Zusammenfassung
Jedes größere Unternehmen und jede Behörde muss laut Artikel 37 der DSGVO einen Datenschutzbeauftragten bestellen. Diese Pflicht besteht, soweit in einem Unternehmen oder einer Behörde i. d. R. mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Diese Regelung gilt nicht, wenn Verantwortliche oder Auftragsverarbeiter Verarbeitungen durchführen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen. In diesem Fall ist eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter zu bestellen, und zwar unabhängig von der Anzahl der Personen, die mit der Verarbeitung befasst sind.
Eine solche Datenschutz-Folgenabschätzung ist notwendig, wenn
- personenbezogene Daten "besonderer Kategorien" wie genetische Daten oder Gesundheitsdaten (Art. 9 DSGVO) oder
- personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO) verarbeitet werden.
Ein Datenschutzbeauftragter muss ebenfalls unabhängig von der Anzahl der mit der Verarbeitung beschäftigter Personen benannt werden, wenn sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.
Neben den gesetzlich zwingenden Aufgaben ist es zulässig, den Tätigkeitskreis Datenschutzbeauftragter auf freiwilliger Basis zu erweitern. Er kann dann z. B. Funktionen übernehmen, die das Gesetz eigentlich dem Verantwortlichen, d. h. der Geschäfts- oder Behördenleitung, zuweist. Das kann sinnvoll sein, um den Verantwortlichen zu entlasten und um die Kompetenzen in einer Hand zu bündeln.
1 Einführung
Betriebliche und behördliche Datenschutzbeauftragte gibt es seit dem Jahr 1978, als die erste Fassung des Bundesdatenschutzgesetzes in Kraft trat. Seitdem haben sich die Voraussetzungen und Aufgaben des Beauftragten gewandelt.
1995 traf die Europäische Gemeinschaft erstmals Regelungen zum Datenschutz in öffentlichen und nicht-öffentlichen Stellen. In der Richtlinie 95/46/EG waren Datenschutzbeauftragte als eine von mehreren Möglichkeiten genannt, den Schutz von personenbezogenen Daten in der Wirtschaft zu gewährleisten. Außerhalb Deutschlands wurde diese Möglichkeit aber nicht genutzt, weil kein anderer Staat dies in seine nationalen Gesetze aufgenommen hat.
Das änderte sich erst mit dem Inkrafttreten der DSGVO zum 25.5.2018. Die Verordnung schreibt fest, wann Datenschutzbeauftragte zu benennen sind und welche Stellung und Aufgaben sie besitzen. Weil die Verordnung unmittelbar in allen EU-Mitgliedstaaten zur Anwendung kommt (und anders als eine Richtlinie nicht erst in nationales Recht umzusetzen ist), wird ab diesem Zeitpunkt die Position betrieblicher und behördlicher Datenschutzbeauftragter generell auf europäischer Ebene eingeführt. In den vergangenen Jahren wurden die Regelungen auf Ebene der DSGVO und des Bundesdatenschutzgesetzes (BDSG) leicht verändert.
2 Anwendbare Gesetze
Unter der EU-Datenschutz-Grundverordnung richten sich Benennung, Stellung und Aufgaben Datenschutzbeauftragter nach den Art. 37, 38 und 39 DSGVO. Diese Vorschriften müssen alle Stellen innerhalb der Europäischen Union, die personenbezogene Daten verarbeiten, gleichermaßen beachten.
Für öffentliche Stellen in Deutschland gilt zusätzlich das BDSG. Darin werden die Öffnungsklauseln genutzt, welche die DSGVO einräumt. Das bedeutet, dass das BDSG Lücken der DSGVO schließt und sie für landesspezifische Anwendungsfälle ergänzt.
3 Gesetzlich zugewiesene Aufgaben
Die Aufgaben, die Datenschutzbeauftragte zwingend zu beachten haben, nennt das Gesetz in Art. 39 DSGVO.
Bei all den nachfolgend dargestellten Aufgaben gilt:
- Beauftragte müssen bei ihrer Arbeit den spezifischen, datenschutzrechtlichen Risiken gebührend Rechnung tragen (Pflicht zur risikoorientierten Tätigkeit gem. Art. 39 Abs. 2 DSGVO). D.h., sie müssen risikoorientiert handeln, indem sie die besonderen Risiken beim Umgang mit personenbezogenen Daten berücksichtigen. Dabei spielen Umfang, Umstände und Zwecke der Datenverarbeitung die entscheidende Rolle. In der Praxis führt das z. B. dazu, dass sie Datenverarbeitungen, die ein höheres Datenschutz-Risiko aufweisen, vorrangig zu prüfen haben.
- Beauftragte unterliegen wie andere Angestellte, die personenbezogene Daten verarbeiten, der Dokumentations- und Rechenschaftspflicht (Art. 5 Abs. 2; Art. 24 Abs. 1 DSGVO).
3.1 Überwachung
Nach Art. 39 Abs. 1 Buchst. b DSGVO haben die Datenschutzbeauftragten die Einhaltung der Datenschutzvorschriften zu "überwachen".
Zu den zu überwachenden Datenschutzvorschriften zählen
- die DSGVO,
- andere Datenschutzvorschriften in der EU und in den Mitgliedsstaaten und
- die internen Vorgaben und die Strategie des Verantwortlichen, einschließlich der Zuweisung der Zuständigkeiten, der Sensibilisierung und Schulung der Angestellten und der diesbezüglichen Überprüfungen.
Die Überwachung kann z. B. dadurch erfolgen, dass Beauftragte
- Informationen sammeln, um Datenverarbeitungen zu erkennen,
- diese Datenverarbeitungen analysiert und auf ihre Rechtmäßigkeit hin überprüft und
- Datenverarbeit...