Datenschutzbeauftragte FAQ Stellung | LDI - Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Dürfen Datenschutzbeauftragte zusätzlich andere Aufgaben haben? (Interessenkonflikt)

Datenschutzbeauftragte können über die in Art. 39 DS-GVO aufgezählten Aufgaben hinaus auch andere Aufgaben und Pflichten wahrnehmen (Art. 38 Abs. 6 Satz 1 DS-GVO).

Es liegt im Verantwortungsbereich des Verantwortlichen oder des Auftragsverarbeiters, dass derartige zusätzliche Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen (Art. 38 Abs. 6 Satz 2 DS-GVO).

Dies setzt voraus, dass die zu Kontrollierenden nicht selbst zu Kontrolleuren benannt werden dürfen. Das bedeutet im Einzelnen, dass Datenschutzbeauftragte zwar andere Aufgaben und Pflichten neben ihrer Tätigkeit als Datenschutzbeauftragte wahrnehmen können, diese dürfen aber nicht solche sein, welche einen engen Bezug zu Verarbeitungen von personenbezogenen Daten haben.

Beispiele für Tätigkeitsfelder, welche zu einem Interessenkonflikt führen:

Leitung eines Unternehmens oder einer Behörde
Leitung der IT-Abteilung
Leitung der Personal-Abteilung
Beschäftigte der IT- oder Personalabteilung, wenn diese in der Lage sind, Datenverarbeitungsprozesse zu bestimmen oder wesentlich zu beeinflussen.

Auch die Benennung von Unternehmensinhaber*innen selbst sowie von Mitgliedern der Geschäftsleitung als Datenschutzbeauftragte ist unzulässig. Bei den Mitgliedern der Leitung von Verantwortlichen und Auftragsverarbeitern fehlt es an einer klaren Trennung zwischen den Aufgaben der Stelle und den Aufgaben der jeweiligen Datenschutzbeauftragten und somit an der notwendigen Unabhängigkeit bei der Wahrnehmung der Aufgabe als Datenschutzbeauftragte.

Welche Grundsätze gelten hinsichtlich der Datenschutzbeauftragten?

Verschwiegenheitspflicht

Datenschutzbeauftragte sind nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung ihrer Aufgaben an die Wahrung der Geheimhaltung oder Vertraulichkeit gebunden (Art. 38 Abs. 5 DS-GVO, § 38 Abs. 2 i. V. m. § 6 Abs. 5 Satz 2 BDSG).

Risikoorientierter Ansatz

Datenschutzbeauftragte tragen bei der Erfüllung ihrer Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei sie die Art und den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigen (Art. 39 Abs. 2 DS-GVO).

Anrufungsrecht der Betroffenen

Betroffene Personen können Datenschutzbeauftragte zu allen Fragen zu Rate ziehen, die mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte im Zusammenhang stehen. Datenschutzbeauftragte dienen den betroffenen Personen somit als Ansprechperson für sämtliche Fragen rund um den Datenschutz (Art. 38 Abs. 4 DSG-VO).

Unmittelbarer Berichtsweg an die höchste Managementebene

Datenschutzbeauftragte berichten unmittelbar der höchsten Managementebene der Verantwortlichen oder Auftragsverarbeiter (Art. 38 Abs. 3 Satz 3 DS-GVO).

Einerseits wird durch die direkte Zugangsmöglichkeit zur Leitungsebene die Stellung der Datenschutzbeauftragten gestärkt, andererseits ergibt sich hieraus jedoch auch eine Berichtsverpflichtung gegenüber der Leitungsebene. Nicht vorgeschrieben ist, in welcher Form und Häufigkeit zu berichten ist. Jahresgespräche oder jährliche (schriftliche) Berichte zum Datenschutz durch Datenschutzbeauftragte können geeignete Berichtsformen darstellen.

Treffen Verantwortliche bzw. Auftragsverarbeiter Entscheidungen, die der DS-GVO und den Empfehlungen der Datenschutzbeauftragten zuwiderlaufen, müssen Datenschutzbeauftragte die Möglichkeit haben, ihre abweichende Meinung den Entscheidungsträgern deutlich mitzuteilen.

Zeugnisverweigerungsrecht

Das BDSG sieht für Datenschutzbeauftragte unter bestimmten Umständen ein Zeugnisverweigerungsrecht vor (§ 38 Abs. 2 i. V. m. § 6 Abs. 6 BDSG). Für Datenschutzbeauftragte öffentlicher Stellen i. S. d. DSG NRW ist ebenfalls unter bestimmten Umständen ein Zeugnisverweigerungsrecht geregelt (§ 31 Abs. 3 DSG NRW).

