Die DS-GVO bestimmt die Aufgaben des Datenschutzbeauftragten. Obwohl diese in der DSGVO klar von den Pflichten des Verantwortlichen abgegrenzt sind, übernehmen Datenschutzbeauftragte in der Praxis häufig Aufgaben, die die DS-GVO ihrem Wortlaut nach zweifelsfrei dem Verantwortlichen zuweist.
Der Datenschutzbeauftragte
Der „Datenschutzbeauftragte“ ist nicht in Art. 4 DS-GVO definiert. Erwägungsgrund 97 enthält jedoch Ausführungen zur Rolle des Datenschutzbeauftragten.
Im Falle bestimmter Verarbeitungen im privaten Sektor, solle der Verantwortliche bei der Überwachung der internen Einhaltung der Bestimmungen der DSGVO von einer weiteren Person, die über Fachwissen auf dem Gebiet des Datenschutzrechts und Datenschutzverfahren verfügt, unterstützt werden. Unabhängig davon, ob es sich bei Ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, sollten sie ihre Pflichten und Aufgaben vollständiger Unabhängigkeit ausüben können (EG 97).
Dem Datenschutzbeauftragten kommt somit nach den Erwägungsgründen die Rolle eines „Unterstützers“ zu. Aufgrund seiner Unterstützungsfunktionen und den ihm nach DS-GVO zugewiesenen Aufgaben darf der benannte Datenschutzbeauftragte nicht selbst die Einhaltung der Datenschutzvorschriften verantworten. Es steht Verantwortlichen, z.B. der Geschäftsführung, jedoch frei, die Verantwortung auf nachgelagerte Ebenen zu verlagern, vgl. z.B. BeckOK DatenschutzR/Moos, 42. Ed. 1.11.2021, DS-GVO Art. 38 Rn. 35.
Umfang der Unterstützung
Welche Aufgaben der benannte Datenschutzbeauftragte zur Unterstützung „zumindest“ wahrnehmen soll, ergibt sich aus Art. 39 Abs. 1 DS-GVO. Die Aufzählung der Aufgaben ist nicht abschließend.
Neben den „Mindestaufgaben“ kann der benannte Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter musss dann aber sicherstellen, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen, vgl. Art. 38 Abs. 6 DS-GVO. Diese Regelung erfasst Fälle, in denen Datenschutzbeauftragte nicht in Vollzeit tätig sind, sondern auch noch eine andere Tätigkeit im Unternehmen haben. Zwischen beiden Tätigkeiten darf es keinen Interessenkonflikt geben, weil in diesem Falle der Datenschutzbeauftragte nicht als wirksam benannt gilt. Gleichzeitig beinhaltet das Gebot der Vermeidung des Interessenkonflikts aber auch, dass ein benannter Datenschutzbeauftragter keine Aufgaben und Pflichten wahrnehmen kann, die nach dem Gesetz dem Verantwortlichen zugewiesen sind. Zum einen macht die DS-GVO klar, dass es sich lediglich um eine Unterstützungsfunktionen handelt, zum anderen ist der Wortlaut der DSGVO bei der Zuweisung von Pflichten an den Verantwortlichen eindeutig.
Ansprechpartner betroffener Personen
Des Weiteren ist der Datenschutzbeauftragten Ansprechpartner für betroffene Personen . Betroffene Personen können die Datenschutzbeauftragte oder den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß der DS-GVO , dem BDSG sowie anderen Rechtsvorschriften über den Datenschutz im Zusammenhang stehenden Fragen zurate ziehen. Die oder der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Person zulassen, verpflichtet, soweit sie oder er nicht davon durch die betroffene Person befreit wird, vgl. § 6 Abs. 5 BDSG.
Der Datenschutzbeauftragte als Erfüllungsgehilfe
Das LArbG Baden-Württemberg Urteil vom 1.6.2022, 4 Sa 65/21, Rz. 101, vertritt die Auffassung, dass ein Datenschutzbeauftragter Erfüllungsgehilfe des Verantwortlichen sein könne. Im dem Fall ging es unteranderem um die Frage, ob ein Auskunftsanspruch durch die Datenschutzbeauftragte erfüllt werden könne. Nach Auffassung des Gerichts, müsse ein Verantwortlicher gemäß Art. 12 Abs. 1 DS-GVO nur „geeignete Maßnahmen“ treffen, damit die Mitteilungspflicht gemäß Art. 15 DS-GVO erfüllt werde. Die Verantwortliche könne sich also zur Erfüllung ihrer Verpflichtung auch Erfüllungsgehilfen bedienen. Die Datenschutzbeauftragte sei eine geeignete Erfüllungsgehilfin.
Nach Art. 12 Abs. 1 DS-GVO hat der Verantwortliche geeignete Maßnahmen zu treffen, um der betroffenen Person alle Informationen, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache „zu übermitteln„. Nach dem Urteil kann die Übermittlung daher auch durch den Datenschutzbeauftragten erfolgen. Es wird allerdings auch die Auffassung vertreten, der Datenschutzbeauftragte bereits nicht für die Entgegennahme beispielsweise von Auskunftsersuchen zuständig sei, (Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 38 Rn. 37). Somit wäre er dann auch nicht für die Übermittlung der Auskunft zuständig. Unabhängig davon, welcher Auffassung man folgt, ist bei der Erfüllung der Betroffenenrechte und anderer Pflichten des Verantwortlichen immer auch das Gebot der Vermeidung von Interessenkonflikten zu beachten. Dem Datenschutzbeauftragten übertragene Aufgaben dürfen nicht zu Interessenkonflikten mit seiner Rolle führen. Während die Übermittlung, als eine reine Botenfunktion unproblematisch ist, dürfte die Zusammenstellung des Inhalts einer Antwort jedoch nicht dem benannten Datenschutzbeauftragten übertragen werden. Hier hätte der Datenschutzbeauftragter nämlich zugleich zu prüfen, ob der „materielle“ Inhalt der Antwort den Vorgaben der DS-GVO und der Rechtsprechung entspricht (z. Problem vgl. z.B. Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 38 Rn. 40a). Ein Interessenkonflikt des Datenschutzbeauftragten liegt auf der Hand, wenn die anderen Aufgaben und Pflichten ihn dazu veranlassen könnten, in die Rechte und Freiheiten der betroffenen Personen einzugreifen, vgl. Taeger/Gabel/Scheja, 4. Aufl. 2022, DS-GVO Art. 38 Rn. 75. In das Auskunftsrecht oder auch andere Rechte der betroffenen Personen würde er eingreifen können, wer er den „Inhalt“ bzw. die Umsetzung der Rechte zu verantworten hätte.
Ist der Datenschutzbeauftragte für alles verantwortlich?
Eine Klarstellung der Aufgaben des Datenschutzbeauftragten enthält auch das Urteil des Arbeitsgerichts Heilbronn vom 29.9.2022, 8 Ca 135/22/. In dem Urteil ging es um die Frage, ob einem internen Datenschutzbeauftragten bei der Nichtwahrnehmung bestimmter Aufgaben außerordentlich wegen einer Verletzung seiner Pflichten gekündigt werden kann. Das Urteil stellt fest, dass einem internen Datenschutzbeauftragten nicht außerordentlich gekündigt werden kann, wenn er keine Aufgaben wahrnimmt, die dem Verantwortlichen obliegen. Die fehlende Wahrnehmung von Aufgaben, die dem Verantwortlichen obliegen, stelle keine Amtspflichtverletzung des Datenschutzbeauftragten dar.
Der Datenschutzbeauftragte sei bei den ihm gesetzlich zugewiesenen Aufgaben als Amtsträger keinen Weisungen unterworfen, Art. 38 Abs. 3 DS-GVO . Ihm oblägen vorwiegend Unterrichtungs-, Beratungs- und Überwachungsaufgaben. Verantwortlich für die Umsetzung der Vorgaben der DS-GVO und des diese konkretisierenden und ergänzenden BDSG sei der Verantwortliche. Der Verantwortliche habe die vollständige Umsetzung datenschutzrechtlicher Vorschriften zu verantworten. Die Umsetzung könne entweder durch die Inanspruchnahme externer Hilfe oder durch eigene Mitarbeiter erfolgen. Nicht verantwortlich für ein ordnungsgemäßes Datenschutzniveau sei der Datenschutzbeauftragte. Die Argumentation des Urteils bestätigt die o.g. Literaturmeinung zur Verantwortlichkeit.
Verantwortliche müssten zudem darauf achten, dass sie bei Mitarbeitern, die zusätzlich die Funktion des Datenschutzbeauftragten wahrnehmen, die geltenden Arbeitszeitbestimmungen einhalten. Im Falle einer doppelten Tätigkeit bestehe die Gefahr, dass wesentliche arbeitszeitrechtliche Bestimmungen außer Acht gelassen werden. Häufig sind allein für die Tätigkeit des Datenschutzbeauftragten mehr Stunden zu veranschlagen, als zwischen den Parteien vorgesehen.
Die Hinweispflicht des Datenschutzbeauftragten
Das Gericht machte auch deutlich, dass Datenschutzbeauftragte Verantwortliche auf ein unzureichendes Datenschutzniveau mit hinreichender Deutlichkeit hinweisen müssten, um nicht Gefahr zu laufen, eine Abmahnung zu erhalten. Von daher sollten sich interne Datenschutzbeauftragte nicht scheuen, Schwachstellen eindeutig zu benennen und wiederholt auf eine fehlende Umsetzung rechtlicher Vorgaben hinzuweisen.
Sollten Sie Fragen zu den Aufgaben des Datenschutzbeauftragten, der Umsetzung der DS-GVO, des BDSG oder anderer Rechtsvorschriften zum Datenschutz haben, berate ich Sie gern. Eine Erstberatung ist kostenlos.
RA Christof Kolyvas – Datenschutz für Verantwortliche, Tel: +49 234 29831858
