Datenschutzbeauftragte in Unternehmen
Antworten auf häufig gestellte Fragen
- Darf die für interne Prüfungen zuständige Revision eines Unternehmens Datenschutzbeauftragte prüfen?
- Besteht eine Verantwortlichkeit von DSB aus einer sogenannten Garantenstellung bei der Erfüllung ihrer Aufgaben nach Artikel 39 Absatz 1 DS-GVO? Wenn ja, ist diese straf- oder bußgeldbewehrt?
- Sollten sich DSB eines Unternehmens vom Verantwortlichen eine sogenannte Haftungsfreistellungserklärung geben lassen?
- Besteht bei einem Verstoß gegen die DS-GVO ein möglicher Schadensersatzanspruch Dritter direkt gegen die oder den DSB?
- Sind die Kontaktdaten der oder des DSB einer Unternehmensgruppe, die eine/-n gemeinsame/-n DSB benannt haben, nur bei der für die Hauptniederlassung zuständigen Aufsichtsbehörde zu melden oder muss die/der DSB auch den Aufsichtsbehörden am Sitz der jeweiligen Niederlassungen gemeldet werden?
- Können DSB in Personalunion Aufgaben eines oder einer Informationssicherheitsbeauftragten (ISB) wahrnehmen?
Ein Einsichtsrecht in die Unterlagen oder in den E-Mail-Verkehr von Datenschutzbeauftragten (DSB) besteht für die Revision eines Unternehmens nicht.
Gemäß Artikel 38 Absatz 5 Datenschutz-Grundverordnung (DS-GVO) sind DSB nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung ihrer Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden. Besondere Rechtsvorschriften, die eine Offenlegung der Akten der DSB gegenüber der Revision erlauben (Einsichtsrecht) oder einschränkende Regelungen zur Geheimhaltungspflicht von DSB enthalten, sind der Landesbeauftragten für den Datenschutz (LfD) nicht bekannt.
DSB sollten der Revision auch kein Einsichtsrecht gewähren, da dies strafbewehrt ist: Bei unbefugter Offenlegung von Daten, welche DSB verarbeiten, kommt § 203 Absatz 4 Strafgesetzbuch (Verletzung von Privatgeheimnissen) zum Tragen.
Ein Kontrollrecht der Revision beschränkt sich
- auf weitere Aufgaben, die von DSB neben den ihnen nach Artikel 39 DS-GVO obliegenden Aufgaben und Pflichten wahrgenommen werden, siehe hierzu auch Artikel 38 Absatz 6 DS-GVO;
- auf die Prüfung, ob die DSB nach Artikel 39 DS-GVO obliegenden Aufgaben tatsächlich wahrgenommen werden (Überprüfung der Handlungspflicht): In der Ausübung der fachlichen Tätigkeit als Datenschutzbeauftragte sind DSB bei der Erfüllung ihrer Aufgaben gemäß Artikel 38 Absatz 3 Satz 1 DS-GVO weisungsfrei. Nach Erwägungsgrund (EG) 97 sollten DSB, unabhängig davon, ob es sich bei Ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in „vollständiger Unabhängigkeit“ ausüben können. Die in der DS-GVO verankerte „Weisungsfreiheit“ bedeutet, dass DSB nach eigenem Ermessen entscheiden können, wie, wann und wo sie die ihnen nach Artikel 39 DS-GVO obliegenden Aufgaben wahrnehmen. Anweisungen des Verantwortlichen oder von sonstigen Stellen, wie zum Beispiel der Revision, zur Aufgabenerfüllung sind unzulässig. Die für den Verantwortlichen tätige Revision kann allerdings von DSB Nachweise für die Erfüllung ihrer Aufgaben fordern. Zum Beispiel könnte zum Nachweis die Vorlage eines „Tätigkeitsberichts“ gefordert werden.
- auf die Einhaltung arbeitsrechtlicher Vorgaben für DSB, wie zum Beispiel auf die Einhaltung von Arbeitszeitregelungen oder zur Vorlage von Arbeitsunfähigkeitsbescheinigungen.
