Die grundlegenden Regelungen für Datenschutzbeauftragte finden sich in der DS-GVO. Sie werden ergänzt durch Regelungen im BDSG und im DSG NRW. Welche Vorschriften zu beachten sind, unterscheidet sich danach, ob Datenschutzbeauftragte bei öffentlichen oder nicht-öffentlichen Stellen tätig sind:
Für Datenschutzbeauftragte bei nicht-öffentlichen Stellen wie etwa Unternehmen und Vereinen gelten die Bestimmungen der Art. 37 – 39 DS-GVO sowie § 38 BDSG.
Auf Datenschutzbeauftragte bei öffentlichen Stellen wie beispielsweise Behörden finden ebenfalls Art. 37 – 39 DS-GVO Anwendung. Für Datenschutzbeauftragte bei Behörden und anderen öffentlichen Stellen des Landes NRW ist neben den Bestimmungen der DS-GVO die Vorschrift des § 31 DSG NRW maßgeblich.
Eine Sonderregelung besteht im Bereich der Sicherheitsbehörden und der Polizei. Hier ist die JI-Richtlinie (RL (EU) 680/16) zu beachten. Sie enthält Vorgaben für die Verarbeitung personenbezogener Daten durch Sicherheitsbehörden im Hinblick auf Strafverfolgung, Strafvollstreckung und straftatenbezogene Gefahrenabwehr. Sie gilt insbesondere für Staatsanwaltschaften, Polizeibehörden und Strafgerichte. Zudem sind auch andere Behörden erfasst, soweit sie Ordnungswidrigkeiten verfolgen. Diese europäische Richtlinie gilt – anders als die DS-GVO – nicht unmittelbar, sondern bedarf der Umsetzung in nationales Recht. Dies ist unter anderem durch entsprechende Vorschriften im DSG NRW erfolgt. Regelungen zu behördlichen Datenschutzbeauftragten finden sich für den Anwendungsbereich der JI-Richtlinie für Behörden des Landes NRW in § 67 Nr. 6 DSG NRW, der wiederum auf Art. 37 bis 39 DS-GVO sowie auf § 31 DSG NRW verweist.
Unter welchen Voraussetzungen eine Pflicht zur Benennung von Datenschutzbeauftragten besteht, ist in Art. 37 Abs. 1 DS-GVO und § 38 Abs. 1 BDSG geregelt.
Benennung von Datenschutzbeauftragten nach der DS-GVO
Nach Artikel 37 Abs. 1 DS-GVO benennen Verantwortliche und Auftragsverarbeiter auf jeden Fall Datenschutzbeauftragte, wenn eine der folgenden Voraussetzungen gegeben ist:
1. Fall - Öffentliche Stelle
Die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt. Ausgenommen sind hiervon Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln.
2. Fall - Kerntätigkeit: Überwachung von Personen
Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
3. Fall - Kerntätigkeit: Verarbeitung von besonderen Datenkategorien oder Strafrechtsdaten
Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DS-GVO (sensitive Daten) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DS-GVO (Daten über strafrechtliche Verurteilungen).
In diesen drei Fällen besteht eine Pflicht zur Benennung von Datenschutzbeauftragten. Auf die Anzahl der Personen, die mit der Datenverarbeitung beschäftigt sind, kommt es hierbei nicht an.
Benennung von Datenschutzbeauftragten nach § 38 Abs. 1 BDSG
Die DS-GVO erlaubt den Mitgliedstaaten weitergehende Vorschriften zur Benennung (Artikel 37 Abs. 4 DS-GVO). Der Bundesgesetzgeber hat diesen Regelungsspielraum genutzt, um die Pflicht zur Benennung von betrieblichen Datenschutzbeauftragten weitergehend zu regeln.
Demnach ist eine Benennung von Datenschutzbeauftragten durch Verantwortliche und Auftragsverarbeiter auch in folgenden Fällen erforderlich:
- es werden in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt oder
- es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen oder
- es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.
In den beiden letztgenannten Fällen müssen unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen Datenschutzbeauftragte benannt werden (§ 38 Absatz 1 Satz 2 BDSG).
