Nicht jedes Unternehmen, jede soziale Einrichtung oder Behörde muss automatisch eine Datenschutzbeauftragte / einen Datenschutzbeauftragten benennen. Wann dies der Fall ist, ergibt sich für die Mitgliedstaten der EU aus Art. 37 DSGVO. Nach Art. 37 Abs. 1 DSGVO:
Hat der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragten / einen Datenschutzbeauftragten auf jeden Fall zu benennen, wenn
• die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
• die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
• die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
Nach Art. 37 Abs. 4 DSGVO haben die Mitgliedstaaten der EU die Möglichkeit auf Grund eigener Vorschriften den Rahmen der Benennungspflicht zu erweitern. Der Gesetzgeber hat dies für Deutschland in § 38 BDSG getan.
Hiernach ist ergänzend zu Artikel 37 Abs. 1 Buchstabe b und c DSGVO eine Datenschutzbeauftragte / ein Datenschutzbeauftragter zu benennen, soweit in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen sind.
Darüber hinaus ist nach § 38 Abs. 1 BDSG unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragten / einen Datenschutzbeauftragten zu bennen, wenn der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen, oder wenn sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten. Diese Ergänzung im BDSG entspricht im Übrigen der bisherigen Gesetzeslage, wie wir sie bereits seit dem BDSG 2009 in Deutschland kennen.
Personenbezogene Daten sind nach der Legaldefinition in Art. 4 Nr. 1 DSGVO:
alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Alles was mit einem Menschen zu tun hat, wird regelmäßig von dieser Definition erfasst.
Besondere Fragestellungen tauchen in diesem Zusammenhang bei anonymisierten oder pseudonymisierten Daten auf, oder wenn es um die Frage geht, ob personenbezogenen Daten vorliegen, wenn nur irgendjemand einen Bezug herstellen kann, nicht jedoch der Verantwortliche selbst.
Hier ist zwischen den in der Person liegenden Gründen und den ausserhalb der Person liegenden Gründen zu unterscheiden.
Die DSGVO verlangt in diesem Zusamenhang, dass eine Datenschutzbeauftragte / ein Datenschutzbeauftragter auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 DSGVO genannten Aufgaben.
Der Berufsverband der Datenschutzbeauftragten (BVD e.V.) hat sich sehr viel Mühe gemacht diese Anforderungen im Detail herauszuarbeiten und zu beschreiben.
Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.
Es ist durch den Verantwortlichen oder der Auftragsverarbeiter jedoch sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen oder das solche Pflichten bestehen (z.B. wenn der eigene IT-Dienstleister oder der Hausanwalt diese Aufgabe mit übernimmt).
Verantwortlich für die Umsetzung des Datenschutzes im Unternehmen oder in der sozialen Einrichtung ist der oder die Verantwortliche im Sinne der DSGVO. In der Regel ist das das Unternehmen oder die soziale Einrichtung vertreten durch Ihren Vorstand oder die Geschäftsführung.
Eine Datenschutzbeauftragte / einen Datenschutzbeauftragten bestellt das Unternehmen oder eine soziale Einrichtung – abgesehen von dem Fall einer freiwilligen Bestellung – weil es gesetzlich dazu verpflichten ist.
Der Datenschutzbeauftragte hat in der DSGVO die folgenden Aufgaben zugewiesen bekommen:
• Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen Datenschutzvorschriften;
• Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
• Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
• Zusammenarbeit mit der Aufsichtsbehörde;
• Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen.
Zusammenfassend kann man sagen, dass der Datenschutzbeauftragte hauptsächlich einen Beratungs- und Überwachungsauftrag hat, auch wenn ihr oder ihm darüber hinaus durch den Verantwortlichen zusätzliche Aufgaben aufgetragen werden können.
Hinsichtlich des Umfangs der Datenschutzkontrollen bestehen in Unternehmen oder sozialen Einrichtungen häufig falsche Vorstellungen darüber, was ein Datenschutzbeauftragte in diesen Zusammenhang für Verpflichtungen hat.
Zunächst mal muss man sich darüber im Klaren sein, dass der Datenschutzbeauftragte eine zwar teilweise unabhängige, jedoch interne Stelle des Verantwortlichen ist. Er führt daher lediglich Datenschutzkontrollen und keine Audits im eigentlichen Sinne durch. Ein wesentliches Merkmal von Audits ist es nämlich, dass der Auditor vollständig unabhängig von der verantwortlichen Stelle ist.
Als zweiten Punkt muss man wissen, dass es die Aufgabe des Verantwortlichen ist, die Einhaltung des Datenschutzes sicherzustellen. Hierzu hat es seine Ablauf- und Aufbauorganisation so auszurichten, dass er diese Corporate Governance Funktion auch erfüllen kann. Der DSB ist neben einer Revision, Compliance und Risikomanagement und IT-Risikomanagement Organisation nur ein Baustein dieser Kontrolle und nur insoweit tätig, wie sich dies aus dem Gesetz ergibt. Natürlich besteht die Möglichkeit ihm in diesem Bereich zusätzliche Aufgaben zu übertragen, sofern er die Qualifikation dazu hat. Der Datenschutzbeauftragte ist aber keine Superrevision und übernimmt auch keine Garantieverantwortung. Der Datenschutzbeauftragte überwacht die Einhaltung des Datenschutzes des Verantwortlichen. Nach Art. 39 Ans. 1 Lit. b) DSGVO geht es hierbei vor allem darum, ob entsprechende Umsetzungsstrategie („Strategien“) und organisatorische Regelungen vorhanden sind bzw. ob Schulungen durch den Verantwortlichen durchgeführt werden. Weitergehende Überwachungspflichten ergeben sich erst dann, wenn anlassbezogene Kontrollen notwendig werden. Wie weit solche Strategien intern auch immer umgesetzt werden, muss der Datenschutzbeauftragte nur bedingt prüfen.