1.
Einleitung ^
2.
Bedeutung des Datenschutzbeauftragten und Vorgaben der DS-GVO ^
Schon unter Geltung der Datenschutzrichtlinie war die Möglichkeit der Bestellung eines Datenschutzbeauftragten vorgesehen, der dann als unabhängige Instanz gem. Art. 18 Abs. 2 DSRL die Einhaltung der nationalen Datenschutzvorschriften überwachten sollte.7 In den meisten Mitgliedsstaaten wurde die Möglichkeit zur Bestellung eines Datenschutzbeauftragten nicht umgesetzt.8 Da mit der Bestellung eines Datenschutzbeauftragten auf freiwilliger Basis ohne gesetzliche Verankerung in den nationalen Datenschutzbestimmungen keine Vorteile verbunden waren, hat sich die Bestellung eines Datenschutzbeauftragten außerhalb von Deutschlands nicht besonders durchgesetzt.
2.1.
Verpflichtung zur Bestellung ^
Die erste Alternative deckt die Tätigkeit von Behörden und öffentlichen Stellen ab, die unabhängig von ihrer Größe oder dem Umfang der Verarbeitung personenbezogener Daten einen Datenschutzbeauftragten bestellen müssen. Dies entspricht der bisherigen Praxis in Deutschland gem. § 4f Abs. 1 BDSG, wobei in einzelnen Bundesländern teilweise abweichende Regelungen in den Landesdatenschutzgesetzen vorgesehen sind.11
In der zweiten Alternative wird eine Bestellpflicht für Unternehmen12 konstituiert, deren Kerntätigkeit eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erfordert. Mit dieser Regelung, die sprachlich etwas ungenau formuliert ist, sollen solche Unternehmen zur Bestellung eines Datenschutzbeauftragten gezwungen werden, die in größerem Umfang personenbezogene Daten erfassen und auswerten, beispielsweise im Rahmen der Profilbildung oder Nutzeranalyse. In diese Gruppe von Unternehmen fallen nach allgemeiner Auffassung Auskunfteien und Detekteien, aber unter Umständen beispielsweise auch Versicherungen und Online-Händler.13
Für alle Unternehmen, die nicht unter eine der drei vorgenannten Alternativen fallen, besteht auf europäischer Ebene keine generelle Bestellpflicht. Vor allem auf Druck aus Deutschland wurde in die Datenschutz-Grundverordnung allerdings in Art. 37 Abs. 4 DS-GVO eine Öffnungsklausel aufgenommen, wonach auf nationaler Ebene weitere Fälle vorgesehen werden können, die zu einer Pflicht zur Bestellung eines Datenschutzbeauftragten führen.16 Deutschland hat sich schon sehr früh darauf festgelegt, dass die bisherigen Vorgaben nach Möglichkeit auch unter Geltung der Datenschutz-Grundverordnung zumindest auf nationaler Ebene beibehalten werden sollten.17 Danach ist wieder mit einer generellen Pflicht zur Bestellung eines Datenschutzbeauftragten zu rechnen, wenn mehr als neun Personen mit der Verarbeitung personenbezogener Daten befasst sind.18 Bei den übrigen Mitgliedsstaaten ist dagegen eher damit zu rechnen, dass von der Öffnungsklausel kein Gebrauch gemacht wird, soweit auch bisher keine entsprechenden Pflichten im nationalen Recht vorgesehen waren. Auch für Österreich ist zu erwarten, dass keine zusätzlichen Bestellpflichten auf nationaler Ebene eingeführt werden.19
2.2.
Bestellung auf freiwilliger Basis ^
3.
Konsequenzen der Bestellung eines Datenschutzbeauftragten ^
3.1.
Stellung des Datenschutzbeauftragten ^
Der Datenschutzbeauftragte muss zwingend so im Unternehmen verankert werden, dass die Stellung unabhängig und weisungsfrei ausgeübt werden kann.21 Mit Bestellung des Datenschutzbeauftragten ist außerdem sicherzustellen, dass ihm gem. Art. 38 Abs. 2 DS-GVO ausreichende Ressourcen zur Verfügung stehen. Unter der Geltung des Bundesdatenschutzgesetzes in Deutschland, das eine vergleichbare Verpflichtung vorsieht, wird die Vorgabe so interpretiert, dass bei Bestellung eines internen Datenschutzbeauftragten diesem ausreichende personelle, sachliche und finanzielle Mittel zur Verfügung zu stellen sind.22 Der Datenschutzbeauftragte hat danach Anspruch auf Räumlichkeiten mit entsprechender Ausstattung, auf angemessene Literatur und externe Unterstützung sowie auf die Möglichkeit zur Teilnahme an Fortbildungen.23 Sofern der interne Datenschutzbeauftragte zusätzlich noch andere Tätigkeiten wahrnimmt, darf sich hieraus gem. Art. 38 Abs. 6 DS-GVO keine Interessenkollision ergeben; im Hinblick auf die Abgrenzung der Tätigkeiten muss außerdem eine angemessene Freistellung von sonstigen Tätigkeiten erfolgen.24
3.2.