Zum erstgenannten Fall finden Sie im Folgenden nähere Erläuterungen:
„Automatisierte Verarbeitung personenbezogener Daten“
Die Verarbeitung erfolgt nur dann automatisiert, wenn sie unter Einsatz von Datenverarbeitungsanlagen (Computer, Tablets, Smartphones u. ä.) erfolgt. Personen, die nicht mit einer automatisierten Datenverarbeitung befasst sind, werden bei der Ermittlung der Personenzahl nicht mitgezählt. Ebenfalls ist eine Verarbeitung anderer Daten als solche zu natürlichen Personen nicht zu berücksichtigen.
„Ständig“
Es reicht aus, dass die Tätigkeit auf Dauer angelegt ist und die betreffende Person immer dann tätig wird, wenn es notwendig ist, selbst wenn die Tätigkeit nur in zeitlichen Abständen (z. B. monatlich) anfällt. Der Begriff „ständig“ ist nicht so auszulegen, dass die Datenverarbeitung andauernd erfolgen müsste.
„Beschäftigt“
Die Art des Beschäftigungsverhältnisses spielt bei der Frage, welche Personen für die Datenverarbeitung zu berücksichtigen sind, keine Rolle. Sowohl die Leitung als auch angestellte Beschäftigte, Aushilfen, Azubis oder Leiharbeitskräfte sind gleichermaßen zu berücksichtigen. Unerheblich ist auch, ob die jeweiligen Personen in Voll- oder Teilzeit arbeiten.
Entscheidend ist, dass die Verarbeitung von personenbezogenen Daten Bestandteil der Tätigkeit ist, also in der Aufgabenbeschreibung bzw. Aufgabenzuweisung eingeschlossen ist. Das ist beispielsweise bei Reinigungskräften, Fahrern oder Gärtnern in der Regel nicht der Fall, so dass diese bei der Berechnung nicht mit zu berücksichtigen sind.
Zählen Personen bei anderen Stellen mit? Muss zum Beispiel ein Verantwortlicher die Beschäftigten seines Auftragsverarbeiters mitzählen?
Die DS-GVO und damit auch das BDSG unterscheiden grundsätzlich zwischen den verschiedenen Rollen des „Verantwortlichen“ und des „Auftragsverarbeiters“.
Die Personenzahl ist daher jeweils für Verantwortliche und Auftragsverarbeiter getrennt zu prüfen. Personen bei der jeweils anderen Stelle zählen nicht mit.
Benennung von Datenschutzbeauftragten nach der JI-RL
Die Mitgliedstaaten haben die Möglichkeit, Gerichte und andere unabhängige Justizbehörden im Rahmen ihrer justiziellen Tätigkeit von der Pflicht zur Benennung von Datenschutzbeauftragten zu befreien (vgl. Artikel 32 Abs. 1 JI-RL).
Auf Bundesebene hat der Gesetzgeber lediglich klargestellt, dass die Aufgaben behördlicher Datenschutzbeauftragter eines Gerichtes sich nicht auf das Handeln des Gerichts im Rahmen seiner justiziellen Tätigkeit beziehen (§ 7 Absatz 1 Satz 2 BDSG).
Auf Landesebene hat der Gesetzgeber in § 5 Abs. 4 DSG NRW klargestellt, dass u. a. für die Gerichte und die Behörden der Staatsanwaltschaft die Regelungen zur Benennung von Datenschutzbeauftragten nach § 31 DSG NRW nur gelten, soweit sie Verwaltungsaufgaben wahrnehmen.
Freiwillige Benennung
Wenn keine Pflicht zur Benennung von Datenschutzbeauftragten vorliegt, unterstützt und begrüßt die LDI NRW, dass Verantwortliche und Auftragsverarbeiter freiwillig Datenschutzbeauftragte benennen.
Im Falle einer freiwilligen Benennung von Datenschutzbeauftragten unterliegen deren Benennung, Stellung und Aufgabenbereich den gleichen Anforderungen wie bei einer obligatorischen Benennung (Art. 37 - 39 DS-GVO). Im nicht-öffentlichen Bereich gilt der besondere Abberufungs- und Kündigungsschutz für betriebliche Datenschutzbeauftragte jedoch nur, soweit deren Benennung verpflichtend ist (§ 38 Abs. 2 BDSG).
Ja. Eine Unternehmensgruppe darf eine Person als gemeinsame(n) Datenschutzbeauftragte(n) benennen (Art. 37 Absatz 2 DS-GVO). Voraussetzung hierfür ist, dass die Person von jeder Niederlassung aus leicht erreicht werden kann.