Unabhängigkeit

Explizit erwähnt in Erwägungsgrund 97 der DS-GVO. Datenschutzbeauftragte erledigen ihre Aufgaben unabhängig, das heißt sie unterliegen bei ihrer Aufgabenerledigung keinerlei Weisungen durch die Verantwortlichen.

Welche Unterstützungsleistungen sind nötig, damit Datenschutzbeauftragte ihre Aufgaben ordnungsgemäß erfüllen können?

Verantwortliche oder Auftragsverarbeiter müssen Folgendes sicherstellen:

ordnungsgemäße und frühzeitige Einbindung der Datenschutzbeauftragten in alle Fragen, die mit dem Schutz personenbezogener Daten zusammenhängen (Art. 38 Abs. 1 DS-GVO),

Unterstützung der Datenschutzbeauftragten bei ihrer Aufgabenerfüllung, d. h.
- Bereitstellen der erforderlichen Ressourcen wie Arbeitszeit, Räume, Mitarbeitende,
- Ermöglichung des Zugangs zu personenbezogenen Daten und Verarbeitungsvorgängen,
- Bereitstellen der zur Erhaltung des Fachwissens erforderlichen Ressourcen wie Literatur und Fortbildung (Art. 38 Abs. 2 DS-GVO),
- Weisungsfreiheit (Art. 38 Abs. 3 Satz 1 DS-GVO).

Was müssen Unternehmen in Kurzarbeit beachten?

Wenn Unternehmen aufgrund konjunkturbedingter Umstände Kurzarbeit einführen, sind betriebliche Datenschutzbeauftragte keineswegs verzichtbar. Meistens arbeitet ein Unternehmen auch bei Kurzarbeit in verringertem Umfang weiter. Und selbst wenn ein Unternehmen für eine bestimmte Zeit seine Tätigkeit einstellt, besteht es weiter, hat Beziehungen zu Beschäftigten, Kundinnen und Kunden und verarbeitet deren Daten. Deshalb werden Datenschutzbeauftragte weiter gebraucht und müssen ihre Aufgaben erfüllen können.

Darüber hinaus können sich im Zusammenhang mit der Änderung und Neuorganisation bisheriger Arbeitsabläufe, der Ermittlung von Entgeltausfällen und der Beantragung von Kurzarbeitergeld neue datenschutzrechtliche Fragen ergeben, die die Einbindung der betrieblichen Datenschutzbeauftragten erfordern. Um so wichtiger ist es, dass auch die verantwortlichen Unternehmen den Datenschutzbeauftragten die Wahrnehmung der Kontroll- und Beratungsaufgaben ermöglichen. Eine entsprechende Pflicht ist in Art. 38 Abs. 2 DS-GVO gesetzlich verankert: Danach unterstützen Verantwortliche und Auftragsverarbeiter die Datenschutzbeauftragten bei der Erfüllung ihrer Aufgaben gemäß Art. 39 DS-GVO, indem sie ihnen die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung ihres Fachwissens erforderlichen Ressourcen zur Verfügung stellen.

Auch an der Benennungspflicht nach dem BDSG ändert sich nichts. Zwar kommt es nach § 38 Abs. 1 BDSG darauf an, dass Personen „in der Regel (…) ständig“ mit der Verarbeitung personenbezogener Daten beschäftigt sind. Mit dieser Formulierung ist aber gerade nicht gemeint, dass kurzzeitige Veränderungen berücksichtigt werden, sondern dass es auf eine langfristige Betrachtung ankommt. Wenn also vor und voraussichtlich auch nach der zeitlich begrenzten Kurzarbeit mindestens 20 Personen gezählt werden, bleibt es auch während der Kurzarbeit bei der Pflicht zur Benennung von Datenschutzbeauftragten.

Zwar mag es nach den jeweiligen Umständen geboten sein, den Arbeitsumfang der zuvor in Vollzeit als Datenschutzbeauftragte tätigen Beschäftigten entsprechend zu reduzieren. Das Arbeitsfeld der Datenschutzbeauftragten darf jedoch keinesfalls vollständig „brach liegen“. Vielmehr ist zu prüfen, unter welchen Voraussetzungen Datenschutzbeauftragte in der aktuellen Situation ihre Pflichten weiterhin wahrnehmen können. Datenschutzbeauftragte müssen nach wie vor seitens der Verantwortlichen bzw. der Auftragsverarbeiter ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden werden; sie müssen die Möglichkeit haben, regelmäßig ihre Posteingänge sichten zu können, sowie telefonisch und/oder per E-Mail als Ansprechperson für die Beschäftigten, Kundinnen und Kunden oder andere betroffene Personen erreichbar sein. Um dies sicherzustellen, sollten geeignete Maßnahmen (beispielsweise regelmäßiger Zugang zum Büro oder Einrichtung eines Tele-Arbeitsplatzes, Bereitstellen eines Diensthandys, Vereinbarung bestimmter „Sprechzeiten“) ergriffen werden.

