Umfangs oder des Zwecks eine regelmäßige, umfangreiche und systematische Überwachung erforderlich ist.
Sofern die Verarbeitung von personenbezogenen Daten der besonderen Kategorie (sensible Daten) zu den Kerntätigkeiten des Verantwortlichen oder Auftragsverarbeiters gehört.

Diese beiden Absätze formulieren die in der DSGVO zwingenden Gründe für die Benennung eines Datenschutzbeauftragten.

Eine Öffnungsklausel (Ar. 37, Abs. 4), die Mitgliedsländern der EU ermöglicht, spezifischere, also strengere Vorgaben zu erlassen, macht einen Blick in die nationalen Datenschutzgesetze erforderlich.

Für Österreich sind im DSG keine weiteren, also zusätzlichen Bedingungen formuliert.
In Deutschland formuliert das BDSG weitergehende Bedingungen: *⁾
So ist, wie bisher schon, die Benennung eines Datenschutzbeauftragten lt. § 38 BDSG (neu) dann erforderlich, sofern 10+ Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Neu hinzu kommt die Verpflichtung der Benennung eines Datenschutzbeauftragten, sofern die Verarbeitungen gem. Art. 35 DSGVO einer Datenschutz-Folgeabschätzung unterliegen.

Zumindest in Österreich besteht daher für die überwiegende Zahl an Unternehmen keine Verpflichtung zur Benennung eines Datenschutzbeauftragten. Dennoch ist es u.U. sinnvoll, freiwillig einen Datenschutzbeauftragten zu benennen.

Grafisches Element vor Einfügung eines Angebots

Sofern Sie mehr zu diesem Thema wissen wollen oder Beratung dazu benötigen,
erreichen Sie uns telefonisch unter

0699/15 31 67 76 oder per E-Mail

QR Code mit Kontaktdaten des Unternehmen von Dr. Conrad LIenhardt

Ist es sinnvoll, freiwillig einen Datenschutzbeauftragten zu benennen?

Nachdem Verstöße gegen die DSGVO mit empfindlichen, für manche Unternehmen möglicherweise hohen, existenzbedrohenden Strafen geahndet werden, ist die Benennung eines Datenschutzbeauftragten eine Erfordernis der Risikominimierung.

Vor allem haftende Geschäftsführer aber auch andere mit der Verarbeitung personenbezogener Daten befasster Mitarbeiter, die für Verstöße ebenfalls persönlich haftbar gemacht werden können, sollten an der Benennung eines Datenschutzbeauftragten interessiert sein. Siehe Die Geschäftsführung haftet bei Verstößen gegen die DSGVO

Für EPUs oder Mikro-Unternehmen ist dies wohl nicht erforderlich. Aber bereits für KMUs kann ich das grundsätzlich empfehlen, jedenfalls für größere Unternehmen.

Nachdem die Anpassung der bestehenden Situation (Verträge, Datenschutzerklärungen, Geschäftsprozesse etc.pp.) an die Anforderungen der DSGVO für viele Unternehmen ein anspruchsvolles Projekt darstellt, läge es nahe, aus der Projektgruppe einen Datenschutzbeauftragten zu benennen.

Interner vs. externer Datenschutzbeauftragter

Gerade für kleinere Unternehmen mögen interne Datenschutzbeauftragte eine doch erhebliche Belastung bedeuten. Neben Personalaufwand ist ein entsprechender Fortbildungsaufwand zu kalkulieren, um dem aktuellen Stand der Anforderungen jeweils genügen zu können.

Daher mag es in vielen Fällen sinnvoller und auch wirtschaftlicher sein, einen externen Datenschutzbeauftragten zu benennen. Dabei gilt es allerdings einiges zu beachten. In Österreich ist das Berufsbild des Datenschutzbeauftragten neu. Es gibt keine geregelte und anerkannte (akademische) Ausbildung. Jeder kann als Datenschutzbeauftragter seine Dienste anbieten. Bildungseinrichtungen bieten Ausbildungen an, Zertifikate und ähnliche quasi Qualifikationsausweise. Sie sind im Grunde nur der Nachweis für den Besuch einer entsprechenden Bildungsmaßnahme, sagen aber zunächst nichts über die Qualität der Ausbildung oder die der zertifizierenden Stelle aus. Versäumt es der Geschäftsführer, sich zu vergewissern, dass der beauftragte externe Datenschutzbeauftragte tatsächlich über die notwendige Qualifikation verfügt, bleibt er selbstverständlich weiter in der persönlichen Haftung.

Eine Anmerkung

Externe Datenschutzbeauftragte werden versuchen, durch die Vertragsgestaltung das Haftungsrisiko so weitgehend wie möglich zu minimieren. Daher ist es empfehlenswert, den Vertrag jedenfalls von einem Anwalt prüfen zu lassen!