Behörden oder öffentliche Stellen haben die Möglichkeit, für mehrere Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe gemeinsame Datenschutzbeauftragte zu benennen (Art. 37 Absatz 3 DS-GVO).
Der Bezug auf Organisationsstruktur und Größe bedeutet auch, dass Verantwortliche sicherstellen müssen, dass gemeinsame Datenschutzbeauftragte in der Lage sind, die Aufgaben zu erfüllen, welche ihnen in Bezug auf sämtliche Behörden oder öffentlichen Stellen übertragen wurden.
Es genügt ein einziger Benennungsakt, wenn er für die beteiligten Stellen wirkt.
Die leichte Erreichbarkeit von Datenschutzbeauftragten liegt dann vor, wenn sowohl die persönliche als auch die sprachliche Erreichbarkeit gewährleistet ist. Die leichte Erreichbarkeit der Datenschutzbeauftragten soll gleichermaßen sowohl für Betroffene als auch für Aufsichtsbehörden sowie Beschäftigte innerhalb des Unternehmens gewährleistet sein.
Innerhalb des jeweiligen Unternehmens sind Vorkehrungen zu treffen, die es den Betroffenen oder anderen Stellen ermöglichen, die Datenschutzbeauftragten zu erreichen (persönliche Erreichbarkeit). Beispiele: Einrichtung einer Hotline, Kontaktformular auf der Homepage, Sprechstunde für Beschäftigte im Unternehmen.
Hierzu ist es empfehlenswert, die Kontaktdaten der Datenschutzbeauftragten sowohl intern, z. B. im Intranet oder im Organigramm, als auch extern auf der Homepage bekanntzugeben (siehe Art. 37 Abs. 7 DS-GVO, wonach Verantwortliche die Kontaktdaten der Datenschutzbeauftragten zu veröffentlichen und der Aufsichtsbehörde mitzuteilen haben).
Wir empfehlen, den Standort des DSB so zu wählen, dass einerseits die Kontaktaufnahme etwa für ein persönliches Treffen und andererseits auch die effektive Aufgabenerfüllung für den Datenschutzbeauftragten (beispielsweise für eine Vor-Ort-Kontrolle bei der Stelle) mit geringem Aufwand möglich ist.
Den Datenschutzbeauftragten muss eine Kommunikation in der Sprache möglich sein, welche für die Korrespondenz mit Aufsichtsbehörden und Betroffenen notwendig ist (sprachliche Erreichbarkeit).
Erwägungsgrund 97 der DS-GVO führt aus, dass sich die Kerntätigkeit von Verantwortlichen im nicht-öffentlichen Bereich auf deren Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit bezieht. Anders ausgedrückt zählen sogenannte Haupttätigkeiten, welchen den Geschäftszweck unmittelbar fördern, zu den Kerntätigkeiten.
Den täglichen Betrieb begleitende Prozesse wie IT-Unterstützung gelten z. B. als Nebentätigkeit, da sie den Geschäftszweck des Betriebes nicht unmittelbar fördern.
Die DS-GVO stellt keine Definition des Begriffs "umfangreich" zur Verfügung. Folgende Faktoren können aus Erwägungsgrund 91 der DS-GVO für die Beurteilung, ob eine "umfangreiche" Überwachung bzw. Verarbeitung vorliegt, herangezogen werden:
- (große) Menge personenbezogener Daten (Volumen),
- Verarbeitung auf regionaler, nationaler oder supranationaler Ebene (geografischer Aspekt),
- Anzahl der betroffenen Personen (absolute Zahl oder in Prozent zur relevanten Bezugsgröße)
- Dauer der Verarbeitung (zeitlicher Aspekt).
Sind mehrere Faktoren hoch, so spricht dies für eine "umfangreiche" Überwachung bzw. Verarbeitung.
Die Verarbeitung personenbezogener Daten gilt in der Regel dann nicht als umfangreich, wenn die Verarbeitung personenbezogene Daten von Patient*innen oder von Mandant*innen betrifft und durch einzelne Ärzt*innen, einzelne sonstige Angehörige eines Gesundheitsberufes oder einzelne Rechtsanwält*innen erfolgt (Erwägungsgrund 91 der DS-GVO).
