Der Datenschutzbeauftragter nach DSGVO und BDSG – die eierlegende Wollmilchsau?
Nachdem die einschlägige Gesetzgebung nun bereits fast zwei Jahre in Kraft ist (seit Mai 2018) zeigt die Erfahrung der vergangenen Zeit, dass es gewisse Schwerpunkte der Arbeit als Datenschutzbeauftragter gibt. Werfen wir deshalb nochmals einen Blick in die Aufgaben und Rolle des Datenschutzbeauftragten (DSB) und beleuchten sowohl Kündigungsschutz-, als auch Haftungsfragen.
Wie allgemein bekannt ist, sind in den Art. 38 und 39 der Datenschutzgrundverordnung (DSGVO) eine Art „Stellenbeschreibung“ für den Datenschutzbeauftragten genannt. Dabei geht es um:
- Frühzeitige Beratung und Einbindung des Datenschutzbeauftragten bei Projekten, Abläufen und Fragen (Art. 38 Abs. 1 DSGVO)
- Permanente Weiterbildung auf dem Gebiet des Datenschutzbeauftragten. Ebenso braucht es für den Datenschutzbeauftragten ausreichende Ressourcen, z.B. Zugang zu IT-Systemen und zu den Prozessen für die Verarbeitung personenbezogener (Art. 38 Abs. 2 DSGVO)
- Der Datenschutzbeauftragte dient als Ansprechpartner für Betroffene nach Art. 38 Abs. 4 DSGVO und Unterrichtung und Beratung des Verantwortlichen nach Art. 39 Abs. 1 a DSGVO. Dies gilt gleichermaßen für die Beratung der Geschäftsleitung, Mitarbeiter, Kunden, usw. bei gleichzeitiger Wahrung der Vertraulichkeit. Prinzipiell kann die Vertraulichkeit in Datenschutzangelegenheiten natürlich zu Interessenkonflikten führen. In den meisten Firmen, bei denen insgesamt ein gutes Vertrauensverhältnis zwischen Geschäftsleitung, Mitarbeiter und ggf. dem Betriebsrat besteht, ist das aus unserer Praxis problemlos
- Der Datenschutzbeauftragte hat die Pflicht zur Überwachung der Datenschutzvorschriften (Art. 39 Abs. 1 b DSGVO). Diese Aufgabe wird durch Begehungen im Unternehmen, Datenschutzaudits sowie im täglichen Kontakt mit den Mitarbeitern wahrgenommen
- Sensibilisierung und Schulung der Beteiligten ist eine wichtige „Kernaufgabe“ des Datenschutzbeauftragten beschrieben im Art. 39 Abs. 1 b DSGVO. Datenschutz-Verstöße passieren oft durch Unwissenheit beim Thema Datenschutz oder fehlende Sensibilisierung von einzelnen Mitarbeitern im Unternehmen. Für beide, die Unternehmensleitung, als auch die Mitarbeiter selbst, ist es deshalb essentiell, dass das nötige Wissen im Datenschutz vorhanden ist, um die gesetzlichen Anforderungen zu erfüllen und nicht das Risiko von Bußgeldverstößen aufgrund von DSGVO-Verstößen einzugehen
- Beratung und Überwachung der Datenschutz-Folgenabschätzung, Art. 39 Abs. 1 c DSGVO. Bei der DSFA bringt der Datenschutzbeauftragte sein Fachwissen ein um, Aktivitäten mit hohem Risiko zu beurteilen (Bsp. Videoaufzeichnungen)
- Zusammenarbeit mit der Aufsichtsbehörde, Art. 39 Abs. 1 d DSGVO und Anlaufstelle für die Behörde nach Art. 39 Abs. 1 e DSGVO. Damit laufen beim Datenschutzbeauftragten alle Fäden zusammen, wenn es um Kommunikation, Rückfragen, Beschwerden usw. geht. Mit anderen Worten muss der Datenschutzbeauftragte deshalb für Aufsichtsbehörden, externe Betroffene und Beschäftigte leicht erreichbar sein
- Für viele mittelständische Unternehmen ist es nun wichtig zu wissen, wann denn ein Datenschutzbeauftragter bei der zuständigen Behörde mit seinen Kontaktdaten benannt werden muss. Die Pflicht zur Benennung eines Datenschutzbeauftragten regelt die DSGVO in Art. 37 Abs. 1 und § 38 Abs. 1 BDSG, wenn „mindestens 20 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt werden“.Daneben gibt es noch weitere Kriterien, die allerdings in der Praxis für viele Unternehmen nicht relevant sein dürften. Unabhängig von der Zahl der zur Verarbeitung Beschäftigten Personen braucht es einen Datenschutzbeauftragten, wenn eine Pflicht zur Datenschutz-Folgenabschätzung besteht, § 38 Abs. 1 S. 2 BDSG oder personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung, der anonymisierten Übermittlung, § 38 Abs. 1 S. 2 BDSG herangezogen werden oder personenbezogene Daten für Zwecke der Markt- oder Meinungsforschung verarbeiten werden (§ 38 Abs. 1 S. 2 BDSG)
In diesem Zusammenhang können wir aus Datenschutzsicht allen Unternehmen nur empfehlen zu überprüfen, ob ein Datenschutzbeauftragter bestellt werden muss und sich darüber im Klaren zu sein, welches die Kernaufgaben des Datenschutzbeauftragten sind.
