Die Artikel-29-Datenschutzgruppe (das Koordinationsgremium der Datenschutzbehörden der Mitgliedsstaaten auf EU-Ebene) hat am 13. Dezember 2016 Leitlinien und FAQs veröffentlicht, die sich mit den Regelungen der Datenschutz-Grundverordnung (DS-GVO) zum Datenschutzbeauftragten (Art. 37-39 DS-GVO) befassen. Zwar sind diese Leitlinien rechtlich nicht verbindlich. Sie geben aber einen Eindruck davon, wie die europäischen Datenschutzbehörden die Bestimmungen interpretieren und dienen so als Orientierungshilfe für die Praxis.

English Summary

On 13 December 2016, the Article 29 Data Protection Working Party (the coordination group of the member states’ data protection authorities on EU level) published guidelines and FAQs regarding the provisions of the General Data Protection Regulation (GDPR) on the Data Protection Officer (Art. 37-39 GDPR). Although the guidelines are not binding, they provide an idea of how the European data protection authorities will interpret these provisions and therefore give guidance for practical application of the GDPR.

Keine Verantwortlichkeit des Datenschutzbeauftragten

Zunächst stellt die Artikel-29-Gruppe klar, dass der Datenschutzbeauftragte im Fall von Verstößen gegen die DS-GVO nicht persönlich verantwortlich ist. Wie bereits nach geltendem deutschen Recht, liegt die Verantwortung für die Einhaltung der datenschutzrechtlichen Anforderungen auch unter der DS-GVO ausschließlich beim “Verantwortlichen” im Sinne des Art. 4 Ziffer 7 DS-GVO bzw. nunmehr auch beim Auftragsverarbeiter. Da jedoch nach Artikel 83 Abs. 4 lit. a) DS-GVO – anders als nach geltendem Recht – Bußgelder gegen den Verantwortlichen bzw. Auftragsverarbeiter verhängt werden können, wenn der Datenschutzbeauftragte seinen Aufgaben nach Art. 39 DS-GVO nicht ordnungsgemäß nachkommt, müsste die allgemeine Compliance-Abteilung eines Unternehmens die ordnungsgemäße Aufgabenerfüllung des Datenschutzbeauftragten überwachen und gegebenenfalls einschreiten, um HAftungrisiken zu vermeiden. Wie sich dies wiederum mit der Weisungsfreiheit des Datenschutzbeauftragten nach Art. 38 Abs. 3 Satz 1 DS-GVO verträgt, ist allerdings noch unklar.

Konkretisierung der Anforderungen, wann ein Datenschutzbeauftragter bestellt werden muss

Nach Art. 37 Abs. 1 lit. b) DS-GVO ist ein Datenschutzbeauftragter verpflichtend zu bestellen, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Gemäß Art. 37 Abs. 1 lit. b) DS-GVO muss ein Datenschutzbeauftragter bestellt werden, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten (z.B. Gesundheitsdaten) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht. Die Datenschutzgruppe konkretisiert die Begriffe “Kerntätigkeit” sowie “umfangreiche, regelmäßige und systematische Überwachung”.

Die Datenschutzgruppe legt den Begriff der “Kerntätigkeit” weit aus. Als Beispiel wird die Tätigkeit eines Krankenhauses angeführt. Der Kern der Tätigkeit ist zwar die medizinische Versorgung. Diese könne aber nicht ohne die Verarbeitung von Gesundheitsdaten effektiv durchgeführt werden. Damit stelle die Verarbeitung von Daten eine der Kernaktivitäten dar, so dass in diesem Fall eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht. Zweck der unternehmerischen Tätigkeit muss also nicht die Datenverarbeitung als solche sein (wie z.B. bei einer Auskunftei oder einem sozialen Netzwerk). Demgegenüber stuft die Datenschutzgruppe die Verarbeitungen von Daten in Zusammenhang mit der Verwaltung des Personals oder des IT-Supports nicht als Kerntätigkeit ein.

Anschließend erläutert die Datenschutzgruppe, wann von einer „umfangreichen“ Verarbeitung von Daten i.S.d. Art. 37 Abs. 1 lit. b) und c) DS-GVO ausgegangen werden kann. Als Kriterien sollen die Zahl der betroffenen Personen, der Umfang der zu verarbeitenden Daten, die Dauer und die geografische Ausdehnung der Datenverarbeitung herangezogen werden. Die Verarbeitung von Patientendaten durch ein Krankenhaus oder von Kundendaten durch eine Bank im regulären Geschäftsablauf stelle zum Beispiel eine umfangreiche Datenverarbeitung dar. Demgegenüber sei dies nicht der Fall sein soll, wenn zum Beispiel ein einzelner Anwalt persönliche Daten hinsichtlich Straftaten oder strafrechtlicher Verurteilungen verarbeitet.

Hinsichtlich des Begriffes der „regelmäßigen und systematischen” Überwachung führt die Datenschutzgruppe zunächst abstrakte Kriterien auf, nennt aber auch zahlreiche konkrete Beispiele:

  • Betrieb eines Telekommunikationsnetzes;
  • Erbringung von Telekommunikationsdiensten;
  • E-Mail-Re-Targeting;
  • Profiling und Scoring für Zwecke der Risikobewertung (z.B. bei der Kreditvergabe, Berechnung von Versicherungsbeiträgen, Betrugsprävention und Geldwäscheprüfungen);
  • Location-Tracking (z.B. über Apps);
  • Kundenbindungsprogramme;
  • verhaltensbasierte Werbung;
  • Überwachung der Fitness und Gesundheit über Wearables;
  • Videoüberwachung; und
  • Connected Devices (z.B. Smart Meter, Smart Cars oder Home Automation).

