Benennung von Datenschutzbeauftragten
Nach Artikel 37 Absatz 1 Buchstabe a Datenschutz-Grundverordnung (DSGVO) hat jede öffentliche Stelle einen Datenschutzbeauftragten zu benennen. Für nicht-öffentliche Stellen wie Unternehmen, Vereine etc. gilt das nur, wenn mindestens eine der in Artikel 37 Absatz 1 Buchstaben b oder c DSGVO oder aber in § 38 Abs. 1 Bundesdatenschutzgesetz beschriebenen Voraussetzungen erfüllt ist.
Formale Voraussetzungen
Die Datenschutz-Grundverordnung spricht in Artikel 37 von einer Benennung des Datenschutzbeauftragten. Eine Schriftform ist nicht zwingend vorgeschrieben. Jedoch besteht eine Veröffentlichungs- und Mitteilungspflicht.
Aus Beweisgründen und zur Rechtsklarheit empfehlen wir eine schriftliche Dokumentation der Benennung. Neben dem Zeitpunkt des Wirksamwerdens der Benennung sollten auch die gesetzlichen und gegebenenfalls zusätzlich vereinbarten Aufgaben des Datenschutzbeauftragten, dessen Zeitkontingent sowie gegebenenfalls die zur Verfügung gestellten Ressourcen schriftlich fixiert werden, damit sich Verantwortlicher und Datenschutzbeauftragter über diese im Klaren sind.
Berufliche Qualifikation, Fachwissen und persönliche Voraussetzungen des oder der Datenschutzbeauftragten
Die Datenschutz-Grundverordnung bestimmt in Artikel 37 Absatz 5, dass der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt wird, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 DSGVO genannten Aufgaben.
Der Begriff der beruflichen Qualifikation wird in der Datenschutz-Grundverordnung nicht weiter erklärt, und auch für das erforderliche Fachwissen fehlt eine Beschreibung. Jedenfalls verlangt aber die Vorschrift Fachwissen auf dem Gebiet des Datenschutzrechts, der Datenschutztechnik und der Datenschutzpraxis. Hierzu gehören fundierte Kenntnisse der datenschutzrechtlichen Grundlagen, insbesondere der Datenschutz-Grundverordnung, des Sächsischen Datenschutzdurchführungsgesetzes, bereichsspezifischer Datenschutzbestimmungen und der jeweils anzuwendenden Verwaltungsvorschriften, wie auch Kenntnisse über die internen Prozesse des Verantwortlichen, solides Fachwissen in Bezug auf das IT-System und die IT-Sicherheitsmaßnahmen. Das jeweils erforderliche Niveau des Fachwissens richtet sich insbesondere nach den durchgeführten Verarbeitungsvorgängen und dem erforderlichen Schutz der personenbezogenen Daten. Je komplexer die Datenverarbeitungen im Einzelfall sind oder je größer die Menge sensibler Daten ist, desto höher sind die Anforderungen an das notwendige Fachwissen von Datenschutzbeauftragten.
Das Erfordernis der persönlichen Zuverlässigkeit ergibt sich aus der Aufgabenstellung des oder der Datenschutzbeauftragten, Ansprechpartner des Verantwortlichen und der betroffenen Personen zu sein. Hierfür sind ein hohes Maß an persönlicher Integrität, Berufsethik und Kommunikationsfähigkeit erforderlich. So kommen zum Beispiel Personen für eine Benennung nicht in Frage, die bereits Datenschutzverstöße begangen oder Verschwiegenheitspflichten verletzt haben.
Kein Interessenkonflikt
Der Verantwortliche hat gemäß Artikel 38 Absatz 6 DSGVO sicherzustellen, dass vom Datenschutzbeauftragten gegebenenfalls wahrzunehmende andere Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Generell gilt der Grundsatz, dass der Kontrolleur sich selbst kontrollieren darf.
Danach ist zum Beispiel die Benennung des Leiters der IT- oder der Personalabteilung, von Mitarbeiterinnen und Mitarbeitern in leitender Position mit besonderer Nähe zur Leitung des Unternehmens oder der Behörde, des Geheimschutzbeauftragten oder von Vorstandsmitgliedern von Betriebs- oder Personalräten zum internen Datenschutzbeauftragten unzulässig.
