von Jan Spittka und Julia Hellmann
Nach der Artikel 29-Datenschutzgruppe hat nunmehr auch die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) als erste deutsche Aufsichtsbehörde Hinweise zu Stellung und Aufgaben des betrieblichen Datenschutzbeauftragten unter der EU-Datenschutz-Grundverordnung (DS-GVO) veröffentlicht. FAQ ergänzen die Hinweise der Artikel-29-Gruppe und gehen auf deutsche Besonderheiten ein. In bestimmten Punkten kommen jedoch auch Abweichungen von der Interpretation der Art. 37 – 39 DS-GVO durch die Artikel-29-Gruppe zum Vorschein.
English Summary
Following the Article 29 Data Protection Working Party, the Commissioner for Data Protection and Freedom of Information of North Rhine-Westphalia (Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen – LDI NRW) is the first German supervisory authority to publish guidelines regarding the position and tasks of the data protection officer under the EU General Data Protection Regulation (GDPR). The FAQ complement the guidelines by the Article 29 WP and also deal with specific German law characteristics. However, in certain points the LDI NRW deviates from the Article 29 WP’s interpretation of the Article 37 to 39 GDPR.
Benennung
Die DS-GVO schreibt die Benennung eines Datenschutzbeauftragten bei Unternehmen dort wenn wo die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters eine umfangreiche, regelmäßige und systematische Überwachung von Personen erforderlich macht bzw. in der Verarbeitung von besonderen sensitiven Datenkategorien i.S.d. Art. 9 DS-GVO oder Angaben über Straftaten i.S.d. Art. 10 DS-GVO besteht.
Als “Überwachung” gelten insbesondere Verarbeitungstätigkeiten, mit denen die Internetaktivitäten einer Person nachvollzogen werden, einschließlich der Techniken zur Erstellung von Profilen, um Verhaltensweisen zu analysieren und vorauszusagen. Ob eine Überwachung/ Datenverarbeitung “umfangreich” i.S.d. DS-GVO ist, ergibt sich aus einer Gesamtschau von Faktoren wie dem Volumen der personenbezogenen Daten, geografischen Aspekten, der Masse der betroffenen Personen und der Dauer der Verarbeitung. Als “Kerntätigkeiten” werden Haupttätigkeiten verstanden, die den Geschäftszweck unmittelbar fördern, also nicht nur den täglichen Betrieb begleitende Prozesse, wie IT-Unterstützung darstellen.
In den anderen Fällen bleibt es dem nationalen Gesetzgeber überlassen, weitere Regelungen zu treffen. Es kann, wenn die Ernennung nicht durch nationales Recht vorgeschrieben wird, ein Datenschutzbeauftragter auf freiwilliger Basis ernannt werden, was die LDI NRW ausdrücklich begrüßt und unterstützt. Die LDI NRW geht davon aus, dass der deutsche Gesetzgeber den Regelungsspielraum nutzen wird, um die datenschutzrechtlichen Bestimmungen an den bisher bestehenden Stand des BDSG anzupassen. Die Benennung eines Datenschutzbeauftragten wird dann auch für nicht-öffentliche Stellen weiterhin notwendig sein, wenn in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind oder davon unabhängig Daten geschäftsmäßig, zum Zweck der einfachen sowie anonymisierten Übermittlung oder der Markt- oder Meinungsforschung automatisiert verarbeitet werden (siehe auch § 38 Abs. 1 Entwurf des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU). Insoweit wird sich für deutsche Unternehmen nichts ändern. Benennungen eines Datenschutzbeauftragten unter dem Bundesdatenschutzgesetz (BDSG) bleiben laut LDI NRW bestehen, wobei jedoch eine formale Neubestellung zur Klarstellung empfohlen wird. Die Benennung des Datenschutzbeauftragten in Schriftform ist durch die DS-GVO nicht mehr vorgeschrieben, wird jedoch von der LDI NRW aus Beweisgründen empfohlen, ebenso das explizite Festhalten der jeweiligen Aufgaben.
Da die DS-GVO keine Frist zur Ernennung mehr vorsieht, hat diese sofort zu erfolgen, sobald die Voraussetzungen vorliegen.
Interessenkonflikte
Der Datenschutzbeauftrage kann prinzipiell auch zusätzlich noch andere Aufgaben und Pflichten im Unternehmen wahrnehmen. Allerdings werden zusätzliche Tätigkeiten, die engen Bezug zur Verarbeitung personenbezogener Daten haben, regelmäßig zu einem Interessenkonflikt führen. Problematische Tätigkeitsfelder sind insoweit die Leitung eines Unternehmens, die Leitung der IT-Abteilung oder Personalabteilung sowie die Beschäftigung in diesen Abteilungen, wenn die Person in der Lage ist, Datenverarbeitungsprozesse zu bestimmen oder wesentlich zu beeinflussen. Es liegt beim Verantwortlichen oder Auftragsverarbeiter, dafür zu sorgen, dass solche Interessenkonflikte vermieden werden.
