Data Protection Officer (DPO)

Montag, 07. August 2017

Data Protection OfficerDurch die Europäische Datenschutz-Grundverordnung und das vorgesehene Marktortprinzip dürfte der Data Protection Officer (DPO) an zunehmender Bedeutung gewinnen. Die Bezeichnung des Data Protection Officer wird im Englischen als Übersetzung des in Deutschland bekannten Beauftragten für den Datenschutz bzw. Datenschutzbeauftragten verwendet, der gemäß § 4 f Bundesdatenschutzgesetz (BDSG) zu bestellen ist. Die Aufgaben des Datenschutzbeauftragten (kurz DSB) ergeben sich nach aktuellem Stand noch aus § 4 g BDSG. Diese Funktion kann sowohl durch einen internen Mitarbeiter (mit besonderem /nachwirkenden Kündigungsschutz) oder durch einen externen Dienstleister als sogenannter „externer Datenschutzbeauftragter“ wahrgenommen werden. Die Aufgaben eines internen oder externen Datenschutzbeauftragten sind sehr weit gefächert, hierzu zählen insbesondere die Beratung und Schulung der Geschäftsführung, der Mitarbeiter, des Betriebsrates (sofern vorhanden). Typisch sind ferner die Unterstützung bei Betriebsvereinbarungen, Richtlinien, Arbeitsanweisungen, Dokumentationen, die optimale Gestaltung von, den Datenschutz berührenden, Prozessen und natürlich die Kernaufgabe der Überprüfung der Datenerhebung, -verarbeitung und –nutzung.

Wann sollte ein Datenschutzbeauftragter in Deutschland bestellt werden?

Ein Datenschutzbeauftragter muss bestellt werden, wenn …

 Automatisierte VerarbeitungNicht-automatisierte Verarbeitung
Nicht-Öffentliche Stelle(n) • Mindestens 10 Personen oder
• Vorabkontrolle oder
• wegen besonderem Zweck
o zur geschäftsmäßigen Übermittlung
o zur anonymisierten Übermittlung
o zur Meinungsforschung
Mindestens 20 Personen
Öffentliche Stelle(n)Jederzeit, unabhängig von Personenanzahl, Vorabkontrolle oder ZweckMindestens 20 Personen

Die automatisierte Verarbeitung wird in § 3 Abs. 2 S. 1 Bundesdatenschutzgesetz definiert: „Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen.“ Der Begriff Datenverarbeitungssystem meint jede Art von Computern und IT-Systemen. Aber auch für nicht-automatisierte Verarbeitung „[…], die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann“ (§ 3 Abs. 2 S. 2 BDSG), findet das Datenschutzgesetz Verwendung. Eine nicht-automatisierte Datei ist zum Beispiel die Personalakte.

Bei der Feststellung der Personenzahl sind alle Beschäftigten zu berücksichtigen. Auch Teilzeitkräfte, Leiharbeitnehmer, Mitglieder der Geschäftsleitung und ehrenamtlich Tätige müssen mitgezählt werden. Dabei ist nicht die Häufigkeit oder Intensität des Zugriffs entscheidend, sondern die Regelmäßigkeit des Zugriffs. Eine nur vorübergehende Tätigkeit z. B. als Urlaubsvertretung muss nicht berücksichtigt werden.

Bestellung eines Data Protection Officer (europäischer bzw. internationaler Datenschutzbeauftragter)

Der Data Protection Officer im europäischen bzw. internationalen Kontext gewinnt ebenfalls an Bedeutung. Insbesondere in Drittländern (außerhalb der europäischen Union bzw. des europäischen Wirtschaftsraums) dürften zukünftig zahlreiche Maßnahmen in punkto Datenschutz folgen müssen. Mit Inkrafttreten der EU-Datenschutz-Grundverordnung (EU-DS-GVO) müssen Unternehmen außerhalb der europäischen Union bzw. des europäischen Wirtschaftsraums, die Waren oder Dienstleistungen an EU-Bürger anbieten und in diesem Rahmen personenbezogene Daten erheben, verarbeiten oder nutzen, das „einheitliche europäische Datenschutzrecht“   befolgen. Dies wird unweigerlich dazu führen, dass der Einsatz eines Data Protection Officer auch für viele ausländische Unternehmen zur absoluten Pflicht wird, wenn diese weiterhin auf dem europäischen Markt tätig sein möchten und erhebliche Bußgelder vermeiden möchten.