In formeller Hinsicht wird die Benennung des Datenschutzbeauftragten mit der Veröffentlichung von dessen Kontaktdaten und der Mitteilung an die Sächsische Datenschutzbeauftragte vollzogen (Artikel 37 Absatz 7 DSGVO).
Zu den durch den Verantwortlichen zu veröffentlichenden und der Aufsichtsbehörde mitzuteilenden Kontaktdaten des Datenschutzbeauftragten gehören mindestens folgende:
- Postadresse
- Telefonnummer
- E-Mail-Adresse
Die Kontaktdaten sind sowohl innerhalb der Organisation des Verantwortlichen (Intranet, Geschäftsverteilungspläne) als auch auf dessen Internetseite zu veröffentlichen und der Sächsischen Datenschutzbeauftragten mitzuteilen. Die Sächsische Datenschutzbeauftragte stellt für die Meldung der Kontaktdaten ein Webformular bereit. Die Veröffentlichung oder Mitteilung des Namens des Datenschutzbeauftragten ist nach der Datenschutz-Grundverordnung nicht zwingend. Bei der Veröffentlichung der Mailadresse im Internet genügt es, ein Funktionspostfach anzugeben.
Häufige Fragen
Nach Artikel 37 Absatz 5 DSGVO ist ein betrieblicher Datenschutzbeauftragter auf der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der ihm nach Artikel 39 DSGVO obliegenden Aufgaben zu benennen. Die erforderliche Qualifikation des Datenschutzbeauftragten richtet sich nach Erwägungsgrund 97 in erster Linie nach den von dem Unternehmen durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz der verarbeiteten personenbezogenen Daten.
Darüber hinausgehende dezidierte Vorgaben zum Fachkundeerwerb hat der Verordnungsgeber nicht gemacht, insbesondere hat er auch keine speziellen Ausbildungen und Abschlüsse vorgeschrieben, auch ist keine Zertifizierung zum Nachweis der Fachkunde erforderlich. Vor diesem Hintergrund haben Unternehmer bei der Auswahl geeigneter Weiterbildungsveranstaltungen also einen gewissen Spielraum, müssen insoweit aber sicherstellen, dass der oder die zu benennende Datenschutzbeauftragte im spezifischen Unternehmenskontext fachlich und persönlich zur Erfüllung seiner Aufgaben in der Lage ist.
Die Zulässigkeit einer Benennung juristischer Personen als Datenschutzbeauftragter ist höchstrichterlich ungeklärt. Die praktische Compliance mit der DSGVO erfordert allerdings nach Auffassung der Sächsischen Datenschutzbeauftragten, dass die konkret funktionell als Datenschutzbeauftragter zuständige natürliche Person klar feststeht.
Aus der DSGVO ergeben sich eine Reihe zwingend zu erfüllender Voraussetzungen, die durch die Bestellung lediglich einer juristischen Person nicht erfüllt werden können:
Nach Erwägungsgrund 97 und Artikel 37 Absatz 5 DSGVO muss etwa der Datenschutzbeauftragte eine berufliche Qualifikation und insbesondere Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis aufweisen. Beides ist einer juristischen Person als solcher nicht möglich. Auch die vom Gesetz vorgesehene Vertraulichkeit und Unabhängigkeit können bei Bestellung einer juristischen Person nicht gewährleistet werden. Gleiches gilt für die Dokumentationspflichten insoweit, da der Verantwortliche sich seiner Verantwortung durch Bestellung eines externen Datenschutzbeauftragten nicht entziehen kann.
Eine lediglich formelle Bestellung einer juristischen Person ohne eindeutige Festlegung der persönlichen Verantwortlichkeiten kann diese Voraussetzungen nicht erfüllen und vermag nach Auffassung der Sächsischen Datenschutzbeauftragten die Pflicht zur Bestellung eines Datenschutzbeauftragten nicht zu erfüllen. Zulässig und üblich ist jedoch der Einsatz von durch die als Datenschutzbeauftragten benannten weiteren natürlichen Personen, etwa als Vertreter/in, Datenschutzansprechpartner/in, Koordinator/in etc.
