Die Position des Datenschutzbeauftragten ist gesetzlich genau definiert. Des DSB muss transparent machen, dass er externer/interner DSB einer bestimmten Stelle ist und stets die Vorgaben des Art. 39 DSGVO einhalten.
Neben Art. 39 DSGVO sind die Aufgaben des Datenschutzbeauftragten zudem weiter in Erwägungsgrund 97 sowie § 7 BDSG definiert.
Beschäftigt ein Unternehmen einen externen Datenschutzbeauftragten, muss sichergestellt werden, dass der ext. DSB alle notwendigen Informationen erhält, die zur Erfüllung seiner Aufgabe notwendig sind.
Außerdem ist das Unternehmen dazu verpflichtet, die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen, um Betroffenen die Möglichkeit zu geben, dass dieser kontaktiert werden kann, vgl. Art. 37 DSGVO.
Die DGSVO gibt keine klare Anweisung dazu, welche Kontaktangaben des Datenschutzbeauftragten genau auf der Homepage veröffentlicht werden müssen. Geregelt ist nur, dass Betroffenen Kontaktdaten zur Verfügung gestellt werden müssen.
Bei kleineren Unternehmen:
Bei mittleren Unternehmen und großen Unternehmen (mehr als 80 Mitarbeiter):
Das BayLDA schreibt hierzu:
„Die Regelungen zur Benennung, zur Stellung und zu den Aufgaben des Datenschutzbeauftragten nach den Art. 37, 38 und 39 DS-GVO stellen auf eine natürliche Person des Datenschutzbeauftragten ab, so dass auch betroffene Personen (Beschäftigte, Kunden usw.) einen klaren Ansprechpartner für ihre oft sehr vertraulichen Datenschutz-Anliegen haben.“
Die DGSVO gibt keine klare Anweisung dazu, welche Kontaktangaben des Datenschutzbeauftragten genau auf der Homepage veröffentlicht werden müssen. Geregelt ist nur, dass Betroffenen Kontaktdaten zur Verfügung gestellt werden müssen.
Art. 37 DSGVO - Benennung eines Datenschutzbeauftragten
„(7) Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.“
Beck-Kommentar: Veröffentlichungs- und Mitteilungspflichten (Abs. 7)
„Die Kontaktdaten des Datenschutzbeauftragten sind durch den Verantwortlichen oder den Auftragsverarbeiter zu veröffentlichen und der ASB mitzuteilen. Hierzu ist nicht der Name des Datenschutzbeauftragten zu zählen (allgM, s. Bergt in Kühling/Buchner DS-GVO Art. 37 Rn. 38; Heberlein in Ehmann/Selmayr DS-GVO Art. 37 Rn. 18; Moos in BeckOK DatenschutzR DS-GVO Art. 37 Rn. 80; s. hierzu auch Laue/Kremer Neues DatenschutzR § 6 Rn. 20), sondern nur die Anschrift und die E-Mail-Adresse oder die Telefonnummer (s. Art-29-Datenschutzgruppe WP 243 rev.01 – Datenschutzbeauftragter S. 15; für sinnvoll erachtet die Veröff. des Namens aber Drewes in NK-DatenschutzR DS-GVO Art. 37 Rn. 68); gegen eine verpflichtende Angabe der Telefonnummer Laue/Kremer Neues DatenschutzR § 6 Rn. 20. Die DS-GVO geht nicht explizit darauf ein, in welcher Form eine solche Veröff. zu erfolgen hat. Angesichts der Aufgabe des Datenschutzbeauftragten als Ansprechpartner der Betroffenen nach Art. 38 Abs. 4 (→ Art. 38 Rn. 12) ist eine permanente Abrufbarkeit der Kontaktdaten vorzugswürdig; denn hierdurch wird es den Betroffenen jederzeit ermöglicht, an den Datenschutzbeauftragten heranzutreten, etwa im Intra- und Internet. Die Kontaktdaten des Datenschutzbeauftragten sind darüber hinaus der ASB gem. Art. 36 Abs. 3 lit. d bei einer Konsultation nach Art. 36 Abs. 1 (→ Art. 36 Rn. 5 ff.) mitzuteilen (hierzu Heberlein in Ehmann/Selmayr DS-GVO Art. 37 Rn. 46). Zur entspr. Regelung in § 5 Abs. 5 BDSG für öffentl. Stellen → BDSG § 5 Rn. 3“.