Erforderliche Kompetenzen des Datenschutzbeauftragten

Nachdem es kein verbindliches Berufsbild und keine anerkannte, geregelte (akademische) Ausbildung zum Datenschutzbeauftragten gibt (auch nicht in der Bundesrepublik Deutschland), stellt sich die Frage, was der Gesetzgeber unter „fachkundig” in diesem Zusammenhang versteht und welche Maßstäbe an die Kompetenz des Datenschutzbeauftragten angelegt werden müssen. Dazu heißt es im ErwG 97:

Das erforderliche Niveau des Fachwissens [Hervorhebung durch Autor] sollte sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten.

Mit anderen Worten braucht es eine klare Stellenbeschreibung in der die Anforderungen, die sich durch die Art der Verarbeitung personenbezogener Daten ergibt, festgehalten werden. Dass der Datenschutzbeauftragte die DSGVO kennt, die Erwägungsgründe ebenfalls und ebenso die nationalen Datenschutzgesetze, muss vorausgesetzt werden können. Ob der Datenschutzbeauftragte darüber hinaus vertiefte IT Erfahrungen aufweisen sollte, oder Kompetenzen im Marketing und Vertrieb, im Bereich Geschäftsprozesse oder im Personalwesen muss sich aus der spezifischen Situation ergeben. Das ist auch bei der Auswahl externer Datenschutzbeauftragter zu berücksichtigen.

Stellung des Datenschutzbeauftragten im, bzw. zum Unternehmen

Der Datenschutzbeauftragte ist bei der Erfüllung der Aufgaben an Geheimhaltung und Vertraulichkeit gebunden. Ansonsten ist er bzgl. der Erfüllung seiner Aufgaben nicht weisungsgebunden. Wobei hier die Formulierung der DSGVO in Art. 39 Abs. 6 etwas missverständlich ist. Hier heißt es: Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Damit soll wohl ausgesagt werden, dass es keinen Interessenskonflikt zu Lasten der Aufgaben des Datenschutzbeauftragten geben darf.

Jedenfalls darf der Datenschutzbeauftragte vom Verantwortlichen, bzw. Auftragsverarbeiter wegen der Erfüllung seiner Aufgabe nicht abgerufen oder benachteiligt werden. Es wird derzeit auch die Frage diskutiert, ob damit ein Kündigungsschutz verbunden ist.

Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können. (ErwG 97)

Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen, bzw. Auftragsverarbeiters, muss von diesen aber auch frühzeitig und ordnungsgemäß in alle Fragen des Schutzes personenbezogener Daten eingebunden werden.

×Bitte entschuldigen Sie die nicht gendergerechte Schreibweise in diesem Beitrag. Dies ist zum einen der Lesbarkeit geschuldet und zum anderen der Schreibweise der DSGVO.

* Sämtliche Beiträge auf fokus.genba zur DSGVO konzentrieren sich, so es nicht ausdrücklich anders erwähnt wird, in erster Linie auf die Folgen für Österreich. Daher wird bei Öffnungsklauseln das DSG berücksichtigt. Auf das BDSG weise ich zwar hin und führe fallweise zentrale Aspekte an, bitte aber die Leser um Verständnis, wenn ich die nationale, bundesdeutsche Gesetzgebung in diesem Rahmen nicht ausführlicher würdige.

Dr. Conrad Lienhardt
Unternehmensberater
Rechtskonforme Ausgestaltung und Optimierung von Kundenbeziehungen, Datenschutz

Sie erreichen mich zu Fragen zur DSGVO und E-Privacy VO unter
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76 | E-Mail

Der Gesetzestext der DSGVO, EU-Lex

DSGVO Assessment

Reduzieren Sie Ihr Risiko. Sorgen Sie vor und nutzen Sie unser Angebot eines

DSGVO Assessments

Für weitere Auskünfte und Informationen erreichen Sie uns telefonisch unter

0699/15 31 67 76 oder per E-Mail

Hinweis:

Die Inhalte unserer Internetseiten werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Auf dieser Website werden allgemeine Informationen angeboten die keine Rechtsberatung darstellen und auch keine ersetzen können. Wir übernehmen keine Haftung für unmittelbare oder mittelbare Schäden, gleich aus welchem Rechtsgrund, die im Zuge der Nutzung dieser Website entstehen könnten. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte einen Rechtsanwalt.

Tags: DSGVO Datenschutz Datenschutzbeauftragter

Editionsgeschichte:

Eingetragen von Dr. Conrad Lienhardt am 1.09.2017 – Last touched: 12.03.2018 – Contents updated: 12.03.2018

5 Kommentare

Kommentar von: Stefan Schiffer

Zitat: “Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Damit soll wohl ausgesagt werden, dass es keinen Interessenskonflikt zu Lasten der Aufgaben des Datenschutzbeauftragten geben darf.”