Aufgabe des Datenschutzbeauftragten ^
Typische Aufgaben des Datenschutzbeauftragten sind die Unterstützung der Geschäftsführung bei Entscheidungen zu Fragen des Datenschutzes, die Dokumentation der Datenschutzstandards im Unternehmen, die Sensibilisierung der Mitarbeiter insbesondere durch Schulungen und die Kommunikation mit der zuständigen Aufsichtsbehörde für den Datenschutz. Der Datenschutzbeauftragte ist damit Ansprechpartner für die Unternehmensleitung, für die Mitarbeiter des Unternehmens, für Kunden und sonstige Geschäftspartner des Unternehmens sowie für die Aufsichtsbehörde, soweit datenschutzrechtliche Themen berührt werden.29
3.3.
Verantwortlichkeit des Datenschutzbeauftragten ^
3.3.1.
Verantwortlichkeit im Außenverhältnis ^
3.3.2.
Verantwortlichkeit gegenüber dem Unternehmen ^
3.3.3.
Haftungsszenarien ^
Potentiell risikoträchtig ist für einen Datenschutzbeauftragten vor allem die Beantwortung von Anfragen aus dem Unternehmen, die eine rechtliche Würdigung oder eine Interessenabwägung beinhalten. Gerade für die ab Geltung der Datenschutz-Grundverordnung ist zu erwarten, dass viele Streitfälle sich erst im Laufe der Zeit klären und bis zu verbindlichen Gerichtsentscheidungen noch einige Zeit vergeht. Insoweit besteht für Datenschutzbeauftragte die Gefahr, dass sich eine zunächst erteilte Einschätzung später als unzutreffend herausstellt, möglicherweise aufgrund neuer gerichtlicher oder behördlicher Entscheidungen. Das Verschulden mag in solchen Fällen gering sein, allerdings ist der Sorgfaltsmaßstab gerade für spezialisierte externe Berater bisher in Deutschland sehr hoch.
Einfacher ist die Haftungsfrage häufig dann zu beantworten, wenn der Datenschutzbeauftragte überhaupt nicht tätig geworden ist, obwohl er hätte tätig werden müssen. In diesem Fällen wird es aber darauf ankommen, ob der Datenschutzbeauftragte immerhin so informiert und in die Entscheidungswege einbezogen wurde, dass er hätte tätig werden können. Wenn der Datenschutzbeauftragte keine Anhaltspunkte für die Verletzung von datenschutzrechtlichen Bestimmungen hatte, ist es vielfach Ermessensfrage, inwieweit von dem Datenschutzbeauftragten verlangt werden konnte, sich selbst entsprechend zu informieren bzw. sein Unternehmen zu kontrollieren.
4.
Der Datenschutzbeauftragter als Haftungsrisiko oder Schutzschild ^
4.1.
Auswirkung auf die externe Verantwortlichkeit ^
4.2.
Praktische Relevanz eines Datenschutzbeauftragten ^
5.
Ausblick ^
6.
Literatur ^
Abel, Ralf, Der behördliche Datenschutzbeauftragte, MMR 2002, S. 289.
Albrecht, Jan Philipp, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, S. 88.
Bornemann, Dirk/Wetzel, Lennart, Die EU-Datenschutz-Grundverordnung in der Umsetzung: Eine Diskussion über Chancen und Herausforderungen, RDV 2016, S. 253.
Feiler, Lukas, Öffnungsklauseln in der Datenschutz-Grundverordnung – Regelungsspielraum des österreichischen Gesetzgebers, jusIT 2016, S. 210.
Gola, Peter/Piltz, Carlo, Die Datenschutz-Haftung nach geltendem und zukünftigem Recht – ein vergleichender Ausblick auf Art. 77 DS-GVO, RDV 2015, S. 279.
Gola, Peter/Schomerus, Rudolf, Bundesdatenschutzgesetz, 12. Aufl. 2015
Horn, Bernhard, Die neue Rolle des Datenschutzbeauftragten nach der DS-GVO, jusIT 2016, S. 195.
Jaspers, Andreas/Reif, Yvettte, Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung: Bestellpflicht, Rechtsstellung und Aufgaben, RDV 2016, S. 61.
