Aufgaben und Pflichten des Datenschutzbeauftragten unter der DSGVO

Zusammenfassung

Überblick

Jedes größere Unternehmen und jede Behörde muss einen Datenschutzbeauftragten bestellen. Das gilt in Deutschland und – das ist neu – mit Abstrichen auch in allen anderen EU-Mitgliedsstaaten, wenn ab dem 25. Mai 2018 die EU-Datenschutzgrundverordnung (DSGVO) gültig wird. In diesem Gesetz sind die Aufgaben und Pflichten des Beauftragten definiert. Aus deutscher Sicht ändert sich gegenüber der früheren Rechtslage nichts Gravierendes, aber der Gesetzeswortlaut ist detaillierter gefasst als früher.

Neben den gesetzlich zwingenden Aufgaben ist es zulässig, den Tätigkeitskreis des Datenschutzbeauftragten auf freiwilliger Basis zu erweitern. Er kann dann beispielsweise Funktionen übernehmen, die das Gesetz eigentlich dem Verantwortlichen, das heißt der Geschäfts- oder Behördenleitung, zuweist. Das kann sinnvoll sein, um den Verantwortlichen zu entlasten und um die Kompetenzen in einer Hand zu bündeln.

1 Einführung

Betriebliche und behördliche Datenschutzbeauftragte gibt es seit dem Jahr 1978, als die erste Fassung des Bundesdatenschutzgesetzes in Kraft trat. Seitdem haben sich die Voraussetzungen und Aufgaben des Beauftragten gewandelt.

1995 traf die Europäische Gemeinschaft erstmals Regelungen zum Datenschutz in öffentlichen und nicht-öffentlichen Stellen. In der Richtlinie 95/46/EG waren Datenschutzbeauftragte als eine von mehreren Möglichkeiten genannt, den Schutz von personenbezogenen Daten in der Wirtschaft zu gewährleisten. Außerhalb Deutschlands wurde diese Möglichkeit aber nicht genutzt, weil kein anderer Staat dies in seine nationalen Gesetze aufgenommen hat.

Das ändert sich erst mit dem Inkrafttreten der DSGVO zum 25. Mai 2018. Die Verordnung schreibt fest, wann ein Datenschutzbeauftragter zu benennen ist und welche Stellung und Aufgaben er besitzt. Weil die Verordnung unmittelbar in allen EU-Mitgliedstaaten zur Anwendung kommt (und anders als eine Richtlinie nicht erst in nationales Recht umzusetzen ist), wird ab diesem Zeitpunkt die Position des betrieblichen und behördlichen Datenschutzbeauftragten generell auf europäischer Ebene eingeführt.

2 Anwendbare Gesetze

Unter der EU-Datenschutz-Grundverordnung richten sich Benennung, Stellung und Aufgaben des Datenschutzbeauftragten nach den Art. 37, 38 und 39 DSGVO. Diese Vorschriften müssen alle Stellen innerhalb der Europäischen Union, die personenbezogene Daten verarbeiten, gleichermaßen beachten.

Für Stellen in Deutschland gilt zusätzlich das Bundesdatenschutzgesetz in novellierter Form ("BDSG-neu"). Darin werden die Öffnungsklauseln genutzt, welche die DSGVO einräumt. Eine Pflicht zur Bestellung soll beispielsweise weiterhin in denselben Fällen erfolgen, wie sie auch das BDSG in alter Fassung festgeschrieben hat. Die Aufgaben des Beauftragten sind jedoch abschließend in der DSGVO aufgezählt, so dass es insoweit auf das deutsche BDSG in der Neufassung nicht mehr ankommt.

3 Gesetzlich zugewiesene Aufgaben

Die Aufgaben, die ein Datenschutzbeauftragter zwingend zu beachten hat, nennt das Gesetz in Art. 39 DSGVO.

Bei all den nachfolgend dargestellten Aufgaben gilt:

• Der Beauftragte muss bei seiner Arbeit den spezifischen, datenschutzrechtlichen Risiken gebührend Rechnung tragen (Pflicht zur risikoorientierten Tätigkeit gem. Art. 39 Abs. 2 DSGVO). Das heißt, er muss risikoorientiert handeln, indem er die besonderen Risiken beim Umgang mit personenbezogenen Daten berücksichtigt. Dabei spielen Umfang, Umstände und Zwecke der Datenverarbeitung die entscheidende Rolle. In der Praxis führt das beispielsweise dazu, dass er Datenverarbeitungen, die ein höheres Datenschutz-Risiko aufweisen, vorrangig zu prüfen hat.
• Der Beauftragte sollte seine Tätigkeiten und Überlegungen stärker als bisher dokumentieren. Dadurch kann er das Risiko eines Bußgelds senken (das gegenüber der früheren Rechtslage in mehr Fällen und mit erheblich höheren Beträgen verhängt werden kann). Zudem kann er durch eine Dokumentation seinen Teil zur generellen Rechenschaftspflicht beitragen (Art. 5 Abs. 2 DSGVO).

3.1 Überwachung

Nach Art. 39 Abs. 1 Buchst. b DSGVO hat der Datenschutzbeauftragte die Einhaltung der Datenschutzvorschriften zu "überwachen".

Zu den zu überwachenden Datenschutzvorschriften zählen

• die DSGVO,
• andere Datenschutzvorschriften in der EU und in den Mitgliedsstaaten und
• die internen Vorgaben und die Strategie des Verantwortlichen einschließlich der Zuweisung der Zuständigkeiten, der Sensibilisierung und Schulung der Mitarbeiter und der diesbezüglichen Überprüfungen.

Bis zum Inkrafttreten der DSGVO musste der Datenschutzbeauftragte in Deutschland auf die Einhaltung der Vorschriften lediglich "hinwirken". Nun ist seine Aufgabe die "Überwachung". Damit wird der Datenschutzbeauftragte noch stärker als früher zu einem Kontrollorgan.

Die Überwachung kann beispielsweise dadurch erfolgen, dass der Beauftragte^[1]

• Informationen sammelt, um Datenverarbeitungen zu erkennen,
• diese Datenverarbeitungen analysiert und auf ihre Rechtmäßigkeit hin überprüft und
• den Datenverarbeiter und Auftragsverarbeiter informiert, berät und Empfehlungen über die Umsetzung des Datenschutzes ausspricht...