Dazu und zu anderen Themen dieses Artikels empfiehlt sich die Lektüre “Leitlinien in Bezug auf Datenschutzbeauftragte” der Artikel-29-Datenschutzgruppe (siehe https://goo.gl/3xdnKf).

In Abschnitt 3.5 ist dazu festgehalten: “Die Abwesenheit eines Interessenkonflikts ist eng mit dem Erfordernis einer unabhängigen Tätigkeit verknüpft. DSB dürfen zwar auch andere Funktionen wahrnehmen, aber nur mit Aufgaben und Pflichten betraut werden, die zu keinen Interessenkonflikten mit ihrer Tätigkeit als DSB führen. Diese Vorgabe bringt insbesondere mit sich, dass der DSB innerhalb einer Einrichtung keine Position innehaben kann, welche es mit sich bringt, dass er die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt. [Hervorhebung durch den Kommentator]. Aufgrund der jeder Einrichtung eigenen strukturellen Unterschiede ist diese Frage fallweise zu betrachten.”

Kommentar von: Stefan Schiffer

Zitat: Abschnitt 4 (Art. 37ff) der DSGVO regelt Fragen der Benennung, der Aufgaben und der Stellung des Datenschutzbeauftragten. Art. 37 bestimmt, unter welchen Voraussetzungen ein Datenschutzbeauftragter für Unternehmen zwingend zu benennen ist.

Festzuhalten ist, dass für öffentliche Stellen, die auch Unternehmen sein können, jedenfalls ein DSBA zu benennen ist (Art 37 Abs 1 lit a). Das kann (soweit nicht § 5 (4) DSG greift) auch ein externer DSBA sein.

Kommentar von: Stefan Schiffer

Zitat: “Nachdem es kein verbindliches Berufsbild und keine anerkannte, geregelte (akademische) Ausbildung zum Datenschutzbeauftragten gibt (auch nicht in der Bundesrepublik Deutschland), stellt sich die Frage, was der Gesetzgeber unter „fachkundig” in diesem Zusammenhang versteht und welche Maßstäbe an die Kompetenz des Datenschutzbeauftragten angelegt werden müssen.”

Das stimmt so nicht ganz. Die WKO hat anlässlich der DSGVO im Berufsbild für Unternehmensberater und IT-Dienstleister den Datenschutzbeauftragten ergänzt.

Zitat aus einem Schreiben der WKO: “Die Ausübung eines externen betrieblichen Datenschutzbeauftragten ist vom Gewerbeberechtigungsumfang der Unternehmensberatung gem. § 136 GewO idgF umfasst. Der Informationstechnologe ist berechtigt, die Funktion des Datenschutzbeauftragten auszuüben, wobei er aber bzgl. Beratungsleistungen aus anderen Bereichen als der Technik die Grenzen des § 32 Abs. 1a GewO idgF (im Rahmen der Nebenrechte) zu beachten hat. In diesem Zusammenhang wird darauf hingewiesen, dass in jedem Aufgabenbereich, der nicht von der Gewerbeberechtigung umfasst sein möge, eine Hinzuziehung geeigneter Fachleute ausreichend ist.”

Zudem sieht § 136 GewO für Unternehmensberater nun auch die berufsmäßige Vertretung des Auftraggebers vor, was für den DSBA gegenüber der DSB wichtig ist.

Kommentar von: Dr. Conrad Lienhardt

Hallo Herr Schiffer,
vielen Dank für Ihren Kommentar. Dieser verweist auf ein heikles Thema: Es stimmt, dass das Berufsbild für Unternehmensberater und IT-Dienstleister erweitert wurde und diese als Datenschutzbeauftragte tätig werden können. Dazu möchte ich folgende Aspekte anmerken:

_1 Die Gewerbeberechtigung zum Unternehmensberater und IT-Dienstleister befähigt (Kompetenz) nicht per se zur Tätigkeit des Datenschutzbeauftragten. Daher bietet die WKO (incite) speziell für diese Berufsgruppe einen „Lehrgang DSGVO” zum „geprüften Datenschutzexperten” an, ergänzt von einem allgemeinen Zertifikatslehrgang im Wifi zum „Datenschutzbeauftragten nach EU-Recht” Sofern stellt für mich die Auskunft der WKO ein eher kammerpolitisches Statement dar ;-)

_2 Nach wie vor ist die Berufsbezeichnung „Datenschutzbeauftragter” oder „Datenschutzexperte” kein geschützter Berufstitel. Geschützt sind nur bestimmte Tätigkeiten, wie z.B. die Rechtsberatung oder Vertretung vor Gericht etc. Diese ist grundsätzlich Juristen, genauer Rechtsanwälten vorbehalten.