Haben Datenschutzbeauftragte einen besonderen Kündigungsschutz?

Die DS-GVO sieht zwar keinen Kündigungsschutz vor, das BDSG und das DSG NRW enthalten aber Regelungen zum Abberufungs- und Kündigungsschutz (§ 38 Abs. 2 BDSG i. V. m. § 6 Abs. 4 BDSG, § 31 Abs. 4 DSG NRW). Dies sind arbeitsrechtliche Regelungen.

Das bedeutet, dass bei Unternehmen, die gesetzlich zur Benennung eines betrieblichen Datenschutzbeauftragten verpflichtet sind, das Arbeitsverhältnis mit ihren jeweiligen Datenschutzbeauftragten nur gekündigt werden kann, wenn Tatsachen vorliegen, die die Verantwortlichen zu einer fristlosen Kündigung aus wichtigem Grund berechtigen.

Eine Abberufung betrieblicher Datenschutzbeauftragter ist ebenfalls nur unter den Voraussetzungen möglich, die im Arbeitsverhältnis eine fristlose Kündigung aus wichtigem Grund rechtfertigen würden.

Nach der Abberufung ist die Kündigung innerhalb eines Jahres unzulässig, es sei denn, die Verantwortlichen sind zur fristlosen Kündigung aus wichtigem Grund berechtigt.

Hinweis: Im nicht-öffentlichen Bereich gilt der besondere Abberufungs- und Kündigungsschutz für betriebliche Datenschutzbeauftragte jedoch nur, soweit deren Benennung verpflichtend ist ( § 38 Absatz 2 BDSG).

Wie viel Zeit müssen Datenschutzbeauftragte für ihre Arbeit aufwenden?

Der Zeitaufwand für die Tätigkeit von Datenschutzbeauftragten lässt sich nicht abstrakt festlegen. Er hängt beispielsweise ab von der Größe der Stelle, dem Umfang der dort betriebenen Datenverarbeitungen und der Tatsache, ob den jeweiligen Datenschutzbeauftragten weiteres Personal zur Seite steht. Die Arbeit von Datenschutzbeauftragten hängt von so vielen Faktoren ab, dass eine Pauschalierung des Aufwandes dem jeweiligen Einzelfall nicht gerecht werden würde. In der Einarbeitungsphase wird zunächst eine umfangreiche Bestandsaufnahme erfolgen müssen, zu der auch die Durchsicht des Verarbeitungsverzeichnisses gehört - und falls erforderlich auch die Aufforderung an die Verantwortlichen oder Auftragsverarbeiter, das Verarbeitungsverzeichnis zu ergänzen oder zu erstellen. Dabei werden die wesentlichen Datenschutzstrukturen deutlich. Im Anschluss daran müssen Datenschutzbeauftragte nach den Umständen in der jeweiligen Stelle einschätzen, wie häufig weitere Überprüfungen erforderlich sind.

Haften Datenschutzbeauftragte persönlich?

Schadensersatzansprüche Dritter nach Art. 82 DS-GVO sind ausschließlich gegenüber den Verantwortlichen oder Auftragsverarbeitern und nicht gegenüber den Datenschutzbeauftragten selbst möglich. Es besteht darüber hinaus zudem auch kein Bußgeldrisiko der Datenschutzbeauftragten gegenüber der Aufsichtsbehörde, da sie nicht Verantwortliche der Datenverarbeitung sind.

Der Datenschutzbeauftragte haben lediglich eine beratende und unterstützende Funktion.

Ein persönliches Bußgeld kommt grundsätzlich nur im Falle der eigenen Datenverarbeitung von Datenschutzbeauftragten als Verantwortliche oder Auftragsverabeiter in Betracht.

Ob Datenschutzbeauftragte von Schadensersatzansprüchen Dritter freigestellt werden, oder – umgekehrt – ob ein Verantwortliche ihren Datenschutzbeauftragten gegenüber Schadenersatzansprüche geltend machen können, sind zivilrechtliche Fragen.

Arbeitsrechtlich ist grundsätzlich vorgesehen, dass Arbeitnehmer*innen von der Haftung freigestellt werden. Dienstleistungsverträge sollten ebenfalls Regelungen für den Haftungsfall vorsehen.