Tätigkeitsbereich
Der Datenschutzbeauftragte wacht über die Einhaltung und Umsetzung der Vorschriften und Strategien zum Schutz personenbezogener Daten durch Identifizierung, Analyse und Überprüfung der Verarbeitungsaktivitäten. Dem Datenschutzbeauftragten sind hierbei die jeweilserfoderlichen Ressourcen zur Verfügugn zu stellen. Zudem ist ein unmittelbarer Berichtsweg an die höchste Managementebene erforderlich. Die LDI NRW betont die in Art. 39 Abs. 1 Buchst. d) DS-GVO neu eingeführte Pflicht des Datenschutzbeauftragten zur Zusammenarbeit und Kooperation mit den Aufsichtsbehörden, sowie dass dieser und die Aufsichtsbehörde zukünftig berechtigt sind, direkt zu kommunizieren.
Der Datenschutzbeauftragte ist weiterhin nicht persönlich verantwortlich oder haftbar für die Einhaltung der rechtlichen Vorgaben. Auch nach der DS-GVO hat er nur eine informierende, beratende und unterstützende Funktion durch Abgabe von Empfehlungen gegenüber dem Verantwortlichen oder des Auftragsverarbeiters und der die Verarbeitung durchführenden Beschäftigten hinsichtlich ihrer datenschutzrechtlichen Pflichten.
Konzerndatenschutzbeauftragte
Eine Unternehmensgruppe darf eine gemeinsamen Datenschutzbeauftragten benennen (vgl. Art. 37 Abs. 2 DS-GVO), vorausgesetzt dieser ist von jeder Niederlassung aus leicht erreichbar. Als Mittel zur Sicherstellung für eine solche leichte Erreichbarkeit nennt die LDI NRW beispielsweise die Einrichtung einer Hotline, ein Kontaktformular auf der Homepage sowie Sprechstunden für Beschäftigte im Unternehmen.
Bei grenzüberschreitend tätigen Konzernen muss jedoch auch die sprachliche Erreichbarkeit des Daten-schutzbeauftragten gewährleistet sein. Dem Datenschutzbeauftragten muss eine Kommunikation in der Sprache möglich sein, welche für die Korrespondenz mit Aufsichtsbehörden und Betroffenen notwendig ist. Aufgrund der Amtssprachenregelung muss ein Konzerndatenschutzbeauftragter daher über entsprechende Deutschkenntnisseverfügen, wenn er für deutsche Unternehmen oder Niederlassungen tätig wird.
Externe Datenschutzbeauftragte
Wie bereits nach geltendem Recht, ist auch weiterhin die Bestellung eines externen Datenschutzbeauftragten zulässig. Im Gegensatz zur Auffassung der Artikel-29-Gruppe kommt für die LDI NRW nur eine natürliche Person als Datenschutzbeauftragte in Betracht, die Ernennung juristischer Personen ist ihrer Ansicht nach durch Wortlaut und Systematik der DS-GVO ausgeschlossen. Diese Frage wird daher zwischen den Datenschutzaufsichtsbehörden der EU-Mitgliedsstaaten im Rahmen des Europäischen Datenschutzausschusses zu klären sein.
Bekanntgabe der Kontaktdaten
Die DS-GVO erfordert die interne und externen Bekanntgabe der Kontaktdaten des Datenschutzbeauftragten (Geschäftsadresse, Telefonnummer, E-Mailadresse). Inwieweit der Name des Datenschutzbeauftragten gegenüber den betrofffenen Personen offengelegt werden muss, sei nach Ansicht des LDI NRW noch nicht abschließend geklärt.
Kündigungsschutz
Der Verantwortliche oder der Auftragsverarbeiter dürfen den Datenschutzbeauftragten wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligen. Einen – wie im geltenden Recht bestehenden – besonderen arbeitsrechtlichen Kündigungsschutz sieht die DS-GVO nicht vor. Das DSAnpUG soll jedoch weiterhin einen Sonderkündigungsschutz und einen Abberufungsschutz für den Datenschutzbeauftragten nach dem Muster des § 4f Abs. 3 BDSG vorsehen (siehe § 38 Abs. 2 i.V.m. § 6 Abs. 4 DSAnpUG-E). Dieser soll jedoch nur bei verpflichtenden Bestellungen gelten. Ein Sonderkündigungsschutz für Stellvertreter des Datenschutzbeauftragten, wie zuletzt vom Landesarbeitsgericht Hamburg angenommen (Urteil v. 21.07.2016, Az. 8 Sa 32/16) wird daher nach künftigem Recht nicht mehr vertretbar sein, da die Bestellung eines Stellvertreters zwar sinnvoll aber nicht verpflichtend ist.
Fazit
Unternehmen sollten in jedem Fall sicherstellen, dass ihre (i.d.R. bereits bestellten) Datenschutzbeauftragten auch tatsächlich ausreichende Fähigkeiten und Kenntnisse besitzten, um ihre Aufgaben auch unter der DS-GVO zu erfüllen. Hierbei sollten bei internen Datenschutzbeauftragten insbesondere mögliche Interessenkonflikte geprüft und beseitigt werden. Solche Interessenkonflikte können bereits nach geltendem Recht zu Bußgeldern führen. Der Bußgeldrahmen wird jedoch unter der DS-GVO auf bis zu 10 Millionen Euro oder bei Unternehmen bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs (je nachdem welcher Betrag höher ist) erhöht.