Der ein oder andere Datenschutzbeauftragte hat in den letzten Jahren mehr Aufmerksamkeit erfahren als zuvor. Zum einen, weil das Thema Datenschutz einen anderen Stellenwert bekam, zum anderen, weil mancher Verantwortliche auf einmal einen Datenschutzbeauftragten benennen musste.
Trotzdem zeigt die Praxis immer wieder, dass der ein oder andere Verantwortliche noch nicht so richtig weiß, welche Verpflichtung er gegenüber seinem Datenschutzbeauftragten hat. Verantwortliche, d.h. letztlich die Geschäftsleitung, sind verpflichtet, den benannten DSB ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Diese Pflicht besteht, egal ob die Stellungnahme des Datenschutzbeauftragten als „Spielverderber“ erweist oder einen Mehrwert für das Projekt darstellt.
Welcher Datenschutzbeauftragte kennt nicht die kreative Auslegung der Begriffe „ordnungsgemäß und frühzeitig.“ Die Bandbreite reicht von einer seiner guten Einbindung des DSB zum Projektstart bis zur zufälligen Kenntnisnahme des neuen Verfahrens, wenn eine Verarbeitung schon längere Zeit in Betrieb ist. Der ein oder andere präsentiert dem Datenschutzbeauftragen auch Dokumente: „Wir haben schon alles berücksichtigt!“. Wären die Dokumente ein Kochrezept, würde man meistens besser Essen zu gehen.
„BRINGSCHULD“ DER GESCHÄFTSFÜHRUNG
Einbindung und praktische Umsetzung
Was aber bedeutet die Pflicht zur „ordnungsgemäßen und frühzeitigen“ Einbindung in der praktischen Umsetzung? Beide Begriffe sind nicht gesetzlich definiert, so dass gewisser Raum zur Auslegung bleibt. Ein Blick in die Kommentierung zur DSGVO zeigt jedoch, dass „Leitplanken“ bestehen, innerhalb derer sich Verantwortliche zu bewegen haben.
Zunächst einmal gilt: Die Geschäftsführungen oder die Projektverantwortlichen haben eine „Bringschuld“. Es ist nicht Aufgabe des DSB die Projekte und notwendigen Informationen zu suchen oder vor vollendete Projekte gestellt zu werden. Verantwortliche haben ihn vielmehr unaufgefordert und so zeitnah einzubinden, dass er ausreichend Zeit hat, seiner gesetzlichen Beratungsaufgabe nachzukommen. Da der Verantwortliche für die Verarbeitung Rechenschaftspflichtig ist, sollte der DSB bereits in der Konzeptionsphase eingebunden werden. Dadurch können wesentliche Anforderungen an die Ausgestaltung der zukünftigen Verarbeitungen auf Rechtskonformität geprüft und ggf. angepasst werden. Der Datenschutzbeauftragte muss ausreichend Zeit erhalten, sich mit der geplanten Verarbeitung zu befassen und eine Bewertung vornehmen können. Eine Bewertung, die den Verantwortlichen in die Lage versetzt, eine Entscheidung zu treffen. Bereits aus Gründen der Fairness sollte dem Datenschutzbeauftragten ausreichend Zeit gewährt werden. Ebenso ist zu berücksichtigen, dass die Ergebnisse der datenschutzrechtlichen Beratung noch unternehmensintern besprochen werden müssen, mit allen Konsequenzen für das Projekt, die Verantwortlichen des Projekts und die Kosten.
Ordnungsgemäß bedeutet insbesondere, dass der DSB alle erforderlich Informationen unaufgefordert von den Projektverantwortlichen erhält. Es ist nicht seine Aufgabe, den Informationen aus welchen Gründen auch immer nachzulaufen. Um die Beratung durchzuführen, ist eine komplette Erfassung des Projekts erforderlich. Dies kann auch detaillierte Informationen erfordern. Da diese nicht immer schnell vorliegen oder Nachfragen bei Dritten erfordern, ist man wieder beim Zeitfaktor „frühzeitig“.
Die frühzeitige und ordnungsgemäße Einbindung des DSB vermeidet insbesondere auch Frustrationen bei allen Beteiligten, bei denen das Thema Datenschutz an sich schon Abwehrreflexe hervorruft.
Für den Verantwortlichen aber ist insbesondere auch unter dem Aspekt der Haftung der Geschäftsleitung zu berücksichtigen, dass ein Verstoß gegen die Pflicht den DSB ordnungsgemäß und frühzeitig einzubeziehen, ein bußgeldbewährter Verstoß nach § 83 Abs. 4 DSGVO sein kann. Ein solcher Verstoß kann mit einem Bußgeld von bis zu 10.000.000 EUR oder im Falle eines Unternehmens von bis zu 2 % des weltweit erzielten Jahresumsatzes des vergangenen Geschäftsjahres geahndet werden.
Sollten Sie keinen Datenschutzbeauftragten benennen müssen, so sollten Sie die frühzeitige Einbindung externer Beratung in Erwägung ziehen. Die rechtlichen Pflichten und Haftungsrisiken bleiben nämlich unabhängig von der Benennungspflicht bestehen.