Die Datenschutzgrundverordnung (DSGVO) ist in aller Munde. Für Unternehmen stellt sich die Frage, welche Maßnahmen zu ergreifen sind, um die Vorgaben der DSGVO ordnungsgemäß umzusetzen. Ein wesentliches Element des Datenschutzes ist der Datenschutzbeauftragte (DSB). Unter bestimmten Voraussetzungen muss ein DSB benannt werden.
Erforderlich ist dies dann, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten (vgl. Art. 9 DSGVO) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (Art. Art. 10 DSGVO) besteht.
Werden personenbezogene Daten lediglich im Rahmen einer Nebentätigkeit verarbeitet, liegt keine Kerntätigkeit vor. Maßgeblich ist daher der Geschäftsgegenstand des Unternehmens. Die Verarbeitung von Mitarbeiterdaten stellt eine bloße Unterstützungstätigkeit dar und begründet daher – unabhängig von der Anzahl der Mitarbeiter im Personalbereich – keine Pflicht zur Benennung eines DSB. Besteht eine Benennungspflicht und ist ein DSB benannt, bedarf eine spätere Abberufung eines wichtigen Grunds.
Die Aufgaben des DSB ergeben sich aus Art. 39 DSGVO. Hiernach obliegen ihm folgende Pflichten:
Unterrichtung oder Beratung des Verantwortlichen oder des Auftragsverarbeiters und der mit der Datenverarbeitung Beschäftigten bzgl. ihrer datenschutz-rechtlichen Pflichten,
- umfassende Überwachung der Einhaltung der DSGVO sowie der unterneh-mensinternen Strategie für den Schutz personenbezogener Daten sowie Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter sowie deren Sensibilisierung für datenschutzrechtliche Fragestellungen,
- Beratung im Zusammenhang mit der Datenschutzfolgenabschätzung und Überwachung ihrer Durchführung sowie
- Zusammenarbeit mit der Aufsichtsbehörde und Tätigkeit als Anlaufstelle für diese in mit der Verarbeitung zusammenhängenden Fragen
Es kann ein interner oder ein externer DSB benannt werden. Auch der interne Daten-schutzbeauftragte – der zugleich Beschäftigter des Unternehmens ist – muss im Hinblick auf die Erfüllung seiner Aufgaben als Datenschutzbeauftragter weisungsfrei sein und direkt der obersten Managementebene berichten. Der Verantwortliche oder der Auftragsverarbeiter haben die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen (z.B. auf der Unternehmenshomepage im Rahmen des Impressums) und diese der zuständigen Aufsichtsbehörde mitzuteilen. Der Datenschutzbeauftragte sollte seine Benennung(en) schriftlich bestätigen. Erforderliche ist eine Einigung über die Benennung; diese kann nicht einseitig per Direktionsrecht zugewiesen werden.
Soweit es die Haftung des DSB anbelangt, kommen in zivilrechtlicher Hinsicht insbesondere Schadenersatzansprüche in Betracht, sofern der DSB gegen seine Pflichten verstößt. Liegt – ausnahmsweise – eine durch den DSB zu vertretene kausale Pflichtverletzung vor, ist der gesamte Schaden zu ersetzen. Der externe DSB haftet dabei grundsätzlich in vollem Umfang. Beim internen DSB greifen zu dessen Gunsten die Grundsätze über den innerbetrieblichen Schadensausgleich. Danach haftet der interne DSB grundsätzlich nur bei Vorsatz und grober Fahrlässigkeit in vollem Umfang, wohingegen er sich den Schaden bei normaler oder mittlerer Fahrlässigkeit mit seinem Arbeitgeber in zumutbarer Weise teilt. Bei leichtester Fahrlässigkeit scheidet eine Haftung des DSB aus.
Lesen Sie im folgenden Beitrag eine ausführlichere Behandlung der Problematik:
Seel, Welche Unternehmen brauchen einen Datenschutzbeauftragten? – Notwendigkeit einer Bestellung, Stellung im Unternehmen, Haftung und Abberufung, NWB 32/2018 S. 2343 (NWB DokID: OAAAG-89986) – für Abonnenten kostenfrei.