1 Allgemeines
Rz. 1
Mit Erlass der – in den EU-Mitgliedstaaten ab dem 25.5.2018 unmittelbar geltenden (Art. 288 Abs. 2 AEUV) – DSGVO finden sich die – früher in §§ 4f, 4g BDSG a. F. enthaltenen – Regelungen zum Datenschutzbeauftragten in Art. 37 bis 39 DSGVO. Sie werden durch die – auf Grundlage des Art. 37 Abs. 4 Satz 1 Halbsatz 2, 38 Abs. 5 DSGVO erlassenen – Regelungen für nicht öffentliche Stellen (vgl. § 2 Abs. 4 und 5 BDSG) in § 38 BDSG bzw. für öffentliche Stellen (vgl. § 2 Abs. 1 bis 3 BDSG) in §§ 5 bis 7 BDSG ergänzt. Wesentliche inhaltliche Änderungen waren mit den Neuregelungen der DSGVO bzw. des BDSG n. F. nicht verbunden. Die verdeutlicht die folgende Synopse:
Rz. 2
Öffentliche Stellen, wie Behörden, Organe der Rechtspflege etc. (vgl. § 2 Abs. 1 und 2 BDSG) sowie nicht öffentliche Stellen wie privatrechtliche Unternehmen (vgl. § 2 Abs. 4 BDSG) haben unter bestimmten Voraussetzungen einen Datenschutzbeauftragten zu bestellen (Art. 37 Abs. 1 DSGVO; § 5, § 38 Abs. 1 BDSG). Die Bestellungspflicht trifft jeden Verantwortlichen und Auftragsverarbeiter. Nach früherem Recht musste in einem Konzern jede datenverarbeitende Gesellschaft einen Datenschutzbeauftragten bestellen, wobei ggf. Personalunion möglich war. Art. 37 Abs. 2 DSGVO erlaubt es nun, dass eine Unternehmensgruppe i. S. d. Art. 4 Nr. 19 DSGVO (bestehend aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen) einen gemeinsamen Datenschutzbeauftragten ernennen darf, sofern der Datenschutzbeauftragte von jeder Niederlassung aus leicht erreicht werden kann, d. h. nicht nur durch Kommunikationsmittel, sondern auch örtlich unter zumutbarem zeitlichen und finanziellen Aufwand persönlich aufgesucht werden kann. Möglich ist die Bestellung eines beim Arbeitgeber als Arbeitnehmer angestellten internen Datenschutzbeauftragten (z. B. eines Mitarbeiters der Revisions-, Rechts- oder Organisationsabteilung) oder eines externen Datenschutzbeauftragten auf Grundlage eines entsprechenden Dienst- bzw. Geschäftsbesorgungsvertrags (vgl. Art. 37 Abs. 6 DSGVO). Wird ein Arbeitnehmer von seinem Arbeitgeber mit seiner Zustimmung zum internen Datenschutzbeauftragten bestellt, ändert sich damit regelmäßig der Inhalt des Arbeitsvertrags für die Zeitspanne der Amtsübertragung. Die Aufgabe des Datenschutzbeauftragten wird dann befristet zur zusätzlichen Arbeitsaufgabe. Die Beauftragung ist ohne eine solche Vertragsänderung regelmäßig nicht vom Direktionsrecht des Arbeitgebers umfasst (vgl. Rz. 11, 21 ff.).
Rz. 3
Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben (Art. 37 Abs. 5 DSGVO). Zum Datenschutzbeauftragten darf also nur bestellt werden, wer die zur Erfüllung seiner Aufgaben (Art. 39 DSGVO) erforderliche Fachkunde und Zuverlässigkeit besitzt. Fehlt es daran, können die Aufsichtsbehörden die Abberufung des Datenschutzbeauftragten verlangen (§ 40 Abs. 6 Satz 2 BDSG). An Fachkunde erforderlich sind in jedem Fall Grundkenntnisse des Datenschutzrechts, Kenntnisse über Verfahren und Techniken der automatisierten Datenverarbeitung sowie über die betrieblichen Gegebenheiten des jeweiligen Unternehmens. Zur Sicherstellung seiner Fachkunde besitzt der interne Datenschutzbeauftragte einen Schulungsanspruch (vgl. Art. 38 Abs. 2 DSGVO). Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen; jedoch ist sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen (Art. 38 Abs. 6 DSGVO), sonst fehlt es an der erforderlichen Zuverlässigkeit der Person für die Stellung als Datenschutzbeauftragter bzw. die Fähigkeit zur Erfüllung der entsprechenden Aufgaben (vgl. Art. 37 Abs. 5 DSGVO). Die Feststellung der Zuverlässigkeit erfordert eine Prognose, ob die betreffende Person als Datenschutzbeauftragter künftig die gesetzlichen Vorschriften beachten wird. Zur Zuverlässigkeit gehört es auch, dass der Datenschutzbeauftragte frei ist von anderen Aufgaben, die mit seiner Kontrollfunktion nicht zu vereinbaren sind und die ihn deshalb in Interessenkonfl...