Sonstige Pflichten von Verantwortlichen
Pflicht zur Unterstützung der/des Datenschutzbeauftragten
Pflicht zur ordnungsgemäßen und frühzeitigen Einbindung
Erstmals wird mit Artikel 38 Absatz 1 Datenschutz-Grundverordnung (DSGVO) der Verantwortliche gesetzlich verpflichtet, den Datenschutzbeauftragten ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Dies ist auch zwingend erforderlich, damit der Datenschutzbeauftragte seinen Beratungs- und Überwachungsaufgaben gerecht werden kann.
Gegebenenfalls sollte der Verantwortliche im Datenschutzkonzept oder in sonstigen organisatorischen Regelungen festlegen, wann und in welchen Fällen der Datenschutzbeauftragte zu Rate zu ziehen ist. Zum Beispiel könnte bestimmt werden,
- dass der Datenschutzbeauftragte den maßgeblichen Arbeitsgruppen angehört, die mit Datenverarbeitungstätigkeiten innerhalb des Verantwortlichen befasst sind,
- er zur Teilnahme an den regelmäßigen Besprechungen der Leitungsebene eingeladen wird,
- er bei einer Verletzung datenschutzrechtlicher Bestimmungen oder einem sonstigen Vorfall unverzüglich hinzuzuziehen ist.
Pflicht zur Bereitstellung von Ressourcen
Der Verantwortliche hat nach Artikel 38 Absatz 2 DSGVO den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben im erforderlichen Umfang zu unterstützen. Die dem Verantwortlichen in diesem Zusammenhang obliegenden Pflichten sind:
- Bereitstellen der erforderlichen Ressourcen wie ausreichend Arbeitszeit, Räume, eventuell weitere Mitarbeiter,
- Ermöglichung des Zugangs zu personenbezogenen Daten und Verarbeitungsvorgängen, zum Beispiel Zugang zu anderen Abteilungen wie Personal, Recht, IT und Sicherheit, um dort Unterstützung und Anregungen zu erhalten,
- Bereitstellen der zur Erhaltung des Fachwissens erforderlichen Ressourcen wie Fachliteratur, Ermöglichung der Teilnahme an Fortbildungen und am Erfahrungsaustausch mit anderen Datenschutzbeauftragten.
Auch hier gilt: Je komplexer und sensibler die Datenverarbeitungsvorgänge sind, desto mehr Ressourcen müssen dem oder der Datenschutzbeauftragten zur Verfügung gestellt werden.
Gewährleistung der Unabhängigkeit der/des Datenschutzbeauftragten
Weisungsfreiheit
Nach Artikel 38 Absatz 3 Satz 1 DSGVO ist die Weisungsfreiheit Kernstück der Unabhängigkeit des Datenschutzbeauftragten. Erwägungsgrund 97 stellt diesbezüglich klar: „Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.“ Dem Datenschutzbeauftragten dürfen somit keine Weisungen in seiner Funktion als Datenschutzbeauftragter erteilt werden. So ist es zum Beispiel nicht zulässig, ihm Vorgaben zur Erreichung eines ganz bestimmten Ziels, über die Art und Weise der Bearbeitung von Eingaben oder zur Zusammenarbeit mit Aufsichtsbehörden zu machen. Die Weisungsfreiheit beschränkt sich allerdings auf die Erfüllung seiner Aufgaben als Datenschutzbeauftragter und umfasst nicht seine sonstigen Aufgaben.
Abberufungsschutz und Benachteiligungsverbot
Der Datenschutzbeauftragte darf nicht wegen der Erfüllung seiner Aufgaben benachteiligt werden, Artikel 38 Absatz 2 DSGVO. Festgelegt wird dort außerdem, dass er wegen der Erfüllung seiner Aufgaben auch nicht abberufen werden darf. Ein besonderer arbeitsrechtlicher Kündigungsschutz ist in der Datenschutz-Grundverordnung jedoch nicht vorgesehen.
Die Datenschutz-Grundverordnung enthält keine Regelung dazu, wie und wann ein Datenschutzbeauftragter abberufen oder durch eine andere Person ersetzt werden kann. Eine Abberufung im Einvernehmen mit dem Datenschutzbeauftragten ist aber in der Praxis zum Beispiel zulässig, wenn der Datenschutzbeauftragte mit neuen fachlichen Aufgaben betraut werden soll, welche aufgrund von Interessenkollisionen die Fortsetzung der Tätigkeit als Datenschutzbeauftragter nicht mehr zulassen.
Der Datenschutzbeauftragte kann auch selbst sein Amt niederlegen. Er ist nicht verpflichtet, seine Funktion gegen seinen Willen wahrzunehmen, doch er muss dann dem Verantwortlichen ausreichend Zeit einräumen, einen neuen Beauftragten zu benennen.
Empfehlung: Bei der Benennung eines oder einer externen Datenschutzbeauftragten sollte durch Vereinbarung einer festen Vertragslaufzeit mit gewisser Dauer vertraglich sichergestellt werden, dass dem gesetzlichen Benachteiligungsschutz angemessen Rechnung getragen wird (vgl. „Merkblatt zu Mindestanforderungen an Qualifikation und Unabhängigkeit des Datenschutzbeauftragten“).
Unmittelbarer Berichtsweg zur Leitung
Artikel 38 Absatz 3 Satz 3 DSGVO eröffnet für Datenschutzbeauftragte einen unmittelbaren Berichtsweg zur höchsten Leitungsebene des Verantwortlichen.
Empfehlung: Die organisatorische Stellung des Datenschutzbeauftragten innerhalb des Verantwortlichen und sein direktes Berichtsrecht zur Leitung sollten in einem Organigramm transparent dargestellt werden (vgl. „Merkblatt zu Mindestanforderungen an Qualifikation und Unabhängigkeit des Datenschutzbeauftragten“).
Weitere Informationen
- Merkblatt zu Mindestanforderungen an Qualifikation und Unabhängigkeit des Datenschutzbeauftragten (*.pdf, 0,11 MB)
- Kurzpapier: Datenschutzbeauftragte bei Verantwortlichen und Auftragsverarbeitern (PDF-Datei auf der Website der Datenschutzkonferenz)