Der Ausdruck der regelmäßigen und systematischen Überwachung wird in der DS-GVO nicht näher definiert. Erwägungsgrund 24 der DS-GVO gibt erste Anhaltspunkte.
Danach wird eine Verarbeitungstätigkeit dann als Beobachtung des Verhaltens von betroffenen Personen eingeordnet, wenn ihre Internetaktivitäten nachvollzogen werden, einschließlich der möglichen nachfolgenden Verwendung von Techniken zur Verarbeitung personenbezogener Daten, durch die von einer natürlichen Person ein Profil erstellt wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen die persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen.
Regelmäßig ist die Beobachtung des Verhaltens von betroffenen Personen dann, wenn diese über einen längeren Zeitraum andauert oder in regelmäßigen Abständen vorgenommen wird.
Eine systematische Beobachtung liegt dann vor, wenn diese methodisch nach einem bestimmten, vorgegebenen System oder einer Strategie erfolgt.
Bei Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs wird grundsätzlich dann nicht von einer umfangreichen Datenverarbeitung auszugehen sein, wenn weniger als 20 Personen mit der Datenverarbeitung beschäftigt sind.
In diesen Fällen müssen also trotz der Verarbeitung besonderer Datenkategorien nach Art. 9 DS-GVO in der Regel keine Datenschutzbeauftragten benannt werden. Vergleiche dazu die Entschließung der Datenschutzkonferenz vom 26. April 2018 "Datenschutzbeauftragten-Bestellpflicht nach Artikel 37 Abs. 1 lit. C Datenschutz-Grundverordnung bei Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs" entsprechend zur früheren Rechtslage mit einer 10-Personen-Grenze.
Versicherungsmakler*innen beschäftigen sich im Rahmen ihrer Tätigkeit ebenfalls mit der Verarbeitung von Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DS-GVO, z. B. bei Lebensversicherungen, Berufsunfähigkeit…etc.
Um eine Pflicht zur Benennung von Datenschutzbeauftragten auszulösen, muss die Datenverarbeitung außerdem zur Kerntätigkeit der Makler*innen gehören und darüber hinaus umfangreich im Sinne von Art. 37 Abs. 1 Buchstabe C) DS-GVO sein.
Bei einzelnen Makler*innen, die ihre Tätigkeiten im Rahmen des üblichen Standardgeschäftes ausüben, fehlt es jedenfalls an einer umfangreichen Datenverarbeitung.
Hintergrund hierzu ist ein Erst-Recht-Schluss aus Erwägungsgrund 91 der DS-GVO. Dieser enthält eine Vermutung, dass einzelne Ärzt*innen grundsätzlich keine umfangreiche Datenverarbeitung vornehmen. Diese Erwägung gilt auch für einzelne Makler*innen.
Grundsätzlich gilt: Die Benennung von Datenschutzbeauftragten ist gemäß Art. 37 Abs. 4 Satz 1 DS-GVO aber auch auf freiwilliger Basis möglich.
Dies ist grundsätzlich zu empfehlen, um die Einhaltung der datenschutzrechtlichen Bestimmungen zu erleichtern und damit ggf. aufsichtsbehördliche Maßnahmen zu vermeiden.
Eine Schriftform ist nicht vorgeschrieben. Aus Beweisgründen und zur Rechtsklarheit ist eine schriftliche Benennung von Datenschutzbeauftragten jedoch empfehlenswert.
Zudem wird empfohlen, die Aufgaben der Datenschutzbeauftragten explizit festzuhalten, damit sich Verantwortliche beziehungsweise Auftragsverarbeiter und Datenschutzbeauftragte über die Aufgaben im Klaren sind.
Da keine Frist geregelt ist, ist die Pflicht sofort zu erfüllen, sobald die Voraussetzungen vorliegen. Bereits nach alter Rechtslage erfolgte Benennungen haben Bestand.
Stellung und Aufgaben von Datenschutzbeauftragten werden nun aber nach der DS-GVO auszurichten sein. Zur Klarstellung ist eine erneute (formale) Benennung unter dem Regime der DS-GVO zu empfehlen.
Die Benennung von externen Datenschutzbeauftragten ist zulässig. Datenschutzbeauftragte können ihre Aufgaben auch auf Grundlage eines Dienstleistungsvertrages erfüllen (Art. 37 Abs. 6 DS-GVO). Anders als nach den alten Regelungen des DSG NRW gilt dies auch für öffentliche Stellen.
