Datenschutzbeauftragter und Datenschutz-Management
Europaweite Bestellungspflicht (Art. 37 Abs. 1 DS-GVO)
Eine Folge der Datenschutz-Grundverordnung (DS-GVO) ist die erstmalige Einführung einer europaweiten Pflicht für alle Verwaltungen und bestimmte Unternehmen zur Bestellung eines Datenschutzbeauftragten. Ausgehend von dem risikoorientierten Ansatz der Verordnung erstreckt sich die Bestellungspflicht im privaten Sektor zunächst auf solche Stellen, deren Haupttätigkeit entweder in einer systematischen Überwachung von Personen oder der umfangreichen Verarbeitung besonders schutzbedürftiger Daten besteht (z.B. Internetprovider oder Krankenhäuser). § 38 Abs. 1 S. 1 Bundesdatenschutzgesetz weitet diese Pflicht aus. Jedoch gilt seit dem 21. November 2019 die Pflicht zur Bestellung eines Datenschutzbeauftragten für nicht-öffentliche Stellen, wie Unternehmen und Vereine, erst dann, soweit in der Regel mindestens 20 – und nicht wie bisher zehn – Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die Norm wurde insoweit durch das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU (BGBl. 2019, Teil I Nr. 41, S. 1626 ff.) geändert. Zudem müssen alle Verantwortlichen einen Datenschutzbeauftragten bestellen, wenn ihre Verarbeitungsvorgänge der Datenschutz-Folgenabschätzung unterliegen oder sie im Bereich der Markt- und Meinungsforschung tätig sind oder eine Wirtschaftsauskunftei betreiben. Ein Verstoß gegen die Bestellungspflicht kann sanktioniert werden.
Für die Meldung der Kontaktdaten des/der Datenschutzbeauftragten steht ein Online-Formular zur Verfügung.
Anforderungsprofil
Maßgeblich für die Personalauswahl eines DSB ist dessen Fähigkeit, die von der DS-GVO genannten Aufgaben zu erfüllen. Neben profunden Kenntnissen der rechtlichen und technisch-organisatorischen Grundlagen setzt dies insbesondere die Fähigkeit zum Risikomanagement voraus (Art. 39 Abs. 2 DS-GVO). Die Bestellung externer Dienstleister ist weiterhin möglich, nicht in jedem Fall allerdings empfehlenswert. Abhängig von der Größe und Komplexität der Stelle kann die Berufung eines Teams, das aus dem DSB und weiteren Personen besteht, geboten sein.
Aufgabenspektrum des DSB
Künftig wird der DSB neben seiner Beratungsfunktion verstärkt die Rolle eines Compliance-Beauftragten zum Datenschutz einnehmen, der intern nicht nur die Einhaltung der datenschutzrechtlichen Vorgaben überwachen, sondern auch die dazu innerhalb seiner Organisation entwickelten Strategien zum Schutz personenbezogener Daten inhaltlich bewerten soll (Art. 39 Abs. 1 lit. b und c), z.B. bei der Datenschutz-Folgenabschätzung. So überprüft nach dem Willen der Verordnung der DSB dabei z.B. die Datenschutzverträglichkeit der intern getroffenen Zuweisung von Zuständigkeiten oder die zur Sensibilisierung der Beschäftigten durchgeführten Maßnahmen. Allein diese eher risikoorientierten, koordinierenden und bewertenden Aufgaben stellen im Vergleich zu der bisherigen Rechtslage eine gravierende Änderung der praktischen Tätigkeit der DSB und damit auch ihrer internen Rolle dar. Zusammen mit ihrer unmittelbaren Berichtspflicht gegenüber der höchsten Managementebene verfügen die DSB damit über umfassende Einflussmöglichkeiten in den von ihnen betreuten Organisationen.
Datenschutzmanagement/Pflichten des Verantwortlichen
Die mit der Bestellung eines DSB einhergehenden Pflichten des Verantwortlichen werden von der Verordnung deutlich benannt (insbesondere Art. 38 Abs. 1, Abs. 2, Abs. 3, Abs. 6 Satz 2). Für die interne Einbindung des DSB ist bereits die Pflicht zur Veröffentlichung seiner Kontaktdaten bedeutsam (Art. 37 Abs. 7). Inhaltlich mehr Gewicht dürfte allerdings die klare Verpflichtung des Verantwortlichen haben, dem DSB die zur Aufgabenerfüllung erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen zur Verfügung zu stellen (Art. 38 Abs. 2). Vor allem die Bereitstellung ausreichender Personalressourcen war in der Vergangenheit in der Praxis selten gewährleistet. Da nach Art. 83 Abs. 4 lit. a u.a. ein Verstoß gegen die Vorgaben der Art. 37 bis 39 mit hohen Bußgeldern sanktioniert werden kann, bleibt zu hoffen, dass künftig DSB angemessen ausgestattet werden. Daneben dürfte vor diesem Hintergrund auch die von der Datenschutz-Grundverordnung explizit verlangte und in die Verantwortlichkeit der Organisation gestellte frühzeitige Einbindung des DSB in alle mit dem Schutz personenbezogener Daten zusammenhängender Fragen (Art. 38 Abs. 1) künftig regelmäßig Beachtung finden.
Fazit
Mit der Datenschutz-Grundverordnung wird die Rolle des DSB deutlich gestärkt. Dies ist zu begrüßen. Zugleich überträgt der Verordnungsgeber der einzelnen Organisation als der für die Datenverarbeitung verantwortlichen Stelle klare Handlungsaufträge zur Unterstützung des DSB, deren Missachtung sanktioniert werden kann. Datenschutz wird damit in das Bewusstsein aller gerückt – eine Grundvoraussetzung für den effektiven Schutz personenbezogener Daten und des zugrunde liegenden Grundrechts auf informationelle Selbstbestimmung.