Das deutsche Datenschutzrecht kennt den Datenschutzbeauftragten bereits seit 1977. In Europa etabliert wurde der Datenschutzbeauftragte mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018. Die Voraussetzungen, unter denen ein Datenschutzbeauftragter bestellt werden muss, sind in Artikeln 37 bis 39 DSGVO und, aus deutscher Sicht, außerdem in § 5 (für öffentliche Stellen) und § 38 Bundesdatenschutzgesetz (BDSG) festgehalten.
Rechtsanwalt Sendler: „Nach den Regelungen in der DSGVO ist die Benennung eines Datenschutzbeauftragten für öffentliche Stellen verpflichtend. Private Verantwortliche, also natürliche oder juristische Personen, sind dagegen nach der DSGVO nur unter eher vagen Voraussetzungen (Art. 37 Abs. 1 DSGVO) hierzu verpflichtet. Das deutsche Datenschutzgesetz hat in § 38 BDSG die Pflicht zur Benennung eines Datenschutzbeauftragten insbesondere für den Fall angeordnet, dass die verantwortliche Stelle (oder der Auftragsverarbeiter) in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Das kann zur Folge haben, dass z.B. größere Arztpraxen oder Steuerberaterkanzleien einen Datenschutzbeauftragten benennen müssen.“
Interner oder externer Datenschutzbeauftragter?
Nach Art. 37 Abs. 6 DSGVO steht es der verantwortlichen Stelle frei, ob sie einen internen Datenschutzbeauftragten aus der eigenen Belegschaft oder einen externen Datenschutzbeauftragten auf der Grundlage eines Dienstvertrages benennt. Viele Unternehmen entscheiden sich für einen externen Datenschutzbeauftragten aus folgenden Erwägungen:
Rechtsanwalt Sendler: „Der interne Datenschutzbeauftragte genießt, wenn seine Benennung gesetzlich verpflichtend gewesen ist, besonderen arbeitsrechtlichen Kündigungsschutz. Seine Abberufung ist nur bei Vorliegen der Voraussetzungen für eine fristlose Kündigung zulässig, ebenso die Kündigung seines Arbeitsverhältnisses. Demgegenüber kann der Verantwortliche den Dienstvertrag mit einem externen Datenschutzbeauftragten ohne besondere Gründe innerhalb der vertraglich vereinbarten Fristen beenden. Deshalb ist die Benennung eines externen Dienstleisters als Datenschutzbeauftragter mit mehr Flexibilität für das Unternehmen verbunden.“
Manche Unternehmen bzw. Verantwortliche beauftragen einen externen betrieblichen Datenschutzbeauftragten, ohne hierzu gesetzlich verpflichtet zu sein. Dies geschieht häufig aus Imagegründen, um nach außen hin dokumentieren zu können, dass man im Datenschutz compliant ist.
Externe betriebliche Datenschutzbeauftragte gelten nach Auffassung des Bundesfinanzhofes als Gewerbetreibende. Dies gilt auch dann, wenn sie – hauptberuflich – z.B. als freiberufliche Rechtsanwälte, Ingenieure usw. tätig sind.
Rechtsanwalt Sendler: „Die betroffenen Freiberufler müssen also darauf achten, dass sie ihre freiberufliche Tätigkeit inhaltlich und buchhalterisch strikt von der Tätigkeit als externer betrieblicher Datenschutzbeauftragter trennen. So wird verhindert, dass die Einkünfte aus der (gewerblichen) Tätigkeit als externer Datenschutzbeauftragter die Einkünfte aus freiberuflicher Tätigkeit infizieren.“
Nach Auffassung des Europäischen Datenschutzausschusses (EDSA) können auch juristische Personen (wie beispielsweise eine GmbH) zum externen betrieblichen Datenschutzbeauftragten benannt werden. Dies setzt voraus, dass jedes Mitglied, das die Funktion des Datenschutzbeauftragten wahrnimmt, sämtliche der in Artt. 37 ff. DSGVO genannten Voraussetzungen erfüllt.
Rechtsanwalt Sendler: „Da noch viele Aufsichtsbehörden die Benennung von juristischen Personen nach wie vor ablehnen, hat sich in der Praxis die Handhabung etabliert, dass Unternehmen, die Leistungen im Bereich Datenschutz anbieten, eine natürliche Person als externen Datenschutzbeauftragten (z.B. aus der Geschäftsführung) benennen.“
Qualifikation eines Datenschutzbeauftragten
Trotz der mittlerweile sechsjährigen Geltung der DSGVO gibt es nach wie vor keine klar definierten und einheitlichen Anforderungen, die an die Qualifikation für die Ausübung der Tätigkeit als (externer oder interner) Datenschutzbeauftragter gestellt werden. Verantwortliche und Auftragsverarbeiter müssen daher nach eigenem Gutdünken entscheiden, wessen Fachkunde und Qualifikation sie als ausreichend erachten, die individuellen Bedürfnisse der verantwortlichen Stelle zu erfüllen.
Rechtsanwalt Sendler: „Dies ist umso ärgerlicher vor dem Hintergrund, dass ein Verstoß gegen die in Art. 37 Abs. 5 DSGVO geforderte berufliche Qualifikation und das Fachwissen des Datenschutzbeauftragten mit einem Bußgeld geahndet werden kann.“
Gemäß Art. 37 Abs. 2 DSGVO kann eine Unternehmensgruppe (Konzern) einen gemeinsamen Datenschutzbeauftragten benennen. Der Verantwortliche oder der Auftragsverarbeiter müssen die Kontaktdaten des Datenschutzbeauftragten veröffentlichen und diese der Aufsichtsbehörde melden. Praktischerweise werden die Kontaktdaten auf der Website in der Datenschutzerklärung veröffentlicht, gegebenenfalls im Impressum. Für die Meldung an die Datenschutzbehörde bieten diese in der Regel durch Formulare den einfachen Weg der Online-Meldung.
Interessenkonflikte bei internen Datenschutzbeauftragten
Nach Art. 38 Abs. 3 DSGVO müssen der Verantwortliche bzw. der Auftragsverarbeiter sicherstellen, dass der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt wird. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters und unterliegt keinen Weisungen bezüglich der Ausübung seiner Aufgaben. Gemäß Art. 38 Abs. 6 DSGVO kann der Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche bzw. der Auftragsverarbeiter haben jedoch zu gewährleisten, dass solche Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
Rechtsanwalt Sendler: „Ein solcher Interessenkonflikt entsteht beispielsweise, wenn die übrigen Aufgaben des Datenschutzbeauftragten in der Optimierung der Datenverarbeitung bestehen. Das wäre etwa der Fall, wenn er für die betriebswirtschaftliche Optimierung der Prozesse im Unternehmen über die Erarbeitung eines Sicherheitskonzeptes zuständig wäre. Gerade leitende Personen werden im Hinblick auf ihre wirtschaftlichen oder fachlichen Zielvorgaben widerstreitenden Interessen ausgesetzt, die nicht mit den Beratungs- und Überwachungsaufgaben eines Datenschutzbeauftragten in Einklang zu bringen sind. Aus diesen Gründen ist allgemein anerkannt, dass die Geschäftsführung des Unternehmens, aber auch Leiter der IT-, Marketing- oder Personalabteilung oder Vertriebsleiter als Datenschutzbeauftragte ausscheiden. Denn sie müssten sich sonst regelmäßig selbst kontrollieren und somit würde sozusagen der Bock zum Gärtner gemacht.“
Das Bundesarbeitsgericht hat inzwischen klargestellt (vergleiche Urteil vom 6. Juni 2023 – 9 AZR 383/19), dass die Kombination der Position des Datenschutzbeauftragten mit derjenigen des Betriebsratsvorsitzenden zu einem Interessenkonflikt führt. Bestellte Arbeitnehmer dürfen innerhalb der verantwortlichen Stelle keine Position bekleiden, die eine Festlegung von Zwecken und Mittel der Verarbeitung personenbezogener Daten zum Gegenstand hat.
Zu den Aufgaben des Datenschutzbeauftragten gehören gemäß Art. 39 DSGVO die Beratung und Unterrichtung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Datenverarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO. Außerdem obliegen dem Datenschutzbeauftragten die Überwachung und Einhaltung der sich aus der DSGVO ergebenden Pflichten und die Schulung und Beratung der Mitarbeitenden sowie die Zusammenarbeit mit der Aufsichtsbehörde. Und nicht zuletzt ist der Datenschutzbeauftragte gemäß Art. 38 Abs. 5 zur Verschwiegenheit verpflichtet und kann daher von den Beschäftigten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und zur Wahrnehmung anderer Rechte zurate gezogen werden.
Rechtsanwalt Sendler: „Der betriebliche Datenschutzbeauftragte hat also einen weitreichenden Aufgabenkreis, sodass der Verantwortliche bei der Benennung sorgfältig die fachliche Eignung und sonstige Qualifikation der in Betracht kommenden Personen prüfen sollte.“