Die Benennung juristischer Personen als Datenschutzbeauftragte ist unzulässig, da Wortlaut und Systematik der DS-GVO nur natürliche Personen als Datenschutzbeauftragte vorsehen.
So heißt es in Erwägungsgrund 97:
„In Fällen, in denen die Verarbeitung (…) im privaten Sektor durch einen Verantwortlichen erfolgt, (…) sollte der Verantwortliche oder der Auftragsverarbeiter bei der Überwachung der internen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person, die über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügt, unterstützt werden. (…) Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.“
Des Weiteren werden nach Art. 37 Abs. 5 DS-GVO Datenschutzbeauftragte auf Grundlage ihrer beruflichen Qualifikation und ihres Fachwissens benannt. Nur natürliche Personen können die nötige „berufliche“ Fachkunde und Zuverlässigkeit aufweisen und nur zu diesen ist eine vertrauliche Beziehung der Beteiligten möglich. Die zu Datenschutzbeauftragten benannten natürlichen Personen dürfen jedoch Hilfspersonal einsetzen, wie etwa Vertreter*innen, Datenschutzansprechpartner*innen und Koordinator*innenen.
Der Europäische Datenschutzausschuss (EDSA) hält die Benennung einer juristischen Person für zulässig.
Allerdings ist im durch den EDSA bestätigten Working Paper 243 rev. 0.1 eine Bedingung ausgeführt: Die Benennung einer juristischen Person setzt danach voraus, dass jedes Mitglied derjenigen Einrichtung, die die Funktion der Datenschutzbeauftragten wahrnimmt, sämtliche in Abschnitt 4 der DS-GVO genannten Anforderungen erfüllt.
Dies macht die Benennung einer juristischen Person als Datenschutzbeauftragte schon per se unattraktiv und ist unserer Einschätzung zufolge auch nicht zulässig.
Datenschutzbeauftragte müssen folgende Voraussetzungen erfüllen (Art. 37 Abs. 5 DS-GVO):
- berufliche Qualifikation
- Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis
- die Fähigkeit zur Erfüllung der Aufgaben nach Art. 39 DS-GVO.
Im Rahmen der beruflichen Qualifikation sollten die eingesetzten Datenschutzbeauftragten über ausreichende Kenntnisse und/oder Berufserfahrung im betreffenden Wirtschaftsbereich verfügen und im Stande sein, die verschiedenen Verarbeitungsprozesse zu erfassen. Behördliche Datenschutzbeauftragte sollten dementsprechend ein fundiertes Fachwissen im Bereich der Verwaltung vorweisen können und die internen Prozesse gut kennen. Datenschutzbeauftragte sollten darüber hinaus über ein solides Fachwissen in Bezug auf das IT-System und IT-Sicherheitsmaßnahmen verfügen und die damit einhergehenden datenschutzrechtlichen Bedürfnisse erkennen und im Arbeitsalltag berücksichtigen können.
Das erforderliche Niveau des Fachwissens richtet sich insbesondere nach den durchgeführten Verarbeitungsvorgängen und dem erforderlichen Schutz für die personenbezogenen Daten, die die jeweiligen Verantwortlichen oder Auftragsverarbeiter verarbeiten. Je komplexer Datenverarbeitungen im Einzelfall sind oder je größer die Menge sensibler Daten ist, desto höhere Anforderungen sind an das notwendige Fachwissen des Datenschutzbeauftragten zu stellen.
Die Zuverlässigkeit wird in der DS-GVO – anders als im BDSG-alt – zwar nicht explizit erwähnt. Wer nicht zuverlässig ist, ist allerdings wohl auch nicht geeignet, die Aufgaben nach Art. 39 DS-GVO zu erfüllen.
Die DS-GVO verzichtet auf Vorgaben, wie Datenschutzbeauftragte die notwendige fachliche Qualifikation erwerben sollen. Das benötigte Fachwissen kann beispielsweise durch den Besuch von Fortbildungsveranstaltungen – ausnahmsweise im Einzelfall auch nach Aufnahme der Tätigkeit einer oder eines Datenschutzbeauftragten – erworben werden. Eine Prüfung oder Zertifizierung ist gesetzlich nicht vorgeschrieben. Entscheidend ist, dass die jeweils ausgewählten Personen den Aufgaben als Datenschutzbeauftragte gewachsen sind.