Der Europäische Datenschutzausschuss (EDSA) hat in der Vergangenheit die Benennung einer juristischen Person zwar für zulässig befunden. Das durch den EDSA bestätigte Working Paper 243 rev. 0.1 setzt allerdings voraus, dass jedes Mitglied derjenigen Einrichtung, die die Funktion eines Datenschutzbeauftragten wahrnimmt, sämtliche in Abschnitt 4 der DSGVO genannten Anforderungen erfüllt. Ebendort wird, im Interesse der Rechtssicherheit und einer ordnungsgemäßen Organisation, aber auch, um Interessenkonflikte der Teammitglieder zu vermeiden, empfohlen, eine klare Aufgabenverteilung innerhalb des Datenschutz-Teams der juristischen Person vorzusehen und eine einzelne Person als primären Ansprechpartner festzulegen, der zugleich für den jeweiligen Kunden »zuständig« ist.
Jedenfalls bis zur höchstrichterlichen Klärung, ob diese Funktionsbedingungen – mit Auffassung der Sächsischen Datenschutzbeauftragten – verpflichtend sind, stellt die Benennung einer juristischen Person als Datenschutzbeauftragter jedenfalls ein erhebliches Compliance- und Haftungsrisiko dar.
Nein. Fraktionen, Gruppen, fraktions- oder gruppenlose Kreis- oder Gemeinderäte sind ebenso wenig wie einzelne Kreis- oder Gemeinderäte für sich verpflichtet, eigene Datenschutzbeauftragte zu bestellen. Sie unterfallen der Zuständigkeit der oder des Datenschutzbeauftragten des jeweiligen Landkreises beziehungswiese der jeweiligen Gemeinde.
Nach Artikel 37 Absatz 1 Buchstabe a DSGVO besteht die Pflicht zur Benennung eines Datenschutzbeauftragten, wenn die Verarbeitung personenbezogener Daten von einer Behörde oder öffentlichen Stelle erfolgt. Nach § 2 des Sächsischen Datenschutzdurchführungsgesetzes werden Behörden und sonstige öffentliche Stellen des Freistaates Sachsen, der Gemeinden und der Landkreise als öffentliche Stellen angesehen.
Bei den Kreistagen und Gemeinderäten handelt es sich nicht um Parlamente und nicht um Organe der Legislative, mithin nicht um selbständige öffentliche Stellen. Vielmehr gehören die Kreistage und Gemeinderäte als Organe der kommunalen Selbstverwaltung zur Exekutive, also zum Landkreis oder zu der Gemeinde, die die öffentliche Stelle ist. Das kann aus den Regelungen der Sächsischen Landkreisordnung und Sächsischen Gemeindeordnung abgeleitet werden. Nach § 23 Sächsische Landkreisordnung ist der Kreistag das Hauptorgan des Landkreises. Er entscheidet über alle grundlegenden Angelegenheiten des Landkreises und kann Grundsätze für die Verwaltung des Landkreises festlegen (§ 24 Sächsische Landkreisordnung). Gleichartige Regelungen enthalten die §§ 27, 28 Sächsische Gemeindeordnung für die Gemeinderäte. Fraktionen, Gruppen und Kreis- oder Gemeinderäte sind Teile des Kollegialorgans Kreistag oder Gemeinderat.
Im Ergebnis muss daher der Landkreis oder die Gemeinde eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten benennen. Dieser ist auch für das Kollegialorgan Kreistag oder Gemeinderat und damit auch die Fraktionen oder Kreis- und Gemeinderäte zuständig.
Bei den Eltern- und Schülerräten an Schulen sind letztere datenschutzrechtlich die Verantwortlichen. Es müssen daher auch durch die Eltern- und Schülervertretungen keine Datenschutzbeauftragten benannt werden. Gleiches gilt für die regionalen Vertretungen, namentlich den Kreiselternrat, den Landeselternrat, den Kreisschülerrat sowie den Landesschülerrat. Auf Kreis- und auf Landesebene ist das Landesamt für Schule und Bildung Verantwortlicher. Hierfür sprechen die sowohl in der Schülermitwirkungsverordnung als auch in der Elternmitwirkungsverordnung geregelten Vorlage-, Genehmigungs- und Unterstützungspflichten. Die Auffassung zur Verantwortlichkeit vertritt auch das Sächsische Staatsministerium für Kultus.
Weitere Informationen
- Benennungspflicht von Datenschutzbeauftragten bei Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs (PDF-Datei auf der Website der Datenschutzkonferenz)