Kreindl, Ricarda, Datenschutz-Grundverordnung ante portas: Vom Datenverarbeitungsregister zur Datenschutz-Folgeabschätzung, jusIT 2016, S. 153.
Lepperhoff, Niles, Dokumentationspflichten in der DS-GVO, RDV 2016, S. 197.
Marschall, Kevin, Strafrechtliche Haftungsrisiken des betrieblichen Datenschutzbeauftragten, ZD 2014, S. 66.
Piltz, Carlo, Die Datenschutz-Grundverordnung – Teil 3: Rechte und Pflichten des Verantwortlichen und Auftragsverarbeiters, K&R 2016, S. 709.
Plath, Kai-Uwe, Bundesdatenschutzgesetz, 2013.
Schantz, Peter, Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht, NJW 1016, S. 1841.
Simitis, Spiros, Bundesdatenschutzgesetz, 8. Auflage 2014.
Thode, Jan-Christoph, Die neuen Compliance-Pflichten nach der Datenschutz-Grundverordnung, CR 2016, S. 714.
- 1 Richtlinie 95/46/EG. ABl. L 1995/281, 31.
- 2 Schantz, NJW 2016, 1841.
- 3 Kreindl, jusIT 2016, 153, 154.
- 4 Gola/Schomerus, §4d Rn. 3; Simits, § 4f Rn. 5.
- 5 Verordnung (EU) 2016/679, ABl. L 2016/119, 1.
- 6 Albrecht, CR 2016, 88, 89; Bornemann/Wetzel, RDV 2016, 253, 254.
- 7 Plath-v.d.Bussche, § 4f Rn. 1; Gola/Schomerus, § 4f Rn. 3.
- 8 Gola/Schomerus, § 4f Rn. 4a.
- 9 Albrecht, CR 2016, 88, 94.
- 10 Jaspers/Reif, RDV 2016, 61.
- 11 Abel, MMR 2002, 289.
- 12 Der Begriff des Unternehmens ist in Abgrenzung zu öffentlichen Stellen im Sinne von Art. 4 Nr. 18 DS-GVO zu verstehen, was weitgehend einer nicht-öffentliche Stellen im Sinne von § 2 Abs. 4 BDSG entspricht. Zahlreiche Ausführungen lassen sich aber auch auf öffentliche Stellen übertragen.
- 13 Jaspers/Reif, RDV 2016, 61, 62; Horn, jusIT 2016, 195, 196.
- 14 Thode, CR 2016, 714, 717; Piltz, K&R 2016, 709, 717.
- 15 Jaspers/Reif, RDV 2016, 61, 62; Horn, jusIT 2016, 195, 196.
- 16 Jaspers/Reif, RDV 2016, 61, 62; vgl. allgemein zu den Öffnungsklauseln Feiler, jusIT 2016, 210.
- 17 Horn, jusIT 2016, 195.
- 18 Thode, CR 2016, 714, 717.
- 19 Horn, jusIT 2016, 195.
- 20 Article 29 Data Protection Working Party, Guidelines on Data Protection Officers, S. 5; Horn, jusIT 2016, 195.
- 21 Jaspers/Reif, RDV 2016, 61, 64.
- 22 Gola/Schomerus, § 4f Rn. 55.
- 23 Horn, jusIT 2016, 195, 200.
- 24 Plath-v.d.Bussche, § 4f Rn. 45.
- 25 Piltz, K&R 2016, 709, 716.
- 26 Gola/Schomerus, § 4g Rn. 2.
- 27 Horn, jusIT 2016, 195, 198.
- 28 Thode, CR 2016, 714, 718 geht davon aus, dass die Frage der «Garantenstellung» erst noch zu klären ist.
- 29 Piltz, K&R 2016, 709, 717.
- 30 Thode, CR 2016, 714, 716.
- 31 Gola/Piltz, RDV 2015, 279, 282.
- 32 Plath-v.d.Bussche, § 4g Rn. 54; Marschall, ZD 2014, 66 zur strafrechtlichen Verantwortlichkeit unter dem Bundesdatenschutzgesetz.
- 33 Gola/Schomerus, § 4g Rn. 32.
- 34 Horn, jusIT 2016, 195, 200.
- 35 Simitis, § 4g Rn. 100.
- 36 Gola/Schomerus, § 4g Rn 35; Simits, § 4g Rn 100.
- 37 Plath-v.d.Bussche, § 4g Rn. 50.
- 38 Gola/Schomerus, § 4g Rn 35.
- 39 Jaspers/Reif, RDV 2016, 61, 67.
- 40 Simitis, § 4f Rn. 192.
- 41 Lepperhoff, RDV 2016, 197.
- 42 Simitis, § 4g Rn. 113.