Zudem ist bei der Umsetzung des Kontrollrechts der in Artikel 5 Absatz 1 Buchstabe c DS-GVO verankerte Grundsatz der Datenminimierung von der Revision stets zu beachten.
2. Besteht eine Verantwortlichkeit von DSB aus einer sogenannten Garantenstellung bei der Erfüllung ihrer Aufgaben nach Artikel 39 Absatz 1 DS-GVO? Wenn ja, ist diese straf- oder bußgeldbewehrt?
Nein.
Allein aus den „Überwachungs- und Beratungsaufgaben“, die DSB nach Artikel 39 Absatz 1 DS-GVO obliegen, eine Garantenstellung zu folgern, stünde in einem unangemessenen Verhältnis zu der in Artikel 38 DS-GVO beschriebenen Stellung von DSB.
Die Verantwortlichkeit zur Umsetzung der DS-GVO und zur Einhaltung datenschutzrechtlicher Vorgaben liegt nach der DS-GVO allein beim Verantwortlichen im Sinne von Artikel 4 Nummer 7 DS-GVO beziehungsweise beim Auftragsverarbeiter im Sinne von Artikel 4 Nummer 8 DS-GVO und nicht bei den DSB. Allein schon deshalb, weil die DSB nicht über die Rechte verfügen, die Beseitigung von erkannten Datenschutzdefiziten zu veranlassen. Nach der DS-GVO verfügen DSB weder über Weisungs- noch über Anordnungsbefugnisse. Von DSB erkannte Defizite im Datenschutz können daher von diesen nicht unterbunden werden, da dies nicht zu den nach Artikel 39 DS-GVO zugewiesenen Aufgaben zählt.
Bei der Benennung von sogenannten externen DSB kommt eine zivilrechtliche Haftung der oder des DSB gegenüber dem Verantwortlichen oder dem Auftragsverarbeiter bei einer Verletzung des Dienstleistungs- oder Geschäftsbesorgungsvertrages (siehe Artikel 37 Absatz 6 DS-GVO, § 675 In Verbindung mit § 280 folgende des Bürgerlichen Gesetzbuches – BGB) in Betracht.
Daher möchten Dienstleister, die ihre Dienste als externe DSB anbieten, gerne sogenannte Haftungsfreistellungserklärungen in den Dienstleistungs- oder Geschäftsbesorgungsvertrag aufnehmen.
Die Pflichten von externen DSB richten sich stets nach den vertraglichen Festlegungen zu den wahrzunehmenden Beratungs- und Kontrollaufgaben. Aus einer Pflichtverletzung könnten sich Schadensersatzansprüche des Verantwortlichen oder des Auftragsverarbeiters gegenüber den DSB ergeben.
Die Entscheidung, ob dem Wunsch nach einer vertraglich geregelten Haftungsfreistellungserklärung entsprochen wird, liegt allein beim Verantwortlichen oder Auftragsverarbeiter. Hierzu gibt es keine Vorgaben in der DS-GVO oder in anderen datenschutzrechtlichen Vorschriften.
Ein Abschluss entsprechender vertraglicher Regelungen ist für interne Beschäftigte des Unternehmens, die zur oder zum DSB benannt worden sind, nicht notwendig. Allerdings sind in diesen Fällen – wie bisher auch – die Grundsätze der beschränkten Arbeitnehmerhaftung zu beachten. Danach ist ein betrieblich veranlasstes Schadensrisiko – je nach Fallgestaltung – zunächst vom Verantwortlichen oder vom Auftragsverarbeiter zu tragen. Dieses kann – nach der Rechtsprechung in einer nach dem Grad der Fahrlässigkeit abgestuften Form – vom Verantwortlichen oder Auftragsverarbeiter bei Schadenseintritt als „Regressforderung“ an die oder den DSB weitergegeben werden.
Grundsätzlich nicht.
Haftung und Recht auf Schadenersatz richten sich nach Artikel 82 Absatz 1 DS-GVO ausschließlich gegen den Verantwortlichen im Sinne von Artikel 4 Nummer 7 DS-GVO oder gegen den Auftragsverarbeiter im Sinne von Artikel 4 Nummer 8 DS-GVO, nicht gegen (interne) DSB.