Wann sollte eine Vorabkontrolle durch den Datenschutzbeauftragten bzw. Data Protection Officer erfolgen?

Grundsätzlich sind alle Verfahren, in denen personenbezogene Daten automatisiert verarbeitet werden, der zuständigen Datenschutzaufsichtsbehörde zu melden. Die Meldepflicht an die Aufsichtsbehörde entfällt allerdings, wenn die verantwortliche Stelle einen Datenschutzbeauftragten bestellt hat. Für diese Position kann ein interner Mitarbeiter (interner Datenschutzbeauftragter) oder auch externer Datenschutzbeauftragter bestellt werden.

Bei automatisierten Verarbeitungen, die besondere Risiken für die Rechte und Freiheiten eines Betroffenen aufweisen, muss gemäß § 4d Abs. 5 Bundesdatenschutzgesetz (BDSG) vor Beginn der Verarbeitung eine Prüfung, sogenannte Vorabkontrolle, durch den Datenschutzbeauftragten erfolgen. Zudem sollte eine Vorabkontrolle erfolgen, wenn besondere Angaben personenbezogener Daten, gemäß § 3 Abs. 9 BDSG, erhoben, verarbeitet oder genutzt werden sollen. Zu den besonderen Angaben personenbezogener Daten zählen unter anderem die Gesundheitsdaten oder die rassische Herkunft.

Nach § 4d Abs. 6 BDSG darf die Vorabkontrolle nur ein Datenschutzbeauftragter durchführen.

Welche Institutionen benötigen einen Datenschutzbeauftragten / Data Protection Officer?

Einen Datenschutzbeauftragten benötigen die gemäß § 2 BDSG definierten und sogenannten nicht-öffentlichen Stellen und die öffentlichen Stellen.

Unter nicht-öffentliche Stellen fallen:

  • natürliche Personen (z. B. Ärzte, Rechtsanwälte usw.),
  • juristische Personen (z. B. Gesellschaft mit beschränkter Haftung (GmbH), Aktiengesellschaft (AG)),
  • Personengesellschaften (z. B. Kommanditgesellschaft (KG), Offene Handelsgesellschaft (OHG) und
  • nicht rechtsfähige Vereine (z.B. Gewerkschaften, Berufsverbände)

Unter Öffentlichen Stellen sind zu verstehen:

  • Behörden
  • Organe der Rechtspflege
  • andere Einrichtungen des Bundes, Körperschaften und Stiftungen des öffentlichen Rechts etc.

Interner (betrieblicher) Datenschutzbeauftragter oder externer Datenschutzbeauftragter als Data Protection Officer?

Die Entscheidung, ob ein interner oder externer Datenschutzbeauftragter (bzw. interner oder externer Data Protection Officer) bestellt wird, ist der Geschäftsleitung überlassen. Diese Wahlmöglichkeit ist explizit im Art. 37 Abs. 6 DS-GVO geregelt und lautet wie folgt:

Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftraggebers sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrages erfüllen.

Ab Mai 2018 wirkt die Wahlmöglichkeit somit, wie auch die DS-GVO, unmittelbar.

Sowohl der Interne als auch der externe Datenschutzbeauftragte haben ihre Vor- und Nachteile. Viele „verantwortliche Stellen“ entscheiden sich häufig für den internen Datenschutzbeauftragten, weil dieser die internen Prozesse, Verfahren und Abläufe kennt. Für andere Unternehmen und Behörden, wirkt der besondere Kündigungsschutz des internen Datenschutzbeauftragten abschreckend, weshalb diese eher zum externen Datenschutzbeauftragten tendieren. Neben dem „abgespeckten“ Kündigungsschutz gehören die Objektivität und die Haftung zu den klaren Vorteilen eines externen Datenschutzbeauftragten.

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Bettina Sokol erklärte in ihrem 17. Datenschutzbericht folgendes: „Grundsätzlich ist die Möglichkeit für die Bestellung externer Beauftragter […] oft eine praktikable Lösung, da sie häufig selbst nicht über Personal verfügen, das die für Datenschutzbeauftragte erforderliche fachliche Eignung hat. Hier kann eine externe Person, die mehrere ähnlich strukturierte Unternehmen betreut, kostengünstiger und fachlich qualifizierter arbeiten.

Möchten Sie mehr über die Vor- und Nachteile des internen und externen Datenschutzbeauftragten erfahren, dann lesen Sie doch unseren Beitrag „Interner (betrieblicher) Datenschutzbeauftragter (DSB) vs. externer DSB – ein Vergleich“

Welche Anforderungen muss ein Data Protection Officer erfüllen?

Basierend auf den Anforderungen des Datenschutzbeauftragten zählen zu den Voraussetzungen eines Data Protection Officer in erster Linie die Fachkunde und die Zuverlässigkeit.

Die „verantwortliche Stelle“ hat beim internen Datenschutzbeauftragten für die Erhaltung seiner Fachkunde, insbesondere durch Kostenübernahme für Fort- und Weiterbildungsveranstaltungen einschließlich Freistellung für diese Zeiträume sowie die Kostenübernahme für Fachliteratur Sorge zur tragen hat. Ein externer Datenschutzbeauftragte sollte wiederrum über die erforderliche Fachkunde verfügen, bevor er bestellt wird.

Um die Zuverlässigkeit eines Datenschutzbeauftragten zu wahren, sollte insbesondere darauf geachtet werden, dass er keine Tätigkeiten im Unternehmen ausführt, die im Konflikt zu den Aufgaben des Datenschutzbeauftragten stehen. Dieser Interessenskonflikt ist insbesondere anzunehmen bei:

  • Geschäftsführern oder Vorständen
  • IT-Leitern
  • Vertriebsleiter
  • Personalleitern
  • aber auch z. B. bei IT-Administratoren.

Welche Änderungen sieht die EU-Datenschutz-Grundverordnung vor?

Die EU-Datenschutz-Grundverordnung (DS-GVO), die im Mai 2018 in Kraft tritt, sieht die Position des Datenschutzbeauftragten weiterhin vor, denn auch in der Grundverordnung besteht eine Bestellpflicht. Diese Pflicht besteht jedoch nur, sofern ein Unternehmen einer Tätigkeit nachgeht, welche aus datenschutzrechtlicher Perspektive einer besonderen Kontrolle bedarf. Jedem anderen Unternehmen steht es hingegen frei, einen Datenschutzbeauftragten einzubeziehen oder nicht.

Die Bedingungen für die Bestellung eines Datenschutzbeauftragten finden sich dabei im Art. 37 Abs. 1 DS-GVO. Darin steht:

„ (1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

  1. a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
  2. b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  3. c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10

 

Die EU-Datenschutz-Grundverordnung lässt den EU-Mitgliedstaaten zudem Raum für Sonderregelungen in Hinblick auf die Bestellung des Datenschutzbeauftragten.

Des Weiteren ist davon auszugehen, dass die Nachfrage nach zuverlässigen und fachkundigen Datenschutzbeauftragten weiter steigen wird, denn mit der Datenschutz-Grundverordnung gilt, wie bereits erläutert, das Marktortprinzip. Unternehmen, die ihre Ware und ihre Dienstleistungen innerhalb der EU / des EWR anbieten und in diesem Rahmen personenbezogene Daten erheben oder verarbeiten, müssen sich an das europäische Datenschutzrecht halten. Zudem können Unternehmensgruppen einen gemeinsamen Datenschutzbeauftragten ernennen.

Erläuterung des Begriffs „Kernbereich“ (Art. 37 Abs. 1 b) und c) DS-GVO) durch die Art. 29 Datenschutzgruppe

Am 13. Dezember 2016 veröffentlichte die Art. 29 Datenschutzgruppe eine Stellungnahme, welche dazu dienen sollte, den Begriff „Kerntätigkeit“ i.S.d. Art. 37 Abs. 1 b) und c) DS-GVO näher zu erläutern. Im Zusammenhang mit dem Erwägungsgrund 97 wurde der Begriff ausgewertet. Beide Gruppen kamen zu dem Schluss, dass unter dem Begriff „Kerntätigkeit“ jede Tätigkeit zu verstehen ist, die für die Erreichung der Ziele des Unternehmens essentiell sei, worunter beispielsweise die Verarbeitung von Gesundheitsdaten in einem Krankenhaus fällt.

Die Ziffer b) des Art. 37 Abs. 1 DS-GVO dürfte hierbei besonders für Unternehmen gelten, deren Kerngeschäft darin liegt mit personenbezogen Daten zu handeln oder zu agieren, wie beispielsweise Call Center, Anwaltskanzleien etc.

Weiterhin erläutert die Art. 29 Datenschutzgruppe, welche Merkmale für die Erfassung einer „umfangreiche Verarbeitung“ herangezogen werden, die in den Ziffern b) und c) des Art. 37 aufgeführt sind. So erschließt sich eine „ umfangreiche Verarbeitung“ aus:

  • der Anzahl der Betroffenen
  • der Dauer der Datenverarbeitung
  • der Menge der Daten sowie der Anzahl der verschieden Datensätze, wie auch
  • der geographischen Reichweite der Datenverarbeitung

Wann eine „umfangreiche Verarbeitung“ besteht, wird dabei in zahlreichen Beispielen innerhalb der Stellungnahme wiedergegeben.

Auswirkungen der Öffnungsklauseln

Trotz der unmittelbaren Geltung der DS-GVO in allen Mitgliedsstaaten der EU eröffnet die Datenschutz-Grundverordnung den Mitgliedsstaaten auch die Möglichkeit, nationale Sonderregeln bezüglich der Bestellung des Datenschutzbeauftragten einzuführen. Ob und inwieweit die Mitgliedstaaten von dieser „Öffnungsklausel“ Gebrauch machen, wird sich im Laufe der Zeit zeigen. Deutschland hatte sich dazu bereits frühzeitig geäußert und wird ein ähnliches System, wie bisher mit dem BDSG geregelt, beibehalten. Dabei ist zu erwarten, dass sich die zukünftigen deutschen Regelungen auch weiterhin an der bisher geltenden Bestellungspflicht des § 4 f Abs. 1 BDSG orientieren werden.

Wie wird ein Data Protection Officer bestellt?

Die derzeit in Deutschland geltende schriftliche Bestellung des Datenschutzbeauftragten nach § 4 f Abs. 1 S. 1 BDSG sieht die DS-GVO in ihrem Art. 37 Abs. 7 nicht vor. Darin wird lediglich eine „Benennung“ des Datenschutzbeauftragten gefordert. Jedoch ist nach § 37 Abs. 7 DS-GVO vorgegeben, dass

„Der Verantwortliche oder der Auftragsverarbeiter […] die Kontaktdaten des Datenschutzbeauftragten […] der Aufsichtsbehörde mit[zuteilen] [hat].“

Ob das Schrifterfordernis in Deutschland weiterhin durch eine mögliche Sonderregelung Bestand haben wird, wird sich in naher Zukunft zeigen. Zwar besteht die Möglichkeit, dass keine Pflicht zur schriftlichen Bestellung bestehen wird, es sollte jedoch aus Nachweisgründen nicht darauf verzichtet werden. Diese Urkunde sollte dabei sowohl durch die Geschäfts- (Geschäftsführer, Vorstand) bzw. Behördenleitung und auch durch die Person des Data Protection Officer / Datenschutzbeauftragten unterzeichnet werden.

Diese Funktion kann durch einen internen Mitarbeiter, auf der Basis des Arbeitsvertrages sowie der Bestellungsurkunde, und als externer (betrieblicher) Datenschutzbeauftragter, basierend auf einem Dienstleistungsvertrag und der Bestellungsurkunde, ausgeübt werden.

Schauen Sie sich unsere Muster Bestellungsurkunde – externer Datenschutzbeauftragter Paragraf 4f BDSG an.

Anforderung für den Datenschutzbeauftragten oder Data Protection Officer nach der DS-GVO

 

Die Anforderungen für einen Datenschutzbeauftragten nach Art. 37 Abs. 5 DS-GVO sind weitestgehend mit der bisher in Deutschland geltenden Regelung im § 4f Abs. 2 S. 1 und 2 BDSG identisch. So fordert auch der Art. 37 Abs. 5 DS-GVO vom Berufenen

  • eine ausreichende berufliche Qualifikation
  • Fachwissen im Bereich Datenschutz und Datenpraxis sowie
  • die Fähigkeit, die gesetzlich definierten Aufgaben erfüllen zu können.

Trotz der Möglichkeit, jeden mit ausreichender Kenntnis die Position des Datenschutzbeauftragten zuteilen zu können, sollte diese Position nicht leichtfertig vergeben werden. Die stetigen Neuentwicklungen und komplexer werdenden Datenprozesse sind nicht zu unterschätzen und bedürfen spätestens mit der Einführung der komplexeren DS-GVO einen Datenschutzbeauftragten, der auch im juristischen Bereich entsprechende Qualifikationen besitzt.

 

Haben Sie noch Fragen zum internen oder externen Datenschutzbeauftragten, dann nehmen Sie Kontakt zu uns auf oder fordern Sie ein unverbindliches Datenschutz-Angebot an.

 


 

Nützliche Dienstleistungen können sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts