Datenschutzbeauftragter
Benennung
Wenn es um die Frage nach einem Datenschutzbeauftragten geht, herrscht häufig die Annahme, dass die Benennung eines DSB den Unternehmen freiwillig obliegen würde. Dies ist jedoch ein Trugschluss, denn in der Datenschutz-Grundverordnung ist klar geregelt, unter welchen Voraussetzungen eine Benennungspflicht für einen Datenschutzbeauftragten besteht. Während Behörden und öffentliche Stellen, mit Ausnahme von Gerichten, stets einen DSB benennen müssen, ist der Verantwortliche oder Auftragsverarbeiter hierzu verpflichtet, wenn:
- „...die Kerntätigkeit [...] in der Durchführung von Verarbeitungsvorgängen besteht, welche [...] eine umfangreiche regelmäßige Überwachung von betroffenen Personen erforderlich machen“, oder
- „...die Kerntätigkeit [...] in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder personenbezogen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
Neben den genannten Bedingungen aus der Datenschutz-Grundverordnung hat der deutsche Gesetzgeber in §38 Abs. 1 BDSG n.F. drei weitere Kriterien hinzugefügt. Dementsprechend besteht für den Verantwortlichen bzw. den Auftragsverarbeiter eine Benennungspflicht, soweit
- i.d.R. mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind,
- die Verarbeitung einer Datenschutzfolgenabschätzung unterliegt oder
- es sich um eine geschäftsmäßige Verarbeitung pbD „zum Zweck der Übermittlung, anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung“ handelt.
Stellung im Unternehmen
Der betriebliche Datenschutzbeauftragte (DSB) nimmt heutzutage im Rahmen der Datenschutz-Grundverordnung eine wichtige und verantwortungsvolle Rolle im Unternehmen ein. Er fungiert als Schnittstelle zwischen Unternehmen, den Aufsichtsbehörden und den betroffenen Personen, wenn diese Fragen zur Verarbeitung sie betreffender personenbezogener Daten haben. Darüber hinaus tritt er im Zusammenhang mit der V erarbeitung von personenbezogen Daten als Berater des Verantwortlichen oder Auftragverarbeiters auf und ist diesbezüglich auch das Kontrollorgan innerhalb der Organisation.
In Bezug auf die Stellung des Datenschutzbeauftragten ist Artikel 38 der Datenschutz- Grundverordnung von besonderer Wichtigkeit. Durch diesen Artikel wird dem DSB eine besondere Stellung verliehen, sodass er seine Aufgaben ordnungsgemäß und frühzeitig ausführen kann. Eine solche Einbindung ist gegeben, wenn dem DSB sämtliche Unterlagen, Auskunftspersonen und Informationen bereitgestellt werden, damit dieser die aktuelle Datenschutzlage im Unternehmen bewerten kann. Damit einher geht die Unterstützungspflicht des Verantwortlichen bzw. Auftragverarbeiters. Diese sind dazu verpflichtet, dem Datenschutzbeauftragten zur Erfüllung seiner Aufgaben alle erforderlichen internen und externen Ressourcen, sowie den Zugang zu den personenbezogenen Daten und Verarbeitungsvorgängen, bereitzustellen. Im Zuge dessen muss der DSB seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können und darf darüber hinaus keine Benachteiligung wegen der Erfüllung seiner Aufgaben durch den Verantwortlichen bzw. Auftragverarbeiter erfahren. Hinsichtlich der Benachteiligung unterliegt der DSB beispielsweise einem besonderen Abberufungs- und Kündigungsschutz.58 Neben den genannten Pflichten, die der Verantwortliche bzw. Auftragverarbeiter durch die gesonderte Stellung des DSB einhalten muss, hat auch der Datenschutzbeauftragte gewisse Verpflichtungen gegenüber dem Unternehmen. So unterliegt er gemäß Art. 38 Abs. 3 bis 5, beispielsweise einer unmittelbaren Berichtspflicht gegenüber der oberen Managementebene, dient als Ansprechpartner für Betroffene und ist bei der Wahrnehmung seiner Aufgaben zur Geheimhaltung und Vertraulichkeit angehalten. Bei der Stellung des Datenschutzbeauftragten ist jedoch zwingend zu beachten, dass der DSB selbst keine Weisungsbefugnisse hat und für die Umsetzung des Datenschutzes nicht verantwortlich ist. Er hat lediglich eine beratende und unterstützende Funktion. Solange der DSB also nicht vorsätzlich oder grob fahrlässig handelt, können ihm gegenüber keine Schadenersatzansprüche geltend gemacht werden.