Aber: Verstoßen DSB gegen die ihnen obliegenden Pflichten, zum Beispiel gegen die Geheimhaltungspflicht aus Artikel 38 Absatz 5 DS-GVO, könnte auch § 823 BGB zum Tragen kommen.
Die Verantwortlichen aller zur Unternehmensgruppe gehörenden Unternehmen haben der für ihr jeweiliges Unternehmen zuständigen Datenschutz-Aufsichtsbehörde, deren Zuständigkeit sich nach dem Sitz des jeweiligen Unternehmens bestimmt, nach Artikel 37 Absatz 7 DS-GVO die oder den für das Unternehmen zuständige/-n DSB zu melden.
Bei den Unternehmen/Niederlassungen, bei denen die/der benannte DSB nicht beschäftigt ist, muss sie/er als „externe/-r“ DSB gemeldet werden.
In Niedersachsen erfolgt diese Meldung über das DSB-Online-Meldeportal. Weitere Informationen hierzu finden Sie hier.
Verantwortliche müssen den Grundsatz der Transparenz nach Artikel 5 Absatz 1 Buchstabe a DS-GVO beachten. Hierauf bezieht sich auch die in Artikel 37 Absatz 7 DS-GVO geforderte Veröffentlichung der Kontaktdaten von DSB. Diese Maßnahme soll sowohl allen Betroffenen als auch den Datenschutz-Aufsichtsbehörden die Kontaktaufnahme erleichtern. Dies zum Beispiel bei Beratungsanfragen von Betroffenen, siehe Artikel 38 Absatz 4 DS-GVO, oder bei der Zusammenarbeit mit den Datenschutz-Aufsichtsbehörden, siehe Artikel 39 Absatz 1 Buchstabe d und Buchstabe e DS-GVO.
Nach der DS-GVO obliegt es dem Verantwortlichen im Sinne von Artikel 4 Nummer 7 DS-GVO, bereits vor der Benennung von DSB mögliche Interessenkollisionen zu prüfen und dies nach Artikel 5 Absatz 2 DS-GVO zu dokumentieren sowie gegebenenfalls geeignete Maßnahmen zu ergreifen, um diese zu verhindern.
Die Frage zu einer möglichen Personalunion von DSB und ISB wird sowohl in den Kommentaren zur DS-GVO als auch von den Aufsichtsbehörden kontrovers beurteilt. Aktuell wird von der LfD Niedersachsen folgende Rechtsauffassung vertreten: Eine enge Zusammenarbeit zwischen DSB und ISB wird stets als förderlich und erforderlich angesehen. Dem Verantwortlichen wird empfohlen, im Hinblick auf mögliche Interessenkollisionen die Benennung von DSB und ISB in Personalunion zu vermeiden.
Eine gleichzeitige Ausübung beider Aufgaben in Personalunion wird allerdings nicht pauschal für unzulässig erklärt. Es bedarf stets der Betrachtung im Einzelfall. Dabei hat der Verantwortliche zu beachten, dass für eine ordnungsgemäße Wahrnehmung beider Aufgaben die notwendigen zeitlichen Ressourcen für die jeweiligen Funktionen zur Verfügung stehen müssen.
Sofern der Verantwortliche die Wahrnehmung der Aufgaben von ISB und DSB in Personalunion für erforderlich hält, sollte vor der Benennung zumindest Folgendes festgelegt werden:
- Die Aufgaben und Schnittstellen beider Rollen sowie die Vorbehalte bei möglichen Interessenkollisionen sind klar zu definieren und – im Rahmen der Rechenschaftspflicht nach Artikel 5 Absatz 2 DS-GVO – zu dokumentieren;
- eventuelle Zielkonflikte, die durch die Wahrnehmung der beiden unterschiedlichen Rollen durch eine Person (Beratung, Überwachung) entstehen können, sind stets dem Verantwortlichen zur Entscheidung vorzulegen;
- konfliktträchtige Themen sollten zusätzlich nachrichtlich der Revision oder sonstigen Gremien oder Personen mit Überwachungsaufgaben gemeldet werden;
- es bedarf geeigneter Vertretungsregelungen.
Stand: Februar 2021
FAQ als PDF-Download.