_3 Die WKO drückt sich darum herum, definitiv zu klären, in welchem Umfang Unternehmensberater und IT-Dienstleister Rechtsberatung leisten können. Es heißt in dem von Ihnen angeführten Zitat auch zurückhaltend: „wobei er aber bzgl. Beratungsleistungen aus anderen Bereichen als der Technik die Grenzen des § 32 Abs. 1a GewO idgF (im Rahmen der Nebenrechte) zu beachten hat.” Wenn ein externer Datenschutzbeauftragter IT-Dienstleister das Unternehmen im Bereich bspw. Kommunikationsstrategie beraten soll, wird es, noch bevor es um Fragen der Umsetzung geht, zunächst darum gehen, ob geplante Vorhaben rechtskonform sind. Die Feststellung der Rechtskonformität - nehmen wir z.B. gegenüber Mitarbeiter*innen ist aber rechtlich nicht einfach. Da braucht es mehr, als die Kenntnis von DSGVO und DSG, z.B. ArbVG etc. In so einem Fall müsste der Datenschutzbeauftragte sofern er nicht Jurist mit einschlägigen Kenntnissen ist einen solchen beiziehen. Selbst für den Fall, dass der Unternehmensberater oder IT-Dienstleister sich intensiv in die Materie eingearbeitet hätten und fachlich kompetent wären, stellt sich die Frage, ob sie das, bzw. bis zu welchem Grad sie das dürfen. (In Deutschland ist das deutlicher geregelt).
Umgekehrt stellt sich dieselbe Problematik: Kann ein Jurist als externer Datenschutzbeauftragter das Unternehmen im Bereich Datensicherheit beraten, in einem sehr komplexen Bereich, der sehr spezifische IT Kenntnis erforderlich macht? Wohl eher nicht. Er wird wohl auch Probleme haben, eine betriebswirtschaftliche Folgenabschätzungen bei konkurrierenden Wegen der Geschäftsprozessanpassung an die DSGVO Vorgaben zu liefern.

_4 Sichtbar wird die Problematik spätestens dann, wenn im Zuge der Tätigkeit als Datenschutzbeauftragter oder Datenschutzexperte Fehler passieren und das Unternehmen auf Schadensersatz klagt. Meine Rückfrage bei der Generali, mit der die WKO eine Rahmenvereinbarung für eine Berufshaftpflichtversicherung abgeschlossen hat, brachte da Erstaunliches zu Tage. Im Schadensfall müsste die WKO bestätigen, dass die konkret geleistete Beratungsleistung, z.B. Rechtsberatung im Rahmen der Tätigkeit als Datenschutzbeauftragter zum Berufsbild gehört, bspw. eine konkrete Rechtsauskunft oder Rechtsberatung. Kann die WKO das nicht bestätigen, würde sich die Versicherung .aus der Affaire ziehen und nicht zahlen. Eine Rückfrage bei der Anwaltskammer ergab, dass es sich bei dieser Regelung wohl um einen Graubereich handle. Dieser Graubereich kann für den Datenschutzbeauftragten allerdings verhängnisvoll werden. Es wäre erforderlich, dass Anwaltskammer und WKO klären, wie weit konkret Rechtsberatung im Bereich Unternehmensberatung und IT-Dienstleistung geleistet werden kann.

_5 Daher ist zu überlegen, ob es für interne und externe Datenschutzbeauftragte nicht eine ggf. akademische Ausbildung braucht, in der die Grundlagen von IT-Sicherheit, Betriebswirtschaft und Jus vermittelt würden und deren Beratungsrisiko zweifelsfrei durch eine Berufshaftpflichtversicherung wirksam abgedeckt werden könnten.

Brisant ist das ganz wegen der hohen Strafen und im Raum stehender Regressforderungen.

Kommentar von: Stefan Schiffer

Zitat: “Versäumt es der Geschäftsführer, sich zu vergewissern, dass der beauftragte externe Datenschutzbeauftragte tatsächlich über die notwendige Qualifikation verfügt, bleibt er selbstverständlich weiter in der persönlichen Haftung.”

Zur Klarstellung: Die Haftung für Datenschutzverletzungen und die verwaltungsstrafrechtliche Verantwortung verbleiben immer beim Verantwortlichen bzw Auftragsverarbeiter (siehe auch § 30 DSG). Weder die DSGVO noch das DSG sehen Sanktionen für Pflichtverletzungen des DSBA vor. Ob zivilrechtliche Ansprüche geltend gemacht werden können, ist im Einzelfall zu klären, ein externer DSBA wird jedoch wohl im eigenen Interesse im Dienstleistungsvertrag dafür Sorge tragen, dass solche Ansprüche nur bei Vorsatz oder krass grober Fahrlässigkeit möglich sind und keinesfalls einem Regress für Strafen zustimmen.

Formular wird geladen...