2.1 Unabhängigkeit
Bei der Ausübung seiner Tätigkeit ist der Datenschutzbeauftragte unabhängig und weisungsfrei (Art. 38 Abs. 3 Satz 1 DSGVO). Ihm dürfen keine Vorgaben zur Art und Weise der Ausübung seiner datenschutzrechtlichen Tätigkeit gemacht werden.
2.2 Abberufungs- und Benachteiligungsverbot
Des Weiteren besteht ein gesetzliches Abberufungs- und Benachteiligungsverbot (Art. 38 Abs. 3 Satz 2 DSGVO). Demnach darf der Datenschutzbeauftragte aufgrund seiner Tätigkeit nicht abberufen oder in anderer Weise benachteiligt werden.
Das BDSG konkretisiert die Vorgaben der Datenschutz-Grundverordnung in § 6 Abs. 4. Diese Regelungen gelten jedoch nur, wenn die Bestellung verpflichtend war (§ 38 Abs. 2 Satz 2 BDSG). Demnach ist eine Abberufung des Datenschutzbeauftragten nur nach den Vorschriften des BGB über die Kündigung aus wichtigem Grund zulässig. Darüber hinaus genießt der Datenschutzbeauftragte einen arbeitsrechtlichen Kündigungsschutz, ähnlich wie ein Betriebsrat. Nach dem Ende der Tätigkeit als Datenschutzbeauftragter ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres unzulässig, sofern keine berechtigte fristlose Kündigung aus wichtigem Grund erfolgen kann.
Tipp
Wegen des weitgehenden Kündigungsschutzes für den Datenschutzbeauftragten kann es sinnvoll sein, einen externen Datenschutzbeauftragten zu bestellen.
Die Regelungen des BDSG gehen somit weiter als die der DSGVO. Diese sieht lediglich einen Schutz des Datenschutzbeauftragten vor einer Abberufung aus der Bestellung vor.
2.3 Berichtspflicht
Der Datenschutzbeauftragte ist gemäß den gesetzlichen Vorgaben ausschließlich und unmittelbar der höchsten Managementebene berichtspflichtig (Art. 38 Abs. 3 Satz 3 DSGVO). Eine gesetzliche Pflicht zur Erstellung eines Tätigkeitsberichts besteht nicht. Es ist allerdings empfehlenswert, dass der Datenschutzbeauftragte in regelmäßigen Abständen einen Bericht erstellt, um den Dokumentations- und Rechenschaftspflichten nachzukommen. Weiter kann sich die Geschäftsführung über die Tätigkeitsberichte einen Überblick über den Stand des Datenschutzes im Unternehmen verschaffen.
2.4 Einbindung und Unterstützung des Datenschutzbeauftragten
Art. 38 Abs. 1 und 2 DSGVO regeln den Anspruch des Datenschutzbeauftragten auf Einbindung und Unterstützung. Die verantwortliche Stelle und der Auftragsverarbeiter haben Folgendes sicherzustellen:
- Die ordnungsgemäße und frühzeitige Einbindung in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen,
- Unterstützung bei der Erfüllung der Aufgaben nach Art. 39 DSGVO,
- Zurverfügungstellung der erforderlichen Ressourcen zur Aufgabenwahrnehmung und Erhaltung des Fachwissens,
- Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen.
Frühzeitige Einbindung
Die frühzeitige Einbindung des Datenschutzbeauftragten in datenschutzrelevante Vorgänge und die Verschaffung des Zugangs zu personenbezogenen Daten und Verarbeitungsvorgängen sind für die effektive Arbeit des Datenschutzbeauftragten unumgänglich und erscheinen deshalb trivial. Die betriebliche Praxis zeigt jedoch, dass hier häufig Defizite bestehen.
Darüber hinaus sind dem Datenschutzbeauftragten unter anderem geeignete Räumlichkeiten, Arbeitsgeräte und auch Hilfspersonal zur Verfügung zu stellen. Insbesondere einem betrieblichen Datenschutzbeauftragten muss neben seiner ursprünglichen Tätigkeit die erforderliche Zeit zur Wahrnehmung der zusätzlichen Aufgabe eingeräumt werden. Dies gilt auch für die Erhaltung des Fachwissens durch die Zurverfügungstellung von Literatur und den Besuch von Fortbildungsmaßnahmen. In Anbetracht der Vielfältigkeit der Maßnahmen ist es sinnvoll, dem Datenschutzbeauftragten ein ausreichendes finanzielles Budget für seine Tätigkeit zur Verfügung zu stellen.
2.5 Pflicht zur Geheimhaltung und Vertraulichkeit
Die von der Datenverarbeitung betroffenen Personen können den Datenschutzbeauftragten zu allen Fragen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte aus der Datenschutz-Grundverordnung zurate ziehen (Art. 38 Abs. 4 DSGVO).
Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden (Art. 38 Abs. 5 DSGVO). Hierzu konkretisiert der deutsche Gesetzgeber in § 6 Abs. 5 Satz 2 BDSG, dass der Datenschutzbeauftragte zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Personen zulassen, verpflichtet ist, soweit keine Befreiung durch die betroffene Person erfolgt.
Ihre besondere Wirkung entfaltet die Verschwiegenheitspflicht insbesondere im Bereich des Beschäftigtendatenschutzes. So könnte ein Betroffener, der gleichzeitig Mitarbeiter des Unternehmens ist, mit Nachteilen zu rechnen haben, wenn er als Initiator einer datenschutzrechtlichen Überprüfung identifiziert werden würde.
Diese Regelungen verdeutlichen den Stellenwert des Datenschutzbeauftragten, der als Anwalt der Betroffenen zu fungieren hat.
2.6 Publizität des Datenschutzbeauftragten
Gemäß Art. 37 Abs. 7 DSGVO muss der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragte...