Gemäß Art. 38 Abs. 6 DS-GVO ist es gestattet, dass der Datenschutzbeauftragte grundsätzlich weitere Aufgaben und Pflichten wahrnehmen kann. Eine Grenze dieser Möglichkeit ist jedoch spätestens dann erreicht, wenn solche Aufgaben und Pflichten zu einem Interessenskonflikt des Datenschutzbeauftragten führen. Aus einem Beschluss der italienischen Datenschutz-Aufsichtsbehörde Garante per la Protezione dei Dati Personali aus April 2025 geht nun hervor, dass ein solcher Interessenskonflikt des Datenschutzbeauftragten beispielsweise dann besteht, wenn dieser datenschutzrechtliche Dokumente nicht nur prüft, sondern auch selbst erstellt.

Aufgaben des Datenschutzbeauftragten und des Verantwortlichen

Unter Berücksichtigung des Art. 39 Abs. 1 DS-GVO obliegen dem Datenschutzbeauftragten insbesondere die Unterrichtung und Beratung hinsichtlich datenschutzrechtlicher Pflichten, die Überwachung der Einhaltung datenschutzrechtlicher Anforderungen sowie die Tätigkeit als Kommunikationsschnittstelle mit der jeweiligen Datenschutz-Aufsichtsbehörde. Dem Datenschutzbeauftragten kommt demnach ausschließlich eine unterstützende Aufgabe zu.

Die operative Umsetzung des Datenschutzes ist entsprechend Aufgabe des jeweiligen Verantwortlichen. Dies wird beispielsweise aus den einschlägigen Normen zur Umsetzung eines Datenschutzmanagements (Art. 24 Abs. 1 DS-GVO: „Der Verantwortliche setzt […] um […].“), zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 Abs. 1 DS-GVO: „Jeder Verantwortliche und gegebenenfalls sein Vertreter führen […].“) oder zur Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 Abs. 1 DS-GVO: „[…] so führt der Verantwortliche […].“)deutlich. In Bezug auf die Datenschutz-Folgenabschätzung tritt die Aufgabentrennung auch noch einmal durch Art. 35 Abs. 2 DS-GVO hervor. Demnach holt der Verantwortliche bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten ein, sofern ein solcher benannt wurde.

Durch die dargestellte Verteilung der Aufgaben soll eine wirksame Eigenkontrolle ermöglicht werden, sodass Organisationen in die Lage versetzt werden, effektive Maßnahmen zur Gewährleistung des Datenschutzes zu etablieren und deren Wirksamkeit selbstständig zu prüfen.

Interessenskonflikt bei fehlender Trennung

Dass eine unzureichende Trennung beider Aufgabenfelder zu einem Interessenskonflikt des Datenschutzbeauftragten führen kann, zeigt ein Fall aus Italien. Dort bemängelte die hiesige Datenschutz-Aufsichtsbehörde die Tätigkeit des Datenschutzbeauftragten, als dieser im Rahmen der Einführung eines KI-basierten Systems als Autor einer Datenschutz-Folgenabschätzung auftrat. Die Aufsichtsbehörde sah hierin einen Interessenskonflikt gegeben, da:

• der Datenschutzbeauftragte bei der Durchführung einer Datenschutz-Folgenabschätzung eine unabhängige Beratungsfunktion innehat, Art. 35 Abs. 2 DS-GVO, Art. 39 Abs. 1 lit. c) DS-GVO;

• eine ausreichende Unabhängigkeit des Datenschutzbeauftragten nicht mehr gegeben ist, wenn dieser selbst als Verfasser der Datenschutz-Folgenabschätzung tätig wird;

• die erforderliche Trennung zwischen der Beratungsfunktion des Datenschutzbeauftragten und der Umsetzungsverantwortung des Verantwortlichen nicht gegeben ist.

Der Datenschutzbeauftragte stand somit faktisch auf zwei Seiten zugleich: Er entschied als Autor der Datenschutz-Folgenabschätzung über Risiko und erforderliche Maßnahmen und hätte gleichzeitig die Angemessenheit dieser Entscheidungen überwachen sollen – ein unauflösbarer Widerspruch. Die Folge: Die italienische Aufsichtsbehörde erkannte hierin einen Verstoß gegen Art. 38 Abs. 6 DS-GVO und verhängte ein entsprechendes Bußgeld. Auch wenn dieses Bußgeld mit 9.000 Euro relativ gering ausfiel, kommt der grundsätzlichen Aussage der Entscheidung eine wesentliche Bedeutung zu.

Fazit

Interessenkonflikte lassen sich vermeiden, wenn Organisationen klare Zuständigkeiten festlegen und die Aufgaben des Datenschutzbeauftragten strikt von operativen Tätigkeiten trennen. Der Datenschutzbeauftragte sollte keine Entscheidungsbefugnisse über Datenverarbeitungen haben, die er später selbst prüfen muss. Dokumentationspflichten wie Verzeichnisse der Verarbeitungstätigkeiten oder Datenschutz-Folgenabschätzungen sind von den jeweiligen Fachbereichen zu erstellen; der Datenschutzbeauftragte darf nur beratend und prüfend unterstützen.

Bei kleinen Organisationen kann die Bestellung eines externen Datenschutzbeauftragten helfen, Interessenkonflikte zu vermeiden – entscheidend ist die tatsächliche Unabhängigkeit. Regelmäßige Überprüfungen der Aufgabenverteilung, insbesondere nach organisatorischen Änderungen, sind empfehlenswert. Insgesamt gilt: Der Datenschutzbeauftragte soll beraten und kontrollieren, nicht selbst handeln. Nur eine klare Trennung von Verantwortung und Kontrolle sichert Unabhängigkeit, vermeidet Bußgelder und stärkt das Vertrauen in die Datenschutzorganisation.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Aus einem aktuellen Sondierungspapier vom 8. März 2025 von CDU, CSU und SPD ist unter der Überschrift Bürokratie rückbauen zu entnehmen, dass die Parteien planen, künftig „die Zahl der gesetzlich vorgeschriebenen Betriebsbeauftragten signifikant reduzieren“ zu wollen. Auch wenn hierbei die betreffenden Beauftragten (noch) nicht näher bezeichnet werden, ist ziemlich sicher davon auszugehen, dass hiervon auch die Regelungen in Bezug auf den (betrieblichen) Datenschutzbeauftragten betroffen sein werden. Schließlich wird bereits seit längerem darüber diskutiert, die bisherige Benennungsgrenze anzuheben oder die – ergänzend zur DS-GVO bestehende – nationale Regelung gänzlich abzuschaffen. Der nachfolgende Blog-Beitrag gibt einen Überblick über die derzeitige Rechtslage und potenzielle künftige Änderungen.

Derzeitige Rechtslage

Grundsätzlich wird in Art. 37 Abs. 1 DS-GVO geregelt, in welchen konkreten Fällen die Benennung eines Datenschutzbeauftragten verpflichtend ist. Hierzu zählen ausschließlich (a) Datenverarbeitungen durch Behörden oder öffentliche Stellen, mit Ausnahme von Gerichten im Rahmen ihrer justiziellen Tätigkeiten, (b) Kerntätigkeiten in der Durchführung von Datenverarbeitungen, welche eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (z. B. Auskunfteien, Anbieter von Fitness-Apps, Detekteien) sowie (c) Kerntätigkeiten in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DS-GVO, z. B. Altersheime, Arztpraxen, Krankenhäuser) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DS-GVO, z. B. Anwaltskanzleien mit Bezug zum Strafrecht).

Ergänzend zu diesen Regelungen im Rahmen der DS-GVO wird in der nationalen Vorschrift des § 38 Abs. 1 BDSG geregelt, unter welchen weiteren Voraussetzungen die Benennung eines (betrieblichen) Datenschutzbeauftragten verpflichtend ist. In Satz 1 heißt es: „Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 [DS-GVO, Anm. d. Autors] benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“ Eine solche automatisierte Verarbeitung personenbezogener Daten liegt in der Regel bereits dann schon vor, wenn die betreffenden Beschäftigten im Rahmen ihrer Tätigkeiten über einen E-Mail-Zugang verfügen.

Unabhängig von der konkreten Zahl der Beschäftigten heißt es in Satz 2 weiter: „Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“ Wann eine solche Datenschutz-Folgenabschätzung regelmäßig durchzuführen ist, ergibt sich beispielsweise durch eine Auflistung der Datenschutzkonferenz.

Hauptsächlich die Regelung des § 38 Abs. 1 Satz 1 BDSG sorgt dafür, dass eine Vielzahl von Unternehmen und Vereinen in Deutschland zur Benennung eines betrieblichen Datenschutzbeauftragten verpflichtet sind.

Mögliche Umsetzungsvarianten

Eine Anpassung der Rechtslage zur verpflichtenden Benennung von Datenschutzbeauftragten ist durch die neue Bundesregierung auch ausschließlich in Bezug auf die nationale Regelung des § 38 BDSG – also insbesondere in Bezug auf die Beschäftigtenzahl – möglich. Diesbezüglich ergeben sich grundsätzlich zwei mögliche Varianten:

• Anhebung des Schwellwertes: In der Vergangenheit wurde bereits des Öfteren über eine Anhebung des derzeitigen Schwellwertes diskutiert. Nachdem bereits im Jahr 2019 die ursprüngliche Grenze von zehn Beschäftigten auf 20 Beschäftigten angehoben wurde, wären 50, 100 oder 250 Beschäftigte eine nächste mögliche Stufe. Auch bereits eine solche Anhebung würde dazu führen, dass die Zahl der zur Benennung eines betrieblichen Datenschutzbeauftragten verpflichteten Stellen signifikant sinken würde.

• Streichung der Regelung: Weiterhin wäre auch eine komplette Streichung der Regelung des § 38 BDSG möglich. In diesem Falle würden zukünftig ausschließlich die Regelungen des oben dargestellten Art. 37 Abs. 1 DS-GVO greifen. Infolgedessen wären zukünftig wohl die wenigsten Organisationen zur Benennung eines betrieblichen Datenschutzbeauftragten verpflichtet.

Derzeit ist noch unklar, welche konkreten Änderungen uns bevorstehen und ob sich eher die Forderungen der SPD (in der Vergangenheit: Anhebung des Schwellwertes) oder der CDU/CSU (in der Vergangenheit: Streichung des § 38 BDSG) durchsetzen werden. Die freiwillige Benennung eines betrieblichen Datenschutzbeauftragten wird aller Voraussicht nach jedoch auch in Zukunft möglich sein.

Weniger Datenschutzbeauftragte ≠ weniger Bürokratie

In diesem Zusammenhang wird jedoch regelmäßig verkannt, dass die Benennung eines Datenschutzbeauftragten auch Erleichterungen mit sich bringen kann. Schließlich ist es gemäß Art. 39 Abs. 1 DS-GVO Aufgabe eines jeden Datenschutzbeauftragten, Verantwortliche und Auftragsverarbeiter hinsichtlich ihrer Pflichten nach der Datenschutz-Grundverordnung zu beraten und zu unterrichten. Weiterhin kann der Datenschutzbeauftragte im Rahmen interner Prüfungen Abweichungen von gesetzlichen Anforderungen feststellen und etwaige Korrekturmaßnahmen empfehlen, noch bevor datenschutzrechtliche Verstöße den betroffenen Personen oder Aufsichtsbehörden zur Kenntnis gelangen und negative Folgen für den Verantwortlichen nach sich ziehen. Der Datenschutzbeauftragte ist Wissensträger und Unterstützer zugleich – kein Bürokratiemonster.

Zudem ist anzumerken, dass die vielschichtigen Verpflichtungen aus den datenschutzrechtlichen Normen stets den Verantwortlichen, also das Unternehmen, den Verein oder die Behörde adressieren und gerade nicht den Datenschutzbeauftragten. Eine Erhöhung des Schwellwertes oder gänzliche Abschaffung der Benennungspflicht führt also gerade nicht zu einer Entbürokratisierung, sondern vielmehr zu einem Schwund an Know-how. Der Verantwortliche muss die datenschutzrechtlichen Anforderungen dann eben ohne Unterstützung des Datenschutzbeauftragten – mehr oder weniger – erfolgreich umsetzen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Gemäß Art. 38 Abs. 5 DS-GVO ist der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden. Doch was bedeutet das konkret? Unterliegt der Datenschutzbeauftragte demnach grundsätzlich einem Berufsgeheimnis? Welche Auswirkungen ergeben sich für die Praxis? Dies erläutern wir überblicksartig im nachfolgenden Beitrag.

Vertraulichkeit des Datenschutzbeauftragten

Die Regelung zur Vertraulichkeit des Datenschutzbeauftragten im Rahmen seiner Aufgaben gemäß Art. 38 Abs. 5 DS-GVO bemisst sich grundsätzlich nach dem Recht der Europäischen Union oder des jeweiligen Mitgliedsstaates. Insofern stellt die DS-GVO keine eigenen Vertraulichkeitsverpflichtungen auf, sondern verweist auf bereits bestehende unionsrechtliche und nationale Vorschriften. In Bezug auf den Datenschutzbeauftragten ergeben sich solche beispielsweise aus §§ 6 Abs. 5 Satz 2 und 38 Abs. 2 Bundesdatenschutzgesetz (BDSG).

Demnach bezieht sich die Vertraulichkeitsverpflichtung des Datenschutzbeauftragten auf die Identität von Betroffenen sowie über die näheren Umstände, die Rückschlüsse auf die Identität der Betroffenen zulassen. Diese Regelung steht demnach im unmittelbaren Zusammenhang mit Art. 38 Abs. 4 DS-GVO beziehungsweise § 6 Abs. 5 Satz 1 BDSG, wonach sich Betroffene zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung der Betroffenenrechte im Zusammenhang stehenden Fragen unmittelbar an den Datenschutzbeauftragten wenden können.

Die Regelung zielt damit beispielsweise auf den Schutz von Beschäftigten ab, die ohne eine entsprechende Vertraulichkeitsverpflichtung des Datenschutzbeauftragen womöglich ihren Arbeitsplatz betreffende Nachteile befürchten und somit von einer Kontaktaufnahme mit dem Datenschutzbeauftragten absehen könnten. Die Möglichkeit zur vertraulichen Kontaktaufnahme steht somit auch im Interesse des Verantwortlichen. Schließlich ermöglicht es Betroffenen beispielsweise die Eingabe von Missständen oder die Klärung von Rückfragen direkt gegenüber einer internen Stelle und zahlt entsprechend auf die Pflicht zur effektiven Überwachung und Einhaltung der datenschutzrechtlichen Anforderungen ein. Bestünde für Betroffene eine solche vertrauliche Anlaufstelle nicht, würden diese vermutlich vermehrt die vertrauliche Kontaktaufnahme bei der zuständigen Datenschutz-Aufsichtsbehörde in Anspruch nehmen.

Datenschutzbeauftragte und Berufsgeheimnisträger

Trotz der bestehenden Vertraulichkeitsverpflichtung ist der Datenschutzbeauftragte jedoch grundsätzlich selbst kein Berufsgeheimnisträger im Sinne des § 203 Strafgesetzbuch (StGB). Sofern der Datenschutzbeauftragte allerdings für eine der in § 203 Abs. 1, 2 StGB genannten Personen (z. B. Arzt, Apotheker, Rechtsanwalt, Notar, Sozialarbeiter) tätig ist, kann die Offenbarung von Geheimnissen, die sich aus dieser Tätigkeit ergeben haben, mit einer Freiheitsstrafe bis zu einem Jahr oder mit einer Geldstrafe bestraft werden. Dies ergibt sich aus § 203 Abs. 4 StGB.

Auswirkungen für die Praxis

Unter Berücksichtigung des oben umrissenen Regelungsgegenstandes sollte in der Praxis dementsprechend darauf geachtet werden, dass Betroffene die Möglichkeit haben, den Datenschutzbeauftragten ohne Kenntnisnahme des Verantwortlichen zu kontaktieren. Erfolgt die Einrichtung eines gesonderten E-Mail-Postfaches (z. B. datenschutz@organisation,de), darf hierauf ausschließlich der Datenschutzbeauftragte Zugriff erhalten. Sofern ergänzende, breitgestreute Kommunikationswege bestehen sollen, beispielsweise unter Einbeziehung der Rechtsabteilung, der Datenschutzkoordination oder anderer vergleichbarer Stellen, ist auf den Empfängerkreis deutlich hinzuweisen. Derartige Kommunikationswege können jedoch immer nur in Ergänzung zum direkten Kontakt mit dem Datenschutzbeauftragten angeboten werden.

Weiterhin sollte seitens des Datenschutzbeauftragten im Rahmen von Sachverhaltsaufklärungen Fingerspitzengefühl bewahrt werden. Schließlich können auch Nachfragen zu bestimmten Prozessen oder Systemen gegenüber dem jeweiligen Verantwortlichen schnell einen Rückschluss zu betroffenen Personen zulassen, sofern sich diese gegenüber dem Verantwortlichen beispielsweise bereits offen skeptisch oder abwehrend verhalten haben. Im Zweifel sollte vor der Aufnahme von eigenen Sachverhaltsaufklärungen des Datenschutzbeauftragten ein Gespräch mit den Betroffenen geführt und diese auf die Risiken hingewiesen werden. Unter bestimmten Umständen empfiehlt sich auch eine nachweisliche Entbindung von der Verschwiegenheitsverpflichtung, welche sich beispielsweise an den Anforderungen des Art. 7 DS-GVO orientieren kann. In jedem Fall sollten die bestehenden Regelungen zur Verschwiegenheit ernstgenommen werden.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die nationale Regelung des § 38 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG) sieht neben den Regelungen des Art. 37 Abs. 1 DS-GVO vor, dass nicht-öffentliche Stellen einen Datenschutzbeauftragten zu benennen haben, sofern regelmäßig mehr als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ein aktuelles Positionspapier der Bundesregierung benennt nun im Zusammenhang mit der Reduktion datenschutzrechtlicher Anforderungen unter anderem die Heraufsetzung dieses Schwellwertes von 20 Beschäftigte auf 50 Beschäftigte. Ein kurzer Überblick.

Anwendung datenschutzrechtlicher Anforderungen reduzieren

„Zur Dynamisierung der deutschen Wirtschaft soll auch der bürokratische Aufwand bei der Anwendung datenschutzrechtlicher Anforderungen reduziert werden und die Anwendung auf europäischer Ebene vereinheitlicht werden“, heißt es unter Ziffer 13 in einem erst jüngst veröffentlichten Papier der Bundesregierung mit dem Titel „Wachstumsinitiative – neue wirtschaftliche Dynamik für Deutschland“.

Als konkrete Maßnahmen werden insgesamt sieben Punkte angeführt, darunter die Konzentration der Zuständigkeit einzelner Aufsichtsbehörden für bestimmte Branchen und Sektoren, eine stärkere bundesweite Vereinheitlichung der Anwendung des Datenschutzrechts durch verbindliche Beschlüsse der Datenschutzkonferenz, die Präzisierung und Konkretisierung im nationalen Recht zur Erhöhung der Rechtssicherheit und zur Erleichterung der Anwendung sowie eben benannte Erhöhung des Schwellenwerts zur verpflichtenden Benennung eines Datenschutzbeauftragten.

Unklar ist zunächst, in welchem zeitlichen Rahmen mit der Umsetzung der angeführten Maßnahmen gerechnet werden kann. Es ist jedoch nicht unwahrscheinlich, dass die beabsichtigten Änderungen früher oder später tatsächlich umgesetzt werden. Schließlich sind einige der angeführten Punkte nicht neu: Bereits mit der sich im Gesetzgebungsprozess befindlichen Änderung des Bundesdatenschutzgesetzes verfolgt der Gesetzgeber eine Institutionalisierung der Datenschutzkonferenz. Eine bereits beabsichtigte Vereinheitlichung der Anwendung des Datenschutzrechts dürfte allein hierdurch aber nicht erreicht werden. Im Zuge selbiger Änderung wurde zudem die Abschaffung der Benennungspflicht eines Datenschutzbeauftragten nach § 38 BDSG diskutiert. Das Argument: Entbürokratisierung. Die Abschaffung der Benennungspflicht nach nationalen Normen scheiterte jedoch.

Heraufsetzung des Schwellwertes

Grundsätzlich ist eine Heraufsetzung des Schwellwertes einer gänzlichen Abschaffung der Benennungspflicht vorzuziehen. Aber auch diese Herangehensweise ist nicht neu: Bereits im November 2019 wurde der damalige Schwellwert des § 38 BDSG von zehn auf 20 Beschäftigte erhöht. Danach wurden immer wieder Stimmen laut, die eine weitere Anhebung des Schwellwertes forderten. Eine mehrheitliche Unterstützung des Vorhabens im Bundestag und Bundesrat scheint indes gewiss. Ist eine solche Gesetzesänderung jedoch auch sinnvoll?

Sicherlich ist Deutschland eines der wenigen Länder – oder sogar das einzige Land – welches in Bezug auf die Benennung des Datenschutzbeauftragten zusätzliche Regelungen getroffen hat. Die EU-weit einheitliche Norm des Art. 37 DS-GVO fordert die Benennung eines Datenschutzbeauftragten ausschließlich im Falle von öffentlichen Stellen, umfangreichen und systematischen Überwachungen betroffener Personen oder einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DS-GVO beziehungsweise von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO. Diese Regelung scheint in den anderen Mitgliedsstaaten ausreichend. Wieso also nicht auch in Deutschland?

Weniger Datenschutzbeauftragte ≠ weniger Bürokratie

In diesem Zusammenhang wird regelmäßig verkannt, dass die (verpflichtende) Benennung eines Datenschutzbeauftragten auch Erleichterungen mit sich bringen kann. Schließlich ist es gemäß Art. 39 Abs. 1 DS-GVO Aufgabe eines jeden Datenschutzbeauftragten, Verantwortliche und Auftragsverarbeiter hinsichtlich ihrer Pflichten nach der Datenschutz-Grundverordnung zu beraten und zu unterrichten. Weiterhin kann der Datenschutzbeauftragte im Rahmen interner Prüfungen Abweichungen von gesetzlichen Anforderungen feststellen und etwaige Korrekturmaßnahmen empfehlen, noch bevor datenschutzrechtliche Verstöße den betroffenen Personen oder Aufsichtsbehörden zur Kenntnis gelangen und negative Folgen für den Verantwortlichen nach sich ziehen. Der Datenschutzbeauftragte ist Wissensträger und Unterstützer zugleich – kein Bürokratiemonster.

Zudem ist anzumerken, dass die vielschichtigen Verpflichtungen aus den datenschutzrechtlichen Normen stets den Verantwortlichen, also das Unternehmen, den Verein oder die Behörde adressieren und gerade nicht den Datenschutzbeauftragten. Eine Erhöhung des Schwellwertes oder gänzliche Abschaffung der Benennungspflicht führt also gerade nicht zu einer Entbürokratisierung, sondern vielmehr zu einem Schwund an Know-how. Der Verantwortliche muss die datenschutzrechtlichen Anforderungen dann eben ohne Unterstützung des Datenschutzbeauftragten – mehr oder weniger – erfolgreich umsetzen.

Wenn Änderung, dann bitte konsequent!

Sollte es zu einer Änderung des Schwellwertes gemäß § 38 Abs. 1 Satz 1 BDSG kommen, ist nur zu hoffen, dass der Gesetzgeber diese Gelegenheit nutzt und die Regelung des § 38 Abs. 1 Satz 2 ebenfalls korrigiert: Nach dieser Norm ist die Benennung eines Datenschutzbeauftragten unter anderem ebenfalls verpflichtend, sofern der Verantwortliche oder der Auftragsverarbeiter zur Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO verpflichtet ist – und zwar unabhängig von einer Beschäftigtenzahl. In Zeiten von Hinweisgeberschutz und Künstlicher Intelligenz wären demnach weiterhin viele Unternehmen zur Benennung eines Datenschutzbeauftragten verpflichtet.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Interessenkonflikte bei Datenschutzbeauftragten, oder: Darf es noch etwas mehr sein? Wenn Datenschutzbeauftragte neben ihrer Funktion noch weitere Aufgaben erfüllen, stellen sich zwei Fragen: (1) Schaffen sie das? (2) Dürfen sie das? Die erste Frage betrifft den Aspekt der erforderlichen Ressourcen. Gemäß Art. 38 Abs. 2 DS-GVO haben Verantwortliche und Auftragsverarbeiter diese Ressourcen, also auch genügend Arbeitszeit, bereitzustellen. Damit wollen wir uns heute nicht weiter befassen – bei Interesse Ihrerseits: Senden Sie uns eine E-Mail! Die zweite Frage prüft mögliche Interessenkonflikte. Mit ihnen soll sich dieser Beitrag beschäftigen, weil es zu den „Interessenkonflikten“ in den letzten Monaten zwar keine grundsätzliche Klärung, aber einige Neuigkeiten gab.

Was sagt das Gesetz zu Interessenkonflikten?

Starten wir – typisch juristisch – beim Gesetz: Art. 38 Abs. 6 DS-GVO klärt in Satz 1 erst einmal, dass „der Datenschutzbeauftragte […] andere Aufgaben und Pflichten wahrnehmen“ kann. Satz 2 verlangt dann von Verantwortlichen / Auftragsverarbeitern, sicherzustellen, „das derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen“. Der „Interessenkonflikt“ wird in der DS-GVO nicht definiert. Auch die Erwägungsgründe und andere Sprachfassungen der DS-GVO helfen (anders als sonst manchmal) nicht weiter.

Bevor wir versuchen, den Interessenkonflikt genauer zu verstehen, schnell noch ein Blick auf die Sanktionen: Wenn Verantwortliche / Auftragsverarbeiter den Interessenkonflikt nicht vermeiden (also zulassen), kann das als Verstoß gegen eine Pflicht aus Art. 38 DSGVO mit Geldbußen bis 10 Millionen Euro oder bis zu zwei Prozent des Jahresweltumsatzes geahndet werden (Art. 83 Abs. 4 lit. a DSGVO). Manchmal wird behauptet, Datenschutzbeauftragte mit Interessenkollision (jedenfalls offensichtlicher Interessenkollision) seien gar nicht wirksam bestellt. Dann könnte die Aufsichtsbehörde auch die Verletzung der Bestellpflicht bestrafen.

Wahrscheinlich sprechen aber die besseren Argumente gegen eine solche Betrachtung: Wenn der Datenschutzbeauftragte mit Interessenkollision nicht wirksam bestellt wäre, müsste man ihn ja gar nicht mehr abberufen. Wie verhält er sich dann bei nachträglicher Übertragung einer kollidierenden Aufgabe? Verliert der Datenschutzbeauftragte unbemerkt und unsichtbar seine Datenschutz-Funktion? Und bei Wegfall der kollidierenden Aufgabe: Kann die Bestellung zum Datenschutzbeauftragten dann wiederaufleben? Sinnvoller ist wohl, davon auszugehen, dass auch Datenschutzbeauftragte mit kollidierenden Aufgaben wirksam bestellt sind und bleiben. Verletzt ist dann „nur“ Art. 38 Abs. 6 Satz 2 DS-GVO.

Der Verantwortliche / Auftragsverarbeiter kann das Problem lösen, indem er entweder die Bestellung zum Datenschutzbeauftragten oder die kollidierende Aufgabe widerruft. Europarechtlich sind beide Wege erlaubt; Art. 38 Abs. 3 Satz 2 DS-GVO verbietet nur die Abberufung des Datenschutzbeauftragten „wegen der Erfüllung seiner Aufgaben“, nicht zum Beispiel wegen neuer Funktionsverteilung oder Umstrukturierung im Unternehmen. Das Bundesdatenschutzgesetz (BDSG) und die meisten Landesdatenschutzgesetze sind strenger: § 6 Abs. 4 Satz 1 BDSG erlaubt die Abberufung des Datenschutzbeauftragten entsprechend § 626 BGB nur aus wichtigem Grund. Ein Aufgabentausch gegen den Willen des Datenschutzbeauftragten ist also grundsätzlich ausgeschlossen.

Was sind Interessenkonflikte?

Für Praktiker zählt natürlich die Meinung der Aufsichtsbehörden. Nachlesen kann man zum Beispiel im Tätigkeitsbericht der Landesdatenschutzbeauftragten Bremen 2022 (Textziff. 5.4, S. 26), dass Rechtsvertreter und Rechtsanwälte jedenfalls dann mit Interessenkollisionen belastet sind, wenn sie zur Verarbeitung personenbezogener Daten beraten und / oder die verantwortliche Stelle gegenüber der Aussichtsbehörde vertreten.

Im Tätigkeitsbericht des Landesdatenschutzbeauftragten Hessen 2021 (Textziff. 11.4, S. 141 ff.) findet sich eine lange Auflistung von Personen, bei denen Interessenkollisionen angeblich immer oder häufig vorliegen: Geschäftsführer und Vorstände (Unternehmens-/Behördenleitungen), Unternehmensinhaber, Gesellschafter und deren Familienangehörige, Vertriebsleiter, Personalleiter und IT-Leiter. Aber auch IT-Beschäftigte, wenn sie Administrationssaufgaben erfüllen; IT-Sicherheitsbeauftragte, wenn sie gleichzeitig umsetzungszuständig sind und Budgetverantwortung tragen; Compliance-Beauftragte sowie Leiter von Rechtsabteilungen.

Personalvertretungen sind durch eine aktuelle Entscheidung des Bundesarbeitsgerichtes (wir berichteten) ins Gerede gekommen und externe Dienstleister, die für den Verantwortlichen Vertriebsaufgaben erfüllen oder IT-Produkte bereitstellen, durch ein Bußgeldverfahren der Berliner Aufsichtsbehörde. Gibt es in diesem bunten Sammelsurium irgendeinen roten Faden, der Orientierung bietet? Ja!

Datenschutzbeauftragte müssen nach Art. 39 DS-GVO bestimmte Aufgaben erfüllen, so unter anderem die Unterrichtung, Beratung und Überwachung der Verantwortlichen / Auftragsverarbeiter sowie die Zusammenarbeit mit der Aufsichtsbehörde. Wenn sich Parallelfunktionen mit den Aufgaben des Datenschutzbeauftragten beißen, dürfen sie dem Datenschutzbeauftragten nicht übertragen werden. Aber: Kleinigkeiten bleiben außen vor, also unbeachtet. Das betrifft solche Interessenkollisionen, die praktisch auf jede Person zutreffen und die man als Datenschutzbeauftragter aushalten muss.

Konkrete Beispiele:

• Die Einhaltung der Betroffenenrechte verursacht Aufwand, z.B. und vor allem die Pflichten zur ungefragten Information. Wenn Datenschutzbeauftragte parallel irgendeine Tätigkeit übertragen bekommen, die mit personenbezogenen Daten verbunden ist, müssen sie unter Umständen Datenschutzinformationen erstellen oder verteilen. Dann könnten sie versucht sein, solche Informationen gesetzwidrig kurz zu halten oder ganz auf sie zu verzichten, um eigenen Aufwand zu sparen. Dies ist ein Interessenkonflikt, der dem Datenschutzbeauftragten sogar bei seiner Tätigkeit begegnet; er steht deshalb entsprechenden anderen Aufgaben nicht entgegen.
  
• Das Gleiche gilt für das Gebot der Datensparsamkeit: In vielen betrieblichen und behördlichen Tätigkeiten entsteht die Versuchung, Daten auf Vorrat zu erheben und zu speichern. Auch in der Arbeit des Datenschutzbeauftragten selbst kann das geschehen. Dieser abstrakte Umstand begründet keinen Interessenkonflikt.
  
• Auch das recht häufig zu hörende Argument, bestimmte Arbeitsaufgaben seien mit besonders schneller, billiger, unkomplizierter Datenverarbeitung verbunden und würden deshalb Interessenkollisionen begründen, trifft nicht den Kern des Problems: Schnelle, billige und unkomplizierte Datenverarbeitung ist ja nicht verboten. Auch Datenschutzbeauftragte dürfen sich dergleichen durchaus wünschen. Wenn jemand Daten schnell, billig und unkompliziert verarbeiten möchte, heißt dies nicht gleichzeitig, dass er / sie rechtswidrige Datenverarbeitungen in Kauf nimmt.
  
• Bei den Themen Beratung und Schulung könnten sich sogar große Effizienz-Vorteile ergeben, wenn die / der Datenschutzbeauftragte gleichzeitig zu den hauptsächlichen Verarbeitern gehört.
  
• Die Zusammenarbeit mit der Aufsichtsbehörde und Funktion als deren Anlaufstelle (Art. 39 Abs. 1 lit. d) und e) DS-GVO) wird zum Beispiel von der Aufsichtsbehörde Bremen als Argument für die Interessenkollision bei Rechtsvertretern / Rechtsanwälten angeführt. Betriebliche / behördliche Datenschutzbeauftragte sind aber nicht verlängerte Arme der Aufsichtsbehörde, sondern deren Ansprechpersonen. Sie können die verantwortliche Stelle gegenüber der Aufsichtsbehörde nur insoweit vertreten, wie das von der verantwortlichen Stelle erlaubt wird. Das gilt auch für die Herausgabe von Unterlagen (z.B. Datenschutz-Dokumentationen, vgl. Art. 30 Abs. 4 DS-GVO für das Verzeichnis der Verarbeitungstätigkeiten).

Letztlich bleiben zwei gute Gründe übrig, aus denen sich Interessenkollisionen und damit unvereinbare Zusatzaufgaben ergeben:

• Nach nationalem Recht (§ 6 Abs. 5 Satz 2 BDSG und die vergleichbaren Vorschriften der Landesdatenschutzgesetze) sind Datenschutzbeauftragte zum Schutz betroffener Personen verpflichtet, über deren Identität und weitere Faktoren Verschwiegenheit zu wahren. Diese Verschwiegenheitspflicht gilt auch gegenüber der verantwortlichen Stelle und sie ist natürlich dann nicht einzuhalten, wenn der Datenschutzbeauftragte selbst zur Leitung der verantwortlichen Stelle gehört oder zum Beispiel als Unternehmensinhaber sogar selbst die verantwortliche Stelle darstellt. Unter diesem Gesichtspunkt ist eine Interessenkollision immer gegeben, wenn jemand Aufgaben wahrnimmt, bei denen Betroffene nicht auf die Verschwiegenheit des Datenschutzbeauftragten vertrauen können. Das ist eine Einzelfallfrage.
  
• Für die Überwachung als Aufgabe des Datenschutzbeauftragten gilt: Wer selbst alle oder sehr viele Datenverarbeitungen einer verantwortlichen Stelle auslöst / prägt / vollzieht, ist als Überwachung fehl am Platz. Eine Überwachung der eigenen Tätigkeit ist sinnentleert und wenn dies nennenswerte Bereiche der Datenverarbeitung eines Verantwortlichen betrifft, kann der Datenschutzbeauftragte seine Aufgaben nicht sinnvoll erfüllen. IT-Leitung oder zum Beispiel die Leitung im Projekt „Neue Vertriebsstrukturen“ wird sich also meist nicht mit der Tätigkeit als Datenschutzbeauftragter vertragen. Aber auch das kann im Einzelfall anders sein. Zum Beispiel: Projekt für neue, datenschutzfreundliche Betriebsstrukturen, nachdem ein Unternehmen öffentlich für Datenschutzmängel kritisiert wurde.

Damit bleibt als Zwischenergebnis festzuhalten: Interessenkollisionen des Datenschutzbeauftragten bestehen dann, wenn er den Betroffenen keine Verschwiegenheit garantieren kann und / oder große Teile der Datenverarbeitung einer verantwortlichen Stelle selbst (mit-)prägt.

Überblick

Mit diesem roten Faden lassen sich die von den Aufsichtsbehörden und der Fachliteratur gegebenen Beispiele bewerten: Es zeigt sich, dass nur selten eine Interessenkollision von vornherein feststeht. Dazu gehören zum Beispiel Unternehmens-/Behördenleitung, Alleininhaber und Mehrheitsgesellschafter, (meist) Vertriebs-, Personal- und IT-Leiter, nicht jedoch zwangsläufig Personen mit (auch leitenden) Aufgaben in den Bereichen Compliance, Recht, Revision, IT-Sicherheit und Informationssicherheit.

Bei Personen, die auch ansonsten Kontroll-/Prüfaufgaben wahrnehmen, wird normalerweise keine Interessenkollision anzunehmen sein. Vor allem ergibt sich ein solcher Interessenkonflikt nicht schon daraus, dass diese Personen auch bei ihren sonstigen Prüfaufgaben personenbezogene Daten verwenden. Regelmäßig liegt der Schwerpunkt der Datenverarbeitung in einem Unternehmen / einer Behörde nicht bei den Compliance-Beauftragten, der Innenrevision oder dem IT-Sicherheitsbeauftragten. Die Überwachungsaufgabe des Datenschutzbeauftragten wird also durch diese Zusatzfunktionen nicht eingeschränkt. Oft ergeben sich sogar erhebliche Effizienzgewinne. Allerdings kann im Einzelfall ein Interessenkonflikt auftreten, wenn zum Beispiel Entscheidungsbefugnisse für umfangreiche Datenverarbeitungen übertragen werden.

Bei externen Dienstleistern bestehen Interessenkonflikte dann, wenn der externe Dienstleister einerseits Datenschutzbeauftragter ist und andererseits für das selbe Unternehmen wichtige Datenverarbeitungsaufgaben erfüllt. Im Extremfall: umfassender IT-Support, CRM-Anbieter oder externe Personalverwaltung. Auch die Wahrnehmung der Aufgabe als interne Meldestelle nach Hinweisgeberschutzgesetz und zugleich als Datenschutzbeauftragter kann problematisch sein.

Für Praktiker gilt natürlich wieder als kurzer und dicker roter Faden: Bei Beanstandung einer angeblichen Interessenkollision durch die Aufsichtsbehörde wird nicht diskutiert, sondern Abhilfe geschaffen – entweder durch Bestellung eines neuen Datenschutzbeauftragten oder durch Entlastung des Datenschutzbeauftragten von der problematischen Zusatzaufgabe.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das neue Hinweisgeberschutzgesetz (HinSchG) ist im Juli 2023 in Kraft getreten. Es sieht vor, dass Unternehmen mit mindestens 50 Beschäftigten ein internes Hinweisgebersystem einzurichten haben. Ziel des Gesetzes, welches zur Umsetzung einer entsprechenden europäischen Richtlinie verabschiedet wurde, ist einerseits eine bessere Durchsetzung rechtlicher Bestimmungen und andererseits zugleich der besondere Schutz meldender, gemeldeter sowie von einer Meldung betroffener Personen. Doch für einige Unternehmen hält das Hinweisgeberschutzgesetz auch eine datenschutzrechtliche Überraschung parat.

Datenschutzrechtliche Anforderungen bei Hinweisgebersystemen

Es dürfte nicht überraschen, dass mit der Einführung eines Hinweisgebersystems und der damit verbundenen Verarbeitung personenbezogener Daten auch die gängigen datenschutzrechtlichen Pflichten gelten. So muss der Verantwortliche die von der Verarbeitung personenbezogener Daten betroffenen Personen hinsichtlich der Datenverarbeitungen i.S.d. Artikel 13 und 14 DS-GVO transparent informieren. Weiterhin obliegt ihm die Pflicht, die Verarbeitungstätigkeit im Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO korrekt und vollständig abzubilden.

Wird für die Einrichtung einer internen Meldestelle auf einen externen Dienstleister zurückgegriffen oder wird ein cloudbasiertes System zur Bearbeitung und Verwaltung etwaiger Hinweise genutzt, wird in der Regel der Abschluss eines Vertrages zur Auftragsverarbeitung erforderlich sein. Ist eine Person des Verantwortlichen mit der Funktion als interne Meldestelle betraut, ist es sinnvoll diese Person entsprechend des § 8 HinSchG speziell für die Wahrnehmung dieser Tätigkeit zur Vertraulichkeit zur verpflichten. So weit, so gut.

Erforderlichkeit zur Durchführung einer Datenschutz-Folgenabschätzung

Gemäß Art. 35 Abs. 1 DS-GVO hat eine Datenschutz-Folgenabschätzung vor Beginn einer jeden Verarbeitung zu erfolgen, die voraussichtlich hohe Risiken für die Rechte und Freiheiten natürlicher Personen aufweist. Liegt im Rahmen der Einführung und des Betriebs eines Hinweisgebersystems ein solches hohes Risiko vor? Folgt man den Kriterien der Veröffentlichung der Artikel-29-Gruppe (Vorgänger des Europäischen Datenschutzausschusses) mit dem prägnanten Namen Leitlinie zur Datenschutz-Folgenabschätzung (DFSA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ aus dem Jahr 2017, wird man diese Frage bejahen müssen.

Auch die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder sehen die Erforderlichkeit zur Durchführung einer Datenschutz-Folgenabschätzung. So heißt es in der Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz aus dem Jahr 2018 ganz kurz: „Ein Verfahren zur Meldung von Missständen unterliegt wegen des besonders hohen Risikos für die Rechte und Freiheiten natürlicher Personen einer Datenschutz-Folgenabschätzung.“ Und auch unter Würdigung der einzelnen Normen des Hinweisgeberschutzgesetzes wird man zu dem Ergebnis kommen, dass bereits der Gesetzgeber im Rahmen des Gesetzgebungsverfahrens ein erhöhtes Risiko erkannt hat (vgl. §§ 8, 37 – 39 HinSchG).

Die Datenschutz-Folgenabschätzung ist vom Verantwortlichen selbst durchzuführen. Dabei ist der Rat des Datenschutzbeauftragten (Art. 35 Abs. 2 DS-GVO) einzuholen, sofern ein solcher benannt ist. Doch das Bundesdatenschutzgesetz (BDSG) setzt da noch einen drauf…

Pflicht zur Benennung eines Datenschutzbeauftragten

Eine besondere Anforderung hält § 38 Abs. 1 Satz 2 BDSG vor: „Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen […] haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“ Das bedeutet im Umkehrschluss, dass jedes Unternehmen mit mindestens 50 Beschäftigten verpflichtend einen Datenschutzbeauftragten zu benennen hat.

Die Regelung des § 38 Abs. 1 Satz 1 BDSG setzt zwar bereits voraus, dass Verantwortliche oder Auftragsverarbeiter, die in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, verpflichtend einen Datenschutzbeauftragten zu benennen haben. Jedoch kann sich bei Unternehmen mit einer kleinen Verwaltung (z.B. Handwerksbetriebe, Fuhrunternehmen) mit der Pflicht zur Einführung eines Hinweisgebersystems ein neues Kriterium der Benennungspflicht ergeben.

Es wäre auch ein anderer Weg möglich gewesen…

Muss es immer so kompliziert sein? Mit einem Blick in die DS-GVO lautet die Antwort: Eigentlich nicht. Art. 35 Abs. 10 DS-GVO zeigt auf: Sofern ein Verantwortlicher rechtlich zu einer Datenverarbeitung verpflichtet ist, die Verarbeitungsvorgänge durch das jeweilige Recht vorgegeben sind sowie im Rahmen des Gesetzgebungsverfahrens durch den Gesetzgeber bereits eine allgemeine Datenschutz-Folgenabschätzung durchgeführt wurde, können Verantwortliche von der Rechtspflicht zur Durchführung einer eigenen Datenschutz-Folgenabschätzung entbunden werden. Dementsprechend entfiele somit auch das weitere Kriterium zur verpflichtenden Benennung eines Datenschutzbeauftragten.

Kann so etwas funktionieren? Und ob! Ein Blick in das Nachbarland Österreich zeigt, dass bereits im Rahmen eines Gesetzgebungsverfahrens eine Datenschutz-Folgenabschätzung mitgedacht werden kann.

Interne Meldestelle gleich Datenschutzbeauftragter?

Aus der Not eine Tugend machen und der internen Meldestelle die Aufgaben eines Datenschutzbeauftragten überhelfen? Das ist wohl keine gute Idee – auch wenn dies durch Dienstleister angeboten wird! Gemäß Art. 38 Abs. 6 Satz 2 DS-GVO haben Verantwortliche sicherzustellen, dass (weitere) Aufgaben und Pflichten des Datenschutzbeauftragten nicht zu einem Interessenkonflikt führen. Ein solcher ist jedoch stets anzunehmen, wenn ein- und dieselbe Person zum Teil umfangreiche Datenverarbeitungen durchführt und zugleich die datenschutzrechtliche Kontrolle dieser Datenverarbeitung übernehmen muss.

Fazit

Im Rahmen der Einführung eines Hinweisgebersystems sind einige datenschutzrechtliche Anforderungen zu beachten. Den größten Aufwand wird hierbei wohl die Datenschutz-Folgenabschätzung verursachen, die aufgrund des hohen Risikos der Datenverarbeitung durchzuführen ist. Soweit bislang kein Datenschutzbeauftragter benannt wurde, gilt die Pflicht zur Benennung nun auf jeden Fall. Unternehmen mit weniger als 250 Beschäftigten, jedoch mehr als 50 Beschäftigten haben nun noch bis Dezember 2023 Zeit, alle aus dem Hinweisgeberschutzgesetz resultierenden Pflichten umzusetzen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Datenschutz bei Betriebsrat und Personlrat. Das Thema ist in der täglichen Beratung immer wieder relevant; wir hatten dazu im vergangenen Jahr schon berichtet. Inzwischen liegen damals erwartete Entscheidungen des Europäischen Gerichtshofs vor und – vor allem – etwas überraschende Äußerungen des Bundesarbeitsgerichts. Anlass genug, den aktuellen Stand noch einmal zusammenzufassen:

So Viel ist sicher: Betriebs- und Personalräte sind keine eigenen verantwortlichen Stellen

Beim DS-GVO-Start wurde noch heftig gestritten, ob Beschäftigtenvertretungen (Betriebsräte, Personalräte, Mitarbeitervertretungen kirchlicher Einrichtungen) als eigene verantwortliche Stellen anzusehen sind. Dafür ist nach Art. 4 Nr. 7 DS-GVO wichtig, ob sie selbst über „Zweck und Mittel der Verarbeitung von personenbezogenen Daten entscheiden“. Mittlerweile besteht Einigkeit, auch unter den Aufsichtsbehörden: Verantwortliche Stelle ist die jeweilige Behörde, das Unternehmen, … . Begründet wird dies damit, dass die Beschäftigtenvertretungen nicht selbständig über Zweck und Mittel der Datenverarbeitung bestimmen können, sondern insbesondere die Verarbeitungszwecke gesetzlich vorgegeben sind. Der Bundesgesetzgeber hat das vorsichtshalber für den Betriebsrat in § 79a Satz 2 BetrVG ausdrücklich festgehalten.

Ähnliches gilt für interne Datenschutzbeauftragte in Unternehmen und in Behörden. Auch bei ihnen begründet die fachliche Unabhängigkeit begründet keine Eigenständigkeit im Datenschutz als verantwortliche Stelle. Dies lässt sich auf Geldwäschebeauftragte, Strahlenschutzbeauftragte, … übertragen.

Ganz klar: Die Datenschutzbeauftragten überwachen auch die Datenverarbeitung der Beschäftigtenvertretung

Aus der datenschutzrechtlichen Zugehörigkeit ergibt sich, dass die Datenschutzbeauftragten der Einrichtung auch für die Datenverarbeitung der Beschäftigtenvertretung zuständig sind, also nach Art. 39 Abs. 1 lit. b) DS-GVO überwachen, ob die Datenschutzvorschriften eingehalten werden.

Bei der Überwachung der Datenverarbeitung des Betriebs-/Personalrats ist die Unabhängigkeit der Datenschutzbeauftragten von Weisungen des Arbeitgebers besonders wichtig. Ob, wann und wie Datenschutzbeauftragte die Datenverbindungen der Personalvertretung prüfen, kann vom Arbeitgeber nicht nachgewiesen werden. Bei ihrer Tätigkeit können und müssen die Datenschutzbeauftragten die besondere Situation und die Aufgaben der Beschäftigtenvertretung berücksichtigen (Interessenvertretung gegenüber dem Arbeitgeber). Auch hier taugt § 79a BetrVG als Merkzettel: „Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen.“

Wohl nur in Thüringen: Zusätzlich eigene Datenschutzbeauftragte für den Personalrat

Wahrscheinlich bundesweit einmalig regelt § 80 Abs. 1 S. 2 des Thüringer Personalvertretungsgesetzes, dass die Personalräte in Thüringen einen eigenen Datenschutzbeauftragten zu bestellen haben. Das darf im Einvernehmen mit der Dienststelle auch die/der behördliche Datenschutzbeauftragte sein – aus unserer Sicht absolut empfehlenswert. Diese Person soll für die Einhaltung des Datenschutzes in der Personalvertretung und in der Dienststelle sorgen. Macht nicht genau dasselbe schon die/der behördliche Beauftragte nach DS-GVO zwingend? Allerdings.

Es spricht viel dafür, dass die Vorschrift wegen Widersprüchlichkeit zur DS-GVO europarechtlich unzulässig ist. Ein Sinn ist jedenfalls nicht erkennbar. Vielleicht findet der Landesgesetzgeber bei Gelegenheit den Mut, die Regelung wieder zu streichen. Sind Ihnen ähnliche Normen für andere Bundesländer bekannt? Danke für Hinweise!

In der mittlerweile zwanzigjährigen Diskussion über ein Beschäftigtendatenschutzgesetz (wir berichteten) war ebenfalls hin und wieder die Idee aufgetaucht, einen gesonderten „Beschäftigtendatenschutzbeauftragten“ einzuführen (z.B. § 28 Abs. 1 Satz 1 und Abs. 2-5 des Entwurfes BÜNDNIS 90/DIE GRÜNEN vom 22.02.2011, Bundestagsdrucksache 17/4853, S. 12). Für den Datenschutz ist eine derartige Beauftragten-Häufung nicht sinnvoll. Sie verbraucht Ressourcen und schafft unter anderem die Gefahr, dass verschiedene Beauftragte unterschiedliche Auffassungen vertreten. Die Position der betrieblichen/behördlichen Beauftragten würde geschwächt.

Plötzlich nicht mehr möglich: Mitglied der Beschäftigtenvertretung zugleich Datenschutzbeauftragter?

Vor Inkrafttreten der DS-GVO hatte das Bundesarbeitsgericht (BAG) gleichzeitige Amtsausübung erlaubt (Urt. v. 13.3.2011, 10 AZR 562/99). Ein schädlicher, verbotener Interessengegensatz liege nicht vor. In neueren Fällen – aber immer noch „altes“ BDSG – wurde die Frage vom BAG dem EuGH vorgelegt und der erklärte (Urt. v. 9.2.2023, Rs. C-453/21 und C-560/21), dass Personalunion zwischen Betriebs-/Personalräten sowie Datenschutzbeauftragten jedenfalls nicht von vornherein verboten ist, sondern im Einzelfall und nach nationalem Recht geprüft werden muss, ob ein Interessengegensatz vorliegt.

Grünes Licht für das BAG, sollte man denken – die Linie aus dem Urteil 2011 kann beibehalten werden. Umso überraschender ist, dass das BAG in den beiden Fällen mit Urteilen vom 6.6.2023 (Az. 9 AZR 383/19 und Az. 9 AZR621/19 – wir berichteten) die Unvereinbarkeit der Funktionen angenommen hat. Die Urteilsbegründungen liegen noch nicht vor. Klar ist aber: Der jetzt entscheidende neunte Senat des BAG entfernt sich vom oben genannten Urteil des zehnten Senats aus dem Jahr 2011. In der Pressemitteilung zum Verfahren 383/19 heißt es: „Der Vorsitz im Betriebsrat steht einer Wahrnehmung der Aufgaben des Beauftragten für den Datenschutz typischerweise entgegen und berechtigt den Arbeitgeber in aller Regel, die Bestellung zum Datenschutzbeauftragten nach Maßgabe des BDSG in der bis zum 24. Mai 2018 gültigen Fassung (aF) zu widerrufen.“

Wenn man das für alte Fälle vor Mai 2018 so sieht, spricht alles dafür, es beim Datenschutzbeauftragten nach DS-GVO genauso zu beurteilen. Und das hat Konsequenzen: Wenn man – wie offenbar jetzt das Bundesarbeitsgericht – einen Interessenkonflikt zwischen den Funktionen typischerweise annimmt, dann ist der Arbeitgeber nicht nur arbeitsrechtlich berechtigt, die Funktion des Datenschutzbeauftragten zu entziehen, sondern zum Widerruf der Bestellung des Datenschutzbeauftragten sogar datenschutzrechtlich verpflichtet. Bleiben Datenschutzbeauftragte trotz eines bestehenden Interessenkonflikts in ihrer Funktion, dann wäre ein solcher Datenschutzbeauftragter nicht mehr wirksam bestellt. Der Arbeitgeber würde also als verantwortliche Stelle gegen die DS-GVO verstoßen.

Damit kann Arbeitgebern nur empfohlen werden, in solchen Fällen die Bestellung zu widerrufen und andere, nicht dem Betriebs-/Personalrat angehörende Personen als Datenschutzbeauftragte zu bestellen. Spiegelbildlich muss internen Datenschutzbeauftragten – wenn sie ihre Funktion behalten möchten – davon abgeraten werden, sich für den Betriebs-/Personalrat zu bewerben…

Zusammenarbeit zwischen BEschäftigtenvertretung und Datenschutzbeauftragten

Natürlich gehört zu den Aufgaben der Beschäftigtenvertretung auch, die Datenschutzrechte der Beschäftigten zu verteidigen. Bestenfalls sollten beim Beschäftigtendatenschutz Beschäftigtenvertretung und Datenschutzbeauftragte also Hand in Hand arbeiten. Nicht selten entwickeln sich einzelne Betriebs-/Personalräte zu Spezialisten für Datenschutzfragen. Das ist sinnvoll und erfreulich. Ein transparentes Miteinander, das der Belegschaft und dem Datenschutz dient, ist optimal.

Was Datenschutzbeauftragte dazu beitragen können:

• Auf Beschäftigtenvertretungen aktiv zugehen. Nachfragen, ob die persönliche Vorstellung in einer Sitzung des Betriebs-/Personalrats möglich und gewünscht ist.
• Vertraulichkeit der Kommunikation – auch gegenüber der Arbeitgeberseite – zusagen und einhalten.
• Unkomplizierte, neutrale und zuverlässige Beratung der Beschäftigtenvertretung bei Datenschutzfragen, z.B. auch bei der Vorbereitung von Betriebs-/Dienstvereinbarungen zu datenschutzrelevanten Themen.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

„Fortschritt durch Datennutzung – Strategie für mehr und bessere Daten für neue, effektive und zukunftsweisende Datennutzung“.  Das ist er, der Titel der am 30. August 2023 veröffentlichten neuen nationalen Datenstrategie der Bundesregierung. Die neue Datenstrategie soll das Leitbild der künftigen Datenpolitik sein. „Hierfür richtet die Bundesregierung den Fokus auf die Bereitstellung von mehr und besseren Daten und setzt auf eine neue Kultur der Datennutzung und des Datenteilens.“, heißt es in einer Mitteilung des Bundesministerium des Inneren und für Heimat (BMI). Es drängt sich förmlich auf, dass hierunter auch der Datenschutz eine entsprechende Rolle spielen wird bzw. spielen muss.

„Wir vereinfachen den Datenschutz und erleichtern die praktische Umsetzung“

Datentreuhänder, Personal Information Management Systems (PIMS), „Privacy by design and default“, Anonymisierung, Pseudonymisierung, „Opt-Out“-Ansätze, Security by design“. Was klingt wie ein Teil einer Buzzword-Bingo-Auflistung, ist Teil der Beschreibung der Ziele der Bundesregierung zum Bereich des Datenschutzes im Rahmen der Datenstrategie. Und einige dieser Ziele sind zuweilen sehr wohlklingend formuliert:

„Ferner wollen wir Datenschutz einfacher, kohärenter und praktikabler machen. Hierzu werden wir die Möglichkeiten einer einheitlichen Anwendung und Durchsetzung des Datenschutzrechts verbessern, national und auf EU-Ebene […] Hierzu gehört, dass wir die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder als koordinierendes Gremium stärken, indem wir sie im Bundesdatenschutzgesetz institutionalisieren.“

„Von den Öffnungsklauseln der DSGVO werden wir zudem Gebrauch machen, um mit einem modernen, handhabbaren Beschäftigtendatenschutzgesetz Rechtsklarheit für Arbeitgeber sowie Beschäftigte zu schaffen und die Persönlichkeitsrechte der Beschäftigten effektiv zu schützen.“

„Wir setzen uns dafür ein, dass Unternehmen, Forschende und zivilgesellschaftliche Akteure praktische Hilfestellungen bei der Umsetzung datenschutzrechtlicher Vorgaben erhalten und nutzen können, und wir ermutigen die Unternehmen, die Unterstützung der Datenschutzaufsichtsbehörden und der betrieblichen Datenschutzbeauftragten noch stärker in Anspruch zu nehmen, um so die Rechtssicherheit bei Datenverarbeitungen noch weiter zu erhöhen“

Allein durch die formulierten Ziele kann nur wenig bis nichts erreicht werden, seien diese noch so prägnant formuliert. An einigen Punkten wird über die eigentlichen Probleme im Datenschutzrecht – bewusst oder unbewusst – hinweggegangen, z.B. Qualifikationsanforderungen der Datenschutzbeauftragten.

Datennutzung vs. Datenschutz

Wie auf EU-Ebene soll auch im Rahmen der nationalen Datenstrategie der Datenschutz bzw. das Datenschutzrecht Berücksichtigung finden: „Datennutzung und Datenschutz sind zwei Seiten derselben Medaille. Die Datenpolitik ist geprägt von beiden Zielen, die einer beständigen und sorgfältigen Balance bedürfen: Wie erreichen wir die notwendige Ausweitung von Datenzugang und -nutzung bei Einhaltung des Grundrechts auf informationelle Selbstbestimmung? Wie passt der datenschutzrechtliche Grundsatz der Zweckbindung und Datenminimierung oder der effektive Schutz von Geschäftsgeheimnissen und geistigem Eigentum zum erklärten Ziel, mehr Daten zu teilen?“

Für die datenschutzrechtliche Praxis erlangen – wie der Roadmap zur Datenstrategie zu entnehmen ist – allem voran zwei Punkte an Bedeutung: Die Anpassungen zum Bundesdatenschutzgesetz sowie die Verabschiedung eines Beschäftigtendatenschutzgesetzes. Eine hilfreiche Synopse zur geplanten Änderung des Bundesdatenschutzgesetzes gibt es hier.

Beschäftigtendatenschutzgesetz, da war doch was!?

Der ein oder andere mag sich entsinnen: „Wir schaffen Regelungen zum Beschäftigtendatenschutz, um Rechtsklarheit für Arbeitgeber sowie Beschäftigte zu erreichen und die Persönlichkeitsrechte effektiv zu schützen.“ Dies waren Bekenntnis und Aufgabe zugleich, welche sich die Bundesregierung auf Seite 17 des Koalitionsvertrages („Mehr Fortschritt wagen – Bündnis für Freiheit, Gerechtigkeit und Nachhaltigkeit“) selbst vorgab. 

Spätestens durch das EuGH-Urteil zum Beschäftigtendatenschutz in der Rechtssache C-34/21 durch welches neben der eigentlich gegenständlichen landesspezifischen Regelung des Hessischen Datenschutz- und Informationsfreiheitsgesetz (HDSIG) – zumindest in Teilen – ebenfalls Zweifel an der nationalen Bestimmung des § 26 BDSG zum Beschäftigtendatenschutz aufkommen waren, befand man sich in der Politik auf der Suche nach dem Beschäftigtendatenschutzgesetz. Derartige Bestrebungen sind in der datenschutzrechtlichen Welt nicht neu, gleichwohl sie in der Vergangenheit nie beendet werden konnten.

Daraufhin haben das Bundesministerium für Arbeit und Sozialordnung (BMAS) und der BMI haben ein Eckpunktepapier vorgelegt, das die Grundlage für ein geplantes Beschäftigtendatenschutzgesetz sein soll. Hierzu gibt es eine lesenswerte Stellungnahme der Gesellschaft für Datenschutz und Datensicherheit e.V. zu den „Vorschlägen für einen modernen Beschäftigtendatenschutz“.

Die Roadmap der Datenstrategie nennt nun das 4. Quartal 2023 als zeitliches Ziel für das Beschäftigtendatenschutzgesetz.

FAZIT

Durch die Datenstrategie wird für den Bereich des Datenschutzes in jedem Fall eines erreicht: Die Bundesregierung gibt sich Ziele und einen dazugehörigen Fahrplan vor, an dem sie sich im Zweifel messen lassen muss. Zu spät kommen kann dann zu negativer Stimmung führen. Was zu hoffen bleibt ist, dass weder die Anpassungen des BDSG noch die Schaffung des Beschäftigtendatenschutzgesetzes im Schweinsgalopp umgesetzt werden und der Praxis durch Sachverständige und Verbände ausreichend Gelegenheit zur Anhörung und Stellungnahme eingeräumt wird.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das Bundesarbeitsgericht durfte sich jüngst (BAG, Urt. v. 6. Juni 2023 – 9 AZR 383/19) mit der Frage befassen, ob die Tätigkeit als Betriebsratsvorsitzender der gleichzeitigen Tätigkeit als Datenschutzbeauftragter entgegensteht. Nachdem das Gericht im Jahr 2011 zunächst befand, dass eine Mitgliedschaft im Betriebsrat einer Ausübung der Tätigkeit als Datenschutzbeauftragter nicht entgegenstehe, entschied das Bundesarbeitsgericht im vorliegenden Fall nach Vorlage beim Europäischen Gerichtshof nun grundverschieden: Ein Betriebsratsvorsitzender könne nicht gleichzeitig Datenschutzbeauftragter sein.

Zum Sachverhalt

Der bei der Beklagten angestellte Kläger ist als Betriebsratsvorsitzender tätig und in dieser Funktion teilweise von der Arbeit freigestellt. Zu Beginn des Jahres 2015 wurde der Kläger darüber hinaus bei der Beklagten und weiteren in Deutschland ansässigen Tochtergesellschaften zum Datenschutzbeauftragten benannt. Auf Veranlassung des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit widerriefen Ende 2017 sowohl die Beklagte als auch die weiteren Tochtergesellschaften die Benennung des Klägers aufgrund der Inkompatibilität der beiden Ämter. Eine erneute Abberufung erfolgte seitens der Beklagten vorsorglich mit Wirksamwerden der Datenschutz-Grundverordnung (DS-GVO) zum 25. Mai 2018. Hiergegen wehrte sich der Betriebsratsvorsitzende und machte geltend, seine Benennung als Datenschutzbeauftragter der Beklagten bestehe weiterhin fort.

Die Beklagte vertrat hingegen die Auffassung, bei der Wahrnehmung der beiden Ämter ließe sich grundsätzlich ein Interessenskonflikt nicht ausschließen, sodass dies einen wichtigen Grund zur Abberufung darstelle. Sowohl das Arbeitsgericht Dresden als auch das Landesarbeitsgericht Sachsen entschieden in den Vorinstanzen zunächst zugunsten des Betriebsratsvorsitzenden.

Zum Urteil des Bundesarbeitsgerichts

Das Bundesarbeitsgericht kommt im Rahmen seiner Entscheidung zu dem Ergebnis, dass die Aufgaben eines Betriebsratsvorsitzenden und eines Datenschutzbeauftragten typischerweise nicht durch dieselbe Person ohne Interessenkonflikt ausgeübt werden können. Zur Wahrnehmung seiner Aufgaben nach dem Betriebsverfassungsgesetz, sind dem Betriebsrat ausschließlich zu diesem Zweck personenbezogene Daten zur Verfügung zu stellen. Mittels Gremienbeschlüsse entscheidet der Betriebsrat darüber, unter welchen konkreten Umständen dieser in Ausübung seiner jeweiligen Aufgaben personenbezogene Daten vom Arbeitgeber anfordert und verarbeitet. Insofern legt der Betriebsrat auch Zwecke und Mittel der Datenverarbeitung fest.

Der Widerruf der Benennung aus wichtigem Grund im Sinne von § 4f Abs. 3 Satz 4 BDSG (alte Fassung) in Verbindung mit § 626 Abs. 1 BGB sei somit gerechtfertigt. Ein wichtiger Grund liege vor, sofern die zum Datenschutzbeauftragten benannte Person die für die Aufgabenerfüllung erforderliche Fachkunde oder Zuverlässigkeit nicht mehr besitze. Eine fehlende Zuverlässigkeit kann insbesondere im Falle von Interessenskonflikten bestehen. Ein solcher Interessenskonflikt ist unter anderem dann anzunehmen, wenn die Person des Datenschutzbeauftragten innerhalb des Verantwortlichen eine Aufgabe wahrnehme, welche die Festlegung von Zwecken und Mitteln einer Datenverarbeitung umfasse. Diesbezüglich ist auch auf das Urteil des Europäischen Gerichtshofs vom 9. Februar 2023 (C-453/21) zu verweisen. Insofern fehle es dem Datenschutzbeauftragten an der Möglichkeit zur hinreichend unabhängigen Überwachung der Datenverarbeitungen der verantwortlichen (Teil-)Stelle.

Auch wenn sich die Ausführungen des Bundesarbeitsgerichts auf die Normen des Bundesdatenschutzgesetzes mit Stand vor dem 25. Mai 2018 beziehen, kann die Argumentation ebenfalls auf die aktuell geltenden Normen der Datenschutz-Grundverordnung übertragen werden. Inwiefern die Argumentation ebenfalls für allgemeine Mitglieder des Betriebsrates gelten könne, ließ das Bundesarbeitsgericht offen. Es ist jedoch grundsätzlich anzunehmen, dass ein Interessenskonflikt auch hierbei vorliegen kann. Schließlich darf auch in diesem Verhältnis und unter Würdigung der besonderen Stellung des Betriebsrates eine unabhängige Überwachung der Einhaltung datenschutzrechtlicher Normen in Frage gestellt werden.

Weitere Mögliche Interessenskonflikte

Auch hinsichtlich anderer Personenkreise können Interessenskonflikte bezüglich der Tätigkeit als Datenschutzbeauftragter angenommen werden. Die Berliner Beauftragte für Datenschutz und Informationssicherheit verhängte im September 2022 ein Bußgeld in Höhe von 525.000 Euro. Im vorliegenden Fall handelte es sich bei der Person des Datenschutzbeauftragten zugleich um den Geschäftsführer zweier Unternehmen. Da diese Unternehmen zugleich als Auftragsverarbeiter für das Unternehmen tätig waren, für welches er als Datenschutzbeauftragter benannt wurde, sah die Aufsichtsbehörde einen Interessenkonflikt gegeben. Trotz erster Verwarnung durch die Aufsichtsbehörde im Jahr 2021 nahm das betroffene Unternehmen keine Änderungen vor, sodass es letztendlich zu einem Bußgeld in dieser Größenordnung kam.

Auch leitende oder entscheidungsbefugte Personen in der IT-Abteilung können nicht zugleich die Aufgaben des Datenschutzbeauftragten wahrnehmen. Selbiges wird in der Literatur hinsichtlich der Revisionsabteilung sowie der internen Meldestelle im Sinne des Hinweisgeberschutzgesetzes diskutiert.  Weiterhin kann ebenfalls die Tätigkeit als IT-Sicherheitsbeauftragter die Übernahme der Tätigkeiten als Datenschutzbeauftragter widersprechen. Ein Interessenkonflikt ist beispielsweise dann anzunehmen, sofern der IT-Sicherheitsbeauftragte ebenfalls die Umsetzungs- bzw. Budgetverantwortung trägt.

In jedem Falle sind Verantwortliche dazu angehalten, bereits vor der Benennung eines Datenschutzbeauftragten etwaige Interessenkonflikte zu erörtern und aufzulösen. Andernfalls droht ein sanktionsfähiger Verstoß gegen Art. 38 Abs. 6 DS-GVO.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Wie kommunizieren Sie Datenschutz? Bei der Betrachtung der datenschutzrechtlichen Anforderungen stehen meist die diversen Dokumentationspflichten des Verantwortlichen, beispielsweise die Bereitstellung von Datenschutzinformationen gemäß Art. 13 DS-GVO , die vertragliche Einbindung externer Dienstleister im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DS-GVO oder die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO im Fokus. Gleichwohl diese Dokumentationspflichten einen zentralen Aspekt der datenschutzrechtlichen Normierungen darstellen, kann in der alltäglichen Datenschutz-Praxis die richtige Kommunikation dieser Thematik einen sehr großen Einfluss auf die erfolgreiche Umsetzung der gesetzlichen Anforderungen nehmen.

Erwartungen der unterschiedlichen Akteure

Mit Blick auf die Normen der DS-GVO ergeben sich drei wesentliche Akteure, deren Interessen und Erwartungen in Einklang gebracht und bei einer Kommunikation angemessen zu berücksichtigen sind.

Als erste Gruppe sind die Verantwortlichen zu benennen. Gemäß Art. 4 Nr. 7 DS-GVO handelt es sich hierbei um eine natürliche oder juristische Person, welche allein oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Der Verantwortliche ist für die Einhaltung der datenschutzrechtlichen Verpflichtungen in seinem Verantwortungsbereich zuständig. Bietet ein Unternehmen oder eine Behörde eine Internetseite, eine Präsenz in einem sozialen Netzwerk oder eine App an, so entscheidet diese(s) über den Zweck (z.B. Informationsportal für die Zielgruppe) und die Mittel (Bereitstellung einer Internetseite, einer Präsenz in einem sozialen Netzwerk oder einer App) der Verarbeitung personenbezogener Daten. Das Unternehmen bzw. die Behörde ist im Rahmen dieser Verarbeitung für die Einhaltung der datenschutzrechtlichen Normierungen verantwortlich.

Darüber hinaus sind die sogenannten betroffenen Personen anzuführen. Als betroffene Person bezeichnet die DS-GVO im Rahmen des Art. 4 Nr. 1 diejenigen natürlichen Personen, deren personenbezogene Daten verarbeitet werden. Den betroffenen Personen stehen insbesondere in Kapitel III der DS-GVO zahlreiche Rechte zu, beispielsweise die Bereitstellung transparenter Informationen über die jeweilige Datenverarbeitung, das Auskunftsrecht sowie das Recht auf Löschung. Über die Wahrnehmung der Rechte ist es den betroffenen Personen zumindest partiell jederzeit möglich, die Einhaltung des Datenschutzes durch den Verantwortlichen zu überprüfen.

Abschließend zu nennen sind die jeweils zuständigen datenschutzrechtlichen Aufsichtsbehörden des Bundes, der Länder bzw. der evangelischen und katholischen Kirchen. Ihre Aufgaben sind insbesondere die Durchsetzung und Überwachung sowie die Sensibilisierung hinsichtlich der datenschutzrechtlichen Anforderungen. Zur Durchsetzung können sich die Aufsichtsbehörden eines breiten Spektrums von Sanktionsmöglichkeiten, wie beispielsweise der Verhängung von Bußgeldern oder der Untersagung von Verarbeitungstätigkeiten bedienen.

Das Interesse bzw. die Erwartung aller genannten Akteure besteht zunächst in einer datenschutzkonformen Verarbeitung personenbezogener Daten, unterscheidet sich jedoch zunehmend im Detail. Während seitens der Verantwortlichen das Datenschutzrecht oftmals als „Verhinderer“ wahrgenommen wird, streben diese nach praxisnahen Lösungen, die den datenschutzrechtlichen Anforderungen (weitestgehend) entsprechen, jedoch zugleich die Geschäftstätigkeit nicht einschränken. Hierunter leiden oftmals insbesondere die datenschutzrechtlichen Dokumentationspflichten, wobei vor allem im Rahmen der digitalen Kommunikationswerkzeuge und den diesbezüglichen öffentlich einsehbaren Datenschutzinformationen die Folgen für die Verantwortlichen fatal sein können.

Betroffene Personen informieren sich mittels der verpflichtend bereitzustellenden Angaben über die Zwecke sowie die Durchführung der Datenverarbeitungen. Sie setzen diesbezüglich insbesondere eine Nachvollziehbarkeit der Datenverarbeitungen voraus, wobei sie seitens des Verantwortlichen eine hohe Sensibilität bezüglich datenschutzrechtlicher Anforderungen erwarten. Lässt die Darstellung der Datenschutzinformationen eine solche Sensibilität vermissen, beispielsweise da die bereitgestellten Angaben offensichtlich falsch sind oder gar datenschutzwidrige Verarbeitungen abbilden, wenden sich betroffene Personen zunehmend an die jeweils zuständigen Aufsichtsbehörden.

Die Aufsichtsbehörden müssen im Falle derartiger begründeter Eingaben tätig werden, können stets jedoch auch anlasslose Kontrolle durchführen. Dabei setzten die Aufsichtsbehörden seitens des Verantwortlichen stets ein hohes Bewusstsein für die durchgeführten Datenverarbeitungen voraus. Eine solche sollte sich insbesondere aus der Aktualität, Vollständigkeit und Richtigkeit der datenschutzrechtlichen Dokumentationen ergeben. Den Ansatzpunkt einer Überprüfung digitaler Kommunikationswerkzeuge stellen dabei zunächst die bereitgestellten Datenschutzinformationen sowie eine Plausibilitätskontrolle anhand technischer Untersuchungen dar. Für die Kommunikation folgt hieraus zwangsläufig, dass die Interessen des Verantwortlichen in Einklang mit den Erwartungen betroffener Personen und Aufsichtsbehörden zu bringen sind, um sich nicht der permanenten Gefahr einer entsprechenden Sanktionierung auszusetzen.

Datenschutz intern kommunizieren

Zunächst einmal ist festzuhalten, dass „Datenschutz“ nicht eine Aufgabe einer einzelnen Person des Verantwortlichen, beispielsweise des Datenschutzbeauftragten ist, sondern erst durch das Zusammenwirken aller Beteiligten erfolgreich bewältigt werden kann.

Die Leitungsebene trägt die Verantwortung für das datenschutzkonforme Agieren der gesamten Stelle. Ihr obliegt die Delegation datenschutzrechtlicher Handlungserfordernisse an weitere Führungskräfte bzw. an die Beschäftigten. Sie hat dafür Sorge zu tragen, dass nach den Regelungen des Art. 37 DS-GVO und §§ 5, 38 BDSG (Bundesdatenschutzgesetz) ein Datenschutzbeauftragter benannt und in die notwendigen Prozesse eingebunden wird. Weitere Führungskräfte haben die Aufgabe, die Einhaltung der datenschutzrechtlichen Anforderungen in ihrem Bereich zu überwachen, entsprechende Mängel zu beheben und die Kommunikation zwischen Beschäftigten, Leitungsebene und Datenschutzbeauftragten zu fördern. Aufgabe der Beschäftigten ist das datenschutzkonforme Handeln im Rahmen ihrer alltäglichen Arbeit, in Form der Umsetzung von Richtlinien, Arbeitsanweisungen sowie der Beachtung der im Rahmen von Sensibilisierungen dargestellten Handlungserfordernisse. Der Datenschutzbeauftragte berät alle Beteiligten, überwacht und fördert die Einhaltung der datenschutzrechtlichen Anforderungen. Darüber hinaus steht er betroffenen Personen und Aufsichtsbehörden als Ansprechperson zur Verfügung. Der Datenschutzbeauftragte ist dabei nicht zur Umsetzung der datenschutzrechtlichen Pflichten zuständig, dies obliegt allein dem Verantwortlichen.

Die Vielzahl der unterschiedlichen Beteiligten verdeutlicht, dass die Umsetzung datenschutzrechtlicher Anforderungen im Wesentlichen von der erfolgreichen Kommunikation untereinander abhängt. Das bedeutet jedoch auch, dass die Kommunikationsmöglichkeit unter den Beteiligten jeweils in beiden Richtungen eröffnet sein muss. Wird beispielsweise innerhalb einer Stelle durch die Leitungsebene eine Richtlinie zum Umgang mit personenbezogenen Daten verabschiedet, welche sich in der Praxis als nicht vollständig umsetzbar erweist, muss es den Beschäftigten möglich sein, derartige Schwachpunkte offen gegenüber den Führungskräften, der Leitungsebene und dem Datenschutzbeauftragten zu kommunizieren. Wird eine solche offene Kommunikation durch verschiedene Faktoren gehemmt, führt dies dazu, dass eine solche Richtlinie leerläuft und daraus datenschutzrechtliche Risiken erwachsen.

Besonders die Kommunikationskanäle zum Datenschutzbeauftragten sollten stets geöffnet sein. Einerseits ist dies zwingend erforderlich, damit der Datenschutzbeauftragte seinen Aufgaben nach Art. 39 DS-GVO angemessen nachkommen kann, andererseits wird hierdurch eine Möglichkeit geboten, vertrauliche Anliegen direkt mit dem Datenschutzbeauftragten zu klären, bevor datenschutzrechtliche Konflikte zu eskalieren drohen. Die Erfahrungen aus der Praxis zeigen, dass insbesondere im Rahmen des Beschäftigtendatenschutzes grundsätzlich ein nicht zu unterschätzendes Konfliktpotenzial besteht.

Seitens des Datenschutzbeauftragten ist darüber hinaus sicherzustellen, dass eine regelmäßige Erreichbarkeit gewährleistet wird. Dies setzt insbesondere bei externen Datenschutzbeauftragten nicht zwingend eine permanente Anwesenheit voraus, die Möglichkeit zum Austausch sollte jedoch durch E-Mail-Kommunikation, Telefonate oder Videokonferenzen sowie ergänzend durch angemessene Reaktionszeiten eröffnet werden. Der Datenschutzbeauftragte sollte neben seiner fachlichen Expertise entsprechend den Anforderungen des Art. 37 Abs. 5 DS-GVO auch die notwendigen sozialen Kompetenzen als wesentliche Voraussetzung einer zielführenden Kommunikation aufweisen. Auch wenn für den Verantwortlichen keine rechtliche Verpflichtung zur Benennung eines Datenschutzbeauftragten besteht, sollte sowohl für die Beschäftigten als auch für betroffene Personen eine Ansprechperson benannt werden, um auch in diesem Fall eine zentrale Anlaufstelle bieten zu können. Die Pflicht zur Umsetzung der datenschutzrechtlichen Anforderungen besteht für den Verantwortlichen ohnehin unabhängig von der gesetzlichen Pflicht zur Benennung eines Datenschutzbeauftragten.

Ebenfalls gegenüber Dienstleistern und Auftragsverarbeitern sind datenschutzrechtliche Anliegen und Verpflichtungen entsprechend zu kommunizieren. Dies kann beispielsweise über Verschwiegenheitsvereinbarungen oder Verträge zur Auftragsverarbeitung realisiert werden. Letztgenannte sind verpflichtend abzuschließen, sofern der Dienstleister personenbezogene Daten weisungsgebunden im Auftrag des Verantwortlichen verarbeitet oder ein Zugriff des Dienstleisters auf personenbezogene Daten nicht ausgeschlossen werden kann. Im Zusammenhang mit einer Internetseite betreffen dies beispielsweise den Hosting-Anbieter oder im Falle der Zugriffsmöglichkeit auf personenbezogene Daten der Nutzenden ebenfalls den technischen Betreuer. Insbesondere im Zusammenhang mit der Erstellung und Entwicklung von Internetseiten und Apps empfiehlt es sich darüber hinaus, bereits innerhalb der Leistungsvereinbarung Ergänzungen zur datenschutzkonformen Beschaffenheit aufzunehmen. Wird sodann im Rahmen der Abnahme festgestellt, dass nicht sämtliche datenschutzrechtlichen Anforderungen erfüllt werden, liegt ein Mangel vor. Der Dienstleister ist in diesem Falle auf eigene Kosten zur Nachbesserung verpflichtet.

Auch die Art und Weise der Kommunikation hat deutliche Auswirkungen auf die Effektivität der Umsetzung datenschutzrechtlicher Anforderungen und das Bewusstsein der Beschäftigten. Dessen müssen sich sowohl die Leitungsebene als auch der Datenschutzbeauftragte permanent bewusst sein. Als Negativ-Beispiele aus der Praxis zu benennen sind hierbei folgende Zitate von Führungspersonen verschiedener Verantwortlicher im Zusammenhang mit datenschutzrechtlichen Thematiken: „Der vom Datenschutz ist heute da. Wer hat denn hier Lust auf eine Datenschutzschulung?“, „Für die Veröffentlichung der Internetseite benötigen wir noch so eine Datenschutzerklärung. […] das sollte mit Copy & Paste ja schnell machbar sein.“ oder „Datenschutz ist ja ein wirklich sehr trockenes Thema. […] Ich wünsche viel Erfolg bei dem heutigen Ganztagesseminar!“. Derartige Äußerungen verkennen offensichtlich die Wichtigkeit der Thematik und bestätigen das durch die Medien geprägte Bild, nach welchem es sich bei Datenschutz um ein praxisfernes Übel handelt. Wenn die Führungsperson eines Verantwortlichen derart kommuniziert und agiert, aus welchen Gründen sollten die Beschäftigten dann anders handeln? Datenschutzrechtliche Verstöße sind auf diese Art und Weise bereits vorherzusehen.

Datenschutz extern kommunizieren

Welche besonderen Anforderungen gelten in der Kommunikation datenschutzrechtlicher Aspekte gegenüber Exernen? Das erfahren Sie in unserem Blog-Beitrag der nächsten Woche!

Dieser Beitrag war ein Bestandteil der Jahrestagung des Sächsischen Museumsbundes e.V. unter dem Titel „Museen und digitale Kommunikation“
am 21. März 2022 in Hoyerswerda.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.