Eine wichtige Frage beim Datenschutzbeauftragten betrifft dabei den Kündigungsschutz. Wie ist da Gesetzeslage und angewandte Praxis?
Insgesamt lässt sich sagen, dass der Schutz des betrieblichen Datenschutzbeauftragten ähnlich hoch ist wie bei Betriebsräten, Schwerbehindertenvertretungen und anderer Beauftragten, die die Einhaltung der Gesetze überwachen. Das heißt, dass ein besonderer Kündigungsschutz besteht und ordentliche Kündigungen praktisch unmöglich sind und eine Kündigung ist nur noch aus wichtigem Grund erfolgen kann. Dieser besondere Kündigungsschutz wirkt sich sogar noch nach Ende der Tätigkeit als betrieblicher Datenschutzbeauftragter aus, da eine ordentliche Kündigung des Arbeitsverhältnisses innerhalb eines Jahres weiter unzulässig ist, es sei denn, dass die Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist erfolgt.
Auch die Abberufung (der Widerruf der Bestellung zum Datenschutzbeauftragten) ist nicht ohne weiteres möglich. In der Praxis kann nämlich die Abberufung nur entsprechend den Maßstäben einer fristlosen Kündigung erfolgen, d.h. aus wichtigem Grund und wenn die Fortführung des Arbeitsverhältnisses des Datenschutzbeauftragten nicht mehr zumutbar ist. Daneben gilt die Einhaltung einer Frist der Kündigung von zwei Wochen. Zusammengefasst lässt sich folgern, dass eine Kündigung der Bestellung zum Datenschutzbeauftragten nur möglich ist, sofern der verantwortliche Mitarbeiter hierfür einen wichtigen Grund liefert oder er die Funktion von sich aus nicht mehr ausüben möchte.
Gemäß DSGVO stellt ist es in erster Linie die Pflicht der Unternehmensleitung (des Verantwortlichen) sicherzustellen und zu dokumentieren, dass die IT-Abläufe gesetzeskonform ablaufen. Es bleibt letztlich aber die Haftung des Datenschutzbeauftragten, falls er falsche Beratung durchführt oder Mitarbeiter in einer Schulung falsch informiert und es deshalb zu Schadensersatzansprüchen oder Bußgelder wegen einer Datenschutzpanne oder unberechtigten Verarbeitungen von personenbezogenen Daten kommt.
Daher ist es wichtig im Rahmen einer Risikoanalyse sich über die Höhe des potenziellen Risikos (dem Schadensumfang) bewusst zu werden und ggf. Datenschutzbeauftragten und Geschäftsleitung mit einer Vermögenshaftpflichtversicherung auszustatten.
Aus den o.g. Gründen ist es deshalb überlegenswert, ob anstelle eines betrieblichen Datenschutzbeauftragten nicht besser ein externer Datenschutzbeauftragter benannt werden kann, der seine Aufgaben auf Grundlage eines Dienstleistungsvertrages erfüllt.