Zum Erwerb und zur Erhaltung der Fachkunde haben die Verantwortlichen und Auftragsverarbeiter ihren internen Datenschutzbeauftragten die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen.
Eine Übersicht oder Information, welche Schulungs- und Fortbildungsangebote zu empfehlen sind, kann die LDI NRW nicht zur Verfügung stellen, da solche Angebote durch die LDI NRW nicht geprüft werden.
Für behördliche Datenschutzbeauftragte weisen wir auf folgende Angebote hin:
- Die Fortbildungsakademie des Ministeriums für Inneres und Kommunales des Landes Nordrhein-Westfalen bietet Fortbildungen für behördliche Datenschutzbeauftragte an.
- Technisch ausgerichtete Fortbildungen bietet der Landesbetrieb Information und Technik an.
Als Fachliteratur für Datenschutzbeauftragte empfehlen sich zunächst Kommentierungen zum jeweils anwendbaren Datenschutzrecht (DS-GVO, ggf. BDSG…) sowie die im Buchhandel erhältlichen diversen Fachzeitschriften. Berufs- und Fachverbände bieten Informationen und Mitgliedschaften an.
Weder die DS-GVO noch das BDSG oder andere nationale Regelungen schließen eine Benennung von Personen ausdrücklich aus, die in familiärer oder persönlicher Beziehung zu den jeweiligen Verantwortlichen oder Auftragsverarbeitern stehen. Prinzipiell wäre es insofern auch möglich, dass Familienangehörige, Lebens- oder Ehepartner*innen der Leitung einer Stelle die Position als Datenschutzbeauftragte übernehmen. Voraussetzung ist allerdings, dass sie in dieser Tätigkeit unabhängig und frei von Interessenkollisionen ihre Aufgaben erfüllen können.
Ob die betreffenden Personen tatsächlich objektiv, unabhängig und weisungsfrei ihrer Aufgabe nachgehen werden, lässt sich in dieser Allgemeinheit nicht pauschal beantworten
Gleichwohl ist eher davon abzuraten, Angehörige oder Ehe- bzw. Lebenspartner*innen der Leitung einer Stelle als Datenschutzbeauftragte zu benennen, weil eine unabhängige Wahrnehmung der Funktion als Datenschutzbeauftragte z. B. von Beschäftigten oder Kundinnen und Kunden angezweifelt werden könnte.
Verantwortliche und Auftragsverarbeiter müssen die Kontaktdaten ihrer Datenschutzbeauftragten
- veröffentlichen und
- diese der zuständigen Aufsichtsbehörde mitteilen (Art. 37 Abs. 7 DS-GVO).
Daher sind die Kontaktdaten sowohl innerhalb der Organisation der Verantwortlichen (Intranet, Organisationspläne) als auch für außenstehende Dritte (z. B. auf einer Internetseite) zu veröffentlichen.
Was zu den Kontaktdaten der Datenschutzbeauftragten gehört, gibt die DS-GVO nicht ausdrücklich vor. Wichtig ist, dass durch die Angabe der Kontaktdaten eine leichte Kontaktaufnahme zu den Datenschutzbeauftragten gewährleistet ist. Empfohlen wird, mindestens folgende Kontaktdaten der Datenschutzbeauftragten zu veröffentlichen:
- Adresse
- Telefon-Nummer,
- E-Mail-Adresse der Datenschutzbeauftragten und
- Ggf. sonstige Möglichkeit der Kontaktaufnahme (DSB-Hotline, Kontaktformular auf der Webseite o. ä.).
Art. 37 Abs. 7 DS-GVO gibt nicht verpflichtend vor, dass auch der Name der Datenschutzbeauftragten veröffentlicht werden soll. Empfohlen wird, auch den Namen sowohl innerhalb für die Beschäftigten, als auch außerhalb des Unternehmens oder der Behörde zugänglich zu machen, wobei in jedem Fall wenigstens intern eine Veröffentlichung der Kontaktdaten inklusive Namen des Datenschutzbeauftragten erfolgen sollte.