Eine regelmäßige und systematische Überwachung sei nicht nur auf die Online-Welt beschränkt, sondern auch „offline“ möglich.

Konzern-Datenschutzbeauftragter

Nach Art. 37 Abs. 2 DS-GVO kann eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann. Hierzu sei erforderlich, dass der Datenschutzbeauftragte in einer Position befindet, in der er mit den betroffenen Personen effizient kommunizieren und mit den Aufsichtsbehörden kooperieren kann. Es müssen daher eventuelle Sprachbarrieren berücksichtigt werden.

Anforderungen an den Datenschutzbeauftragten

Zu den Anforderungen an die Person des Datenbeauftragen gem. Art. 37 Abs. 5 DS-GVO führt die Datenschutzgruppe u.a. aus, dass dieser hinreichendes Wissen bezüglich der Verarbeitungsprozesse sowie der Informationssysteme und den Datenschutzbedürfnissen des Verantwortlichen haben sollte. In persönlicher Hinsicht sollte der Datenschutzbeauftragte Integrität vorweisen und sich einem hohen Berufsethos verschreiben. Die Voraussetzungen entsprechen den Anforderungen an “Fachkunde und Zuverlässigkeit” nach derzeitigem deutschen Recht.

Stellung des Datenschutzbeauftragten

Hinsichtlich der Stellung des Datenschutzbeauftragten hält die Datenschutzgruppe fest, dass dieser so frühzeitig wie möglich in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden werden muss und gegebenenfalls Richtlinien aufgestellt werden sollten, die regeln, wann der Datenschutzbeauftragte hinzugezogen werden wird. Je nach Größe der Organisation kann es auch erforderlich sein ein „Datenschutzbeauftragten-Team“, bestehen aus einem Datenschutzbeauftragten und seinen Mitarbeitern, aufzustellen.

Weisungsfreiheit und Aufgaben des Datenschutzbeauftragten

In den Leitlinien befasst sich die Datenschutzgruppe noch mit vielen weiteren Themen, wie z.B. der Autonomie des Datenschutzbeauftragten nach Art. 38 Abs. 6 DS-GVO oder die ihm obliegenden Aufgaben nach Art. 39 DS-GVO.

Sofern Mitarbeiter als Datenschutzbeauftragte in Teilzeit bestellt werden, muss in jedem Fall sichergestellt werden, dass kein Interessenkonflikt mit seiner weiteren Tätigkeit besteht. Dies sei nach Auffassung der Datenschutzgruppe immer dann der Fall, wenn die Person selber über die Zwecke und Mittel der Datenverarbeitung bestimmt und sich daher selber kontrollieren müsste. Solche Interessenkonflikte sind bereits nach geltendem Recht zu vermeiden und können bereits jetzt zu Bußgeldern führen. Wie bereits nach geltendem Recht, führen dies Kriterien zur Vermeidung von Interessenkonflikten dazu, dass Mitglieder der Geschäftsführung als Datenschutzbeauftragte ausscheiden.

Fazit

Unternehmen sollten in jedem Fall genau prüfen, ob ein Datenschutzbeauftragter bestellt werden muss. Ist dies der Fall, kann auch weiterhin neben eigenen Mitarbeitern auf einen externen Datenschutzbeauftragten zurückgegriffen werden.

Interessant ist die Auffassung, der Datenschutzgruppe, dass die Art. 37-39 DS-GVO auch in vollem Umfang, wie bei einer verpflichtenden Bestellung, Anwendung finden sollen, wenn ein Unternehmen aufgrund des Fehlens der Voraussetzungen des Art. 37 Abs. 1 DS-GVO eigentlich keinen Datenschutzbeauftragten bestellen muss, die jedoch dennoch freiwillig tut. Datenschutzgruppe empfiehlt bei einer freiwilligen Bestellung eine andere Bezeichnung für die Position zu wählen. Eine solche Auffassung dürfte jedoch zumindest im Hinblick auf die Verhängung von Bußgeldern unzutreffend sein. Ein Unternehmen, dass nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, kann bei einer freiwilligen Bestellung nicht für Fehler bestraft werden. Um Konflikte mit der zuständigen Datenschutzaufsicht zu vermeiden, sollten Unternehmen jedoch genau überlegen, welchen Titel sie einem freiwillig bestellten “Datenschutzberater” geben.

In Deutschland beabsichtigt der Gesetzgeber zudem, neben den Voraussetzungen des § 37 Abs. 1 DS-GVO, die bisherige, niedrigere Schwelle für eine Bestellungspflicht (d.h. in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt) beizubehalten (siehe § 36 Abs. 1 des Referentenentwurfs zum “Datenschutz-Anpassungs- und -Umsetzungsgesetz EU” – DSAnpUG-EU). In diesem Fall düfte sich die Frage nach einer freiwilligen Bestellung des Datenschutzbeauftragten für die meisten Unternehmen erübrigen.