Nach Art. 37 Abs. 1 Buchstabe a) DS-GVO haben Verantwortliche und der Auftragsverarbeiter auf jeden Fall dann Datenschutzbeauftragte zu benennen, wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird.
Für Behörden und öffentliche Stellen gilt nach der DS-GVO somit europaweit eine generelle Pflicht zur Benennung von Datenschutzbeauftragten.
Stellen mit SGB-Aufgaben, wie z. B. Jobcenter, Sozial- oder Jugendämter, stellen eigenständige Verantwortliche dar und sind insoweit von der Gemeinde als Verantwortliche im Sinne des DSG NRW zu unterscheiden.
Dies macht die Regelung des § 67 Abs. 4 SGB X deutlich:
„Werden Sozialdaten von einem Leistungsträger im Sinne von § 12 des Ersten Buches verarbeitet, ist der Verantwortliche der Leistungsträger. Ist der Leistungsträger eine Gebietskörperschaft, so sind der Verantwortliche die Organisationseinheiten, die eine Aufgabe nach einem der besonderen Teile dieses Gesetzbuches funktional durchführen.“
Nach § 67 Abs. 4 S. 2 SGB X kommt es darauf an, welche Organisationseinheit die Aufgaben funktional wahrnimmt.
Das bedeutet, dass diese Stellen, wie z. B. Jobcenter, Sozial- oder Jugendämter, als eigenständige Verantwortliche auch sämtliche Pflichten des Datenschutzrechts umsetzen müssen, zu denen u. a. auch die Pflicht zur Benennung von Datenschutzbeauftragten gehört.
Als Datenschutzbeauftragte können geeignete Personen innerhalb oder außerhalb der Verantwortlichen bzw. Auftragsverarbeiter benannt werden. Behörden oder öffentliche Stellen haben ferner die Möglichkeit, für mehrere Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe gemeinsame Datenschutzbeauftragte zu benennen (Art. 37 Abs. 3 DS-GVO).
So ist beispielsweise denkbar, dass Datenschutzbeauftragte der Kommunen zugleich als Datenschutzbeauftragte für Jobcenter benannt werden können. Hierzu bedarf es allerdings eines gesonderten Benennungsaktes. Der Bezug auf Organisationsstruktur und Größe bedeutet auch, dass Verantwortliche und Auftragsverarbeiter sicherstellen müssen, dass gemeinsame Datenschutzbeauftragte in der Lage sind, die Aufgaben zu erfüllen, welche ihnen in Bezug auf sämtliche Behörden oder öffentlichen Stellen übertragen wurden.
In den folgenden, abschließenden Fällen müssen die Kontaktdaten der Datenschutzbeauftragten genannt bzw. bekannt gegeben werden:
- Information der betroffenen Person bei Erhebung von personenbezogenen Daten bei der betroffenen Person selbst(Art. 13 Abs. 1 Buchstabe b) DS-GVO);
- Information der betroffenen Person bei Erhebung von personenbezogenen Daten bei Dritten(Art. 14 Abs. 1 Buchstabe b) DS-GVO);
- Angabe des Namens und der Kontaktdaten der Datenschutzbeauftragten im Verarbeitungsverzeichnis durch Verantwortliche und Auftragsverabeiter(Art. 30 Abs. 1 Buchstabe a), Abs. 2 Buchstabe a) DS-GVO);
- Mitteilung des Namens und der Kontaktdaten der Datenschutzbeauftragten an die Aufsichtsbehörde bei Verletzungen des Schutzes personenbezogener Daten
(Art. 33 Abs. 3 Buchstabe b) DS-GVO);
- Mitteilung des Namens und der Kontaktdaten der Datenschutzbeauftragten an die betroffene Person bei Verletzungen des Schutzes personenbezogener Daten
(Art. 34 Abs. 2 i. V. m. Art. 33 Abs. 3 Buchstabe b) DS-GVO);
- Mitteilung der Kontaktdaten der Datenschutzbeauftragten an die Aufsichtsbehörde bei einer Konsultation im Sinne von Art. 35 DS-GVO
(Art. 36 Abs. 3 Buchstabe d) DS-GVO);
- Veröffentlichung der Kontaktdaten der Datenschutzbeauftragten durch den Verantwortlichen und Mitteilung der Kontaktdaten an die Aufsichtsbehörde (Artikel 37 Absatz 7 DS-GVO).