(Quelle: Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 37 Rn. 17)
In Art. 39 DSGVO sind die Aufgaben des Datenschutzbeauftragten geregelt:
(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
c) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
d) Zusammenarbeit mit der Aufsichtsbehörde;
e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.
(2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
Neben Art. 39 DSGVO sind die Aufgaben des Datenschutzbeauftragten zudem weiter in Erwägungsgrund 97 sowie § 7 BDSG definiert.
Bei Google Fonts Abmahnungen handelt es sich um relativ geringe Gegenstandswerte (geringe Schadensersatzforderungen von ca. 100,- – 200,- €). Für betroffene Unternehmen ist es daher ökonomisch nicht sinnvoll, hierfür einen Rechtsanwalt zu beauftragen, um die Forderung abzuwehren. Viele Unternehmen greifen für solche Thematiken daher gerne auf ihren externen Datenschutzbeauftragten zurück. Aber ist der DSB berechtigt, seine Kunden bei einer Google Fonts Abmahnung zu beraten?
Urteil des AGH NRW vom 12.03.2021 - 1 AGH 9/19: Verhältnis von Art. 38, 39 DSGVO und dem Rechtsdienstleistungsgesetz (RDG):
-Zum Aufgabenbereich gehört gem. Art. 39 DSGVO u.a. die Beratung des Verantwortlichen hinsichtlich seiner datenschutzrechtlichen Verpflichtungen sowie die Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften. Analysiert der DSB einen Einzelfall rechtlich, handelt es sich um eine Rechtsdienstleistung nach
§ 2 Abs. 1 RDG (vgl. auch BGH, Urteil vom 22.06.2020 - AnwZ (Brfg) 23/19). Diese Dienstleistung ist entsprechend der überzeugenden Ausführungen des AGH NRW gem. § 1 Abs. 3 und § 3 RDG erlaubt.
-Dies bedeutet der DSB darf den Verantwortlichen in allen datenschutzrechtlichen Fragestellungen, auch wenn sie einen Einzelfall betreffen, beraten. Würde er nach einer Einzelfallprüfung zu dem Ergebnis kommen, dass der Verantwortliche gegen die DSGVO verstoßen hat, müsste er aufgrund seiner Überwachungsfunktion sogar den Verantwortlichen darauf hinweisen, dass dieser den Verstoß abstellen solle.
-Die Beratungserlaubnis umfasst damit auch Fälle, in denen vom Verantwortlichen Schadensersatz gefordert wird. Denn auch hier berät der DSB hinsichtlich der Pflichten des Verantwortlichen und überwacht die Einhaltung der DSGVO.
-Die Beratungserlaubnis und Überwachungspflicht findet dort ihre Grenzen, wo Gegenstand der Beratung nicht mehr Datenschutzrecht, sondern eine andere Materie ist. Der DSB darf damit, z.B. insbesondere nicht Stellung zu allgemein zivilrechtlichen, allgemein verwaltungsrechtlichen oder prozessrechtlichen Gesichtspunkten eines Einzelfalls nehmen. Hierbei sind Grenzfälle denkbar. Im Zweifelsfall sollte der DSB sich zu diesen Gesichtspunkten nicht äußern.
-Zu beachten ist: Die gesetzliche Erlaubnis der §§ 38, 39 DSGVO zur Erbringung einer „datenschutzrechtlichen“ Rechtsdienstleistung gilt nur für Datenschutzbeauftragte. Handelt es sich bei den Externen also nur um ein allgemeinen oder technischen Berater, ohne dass dieser die Stellung des DSB innehat, so ist es diesem nicht erlaubt, eine rechtliche Einzelfallanalyse durchzuführen.
DSB kann bei den Google-Fonts-Abmahnungen eine rechtliche Würdigung hinsichtlich der Frage vornehmen, ob der Schadensersatzanspruch berechtigt geltend gemacht wird.
DSB kann keine prozessrechtliche Einschätzung zu einem potenziellen Gerichtsverfahren geben, da hier Fragen der ZPO betroffen sind.
Bei fachlichen Fragestellungen, die Fachkenntnisse eines Datenschutzbeauftragten erfordern, kann eine Zuarbeit stattfinden, wie man das bei bestimmten Berufsträgern (Rechtsanwälten, Steuerberatern, Ärzte, etc.) kennt. Hier sind speziell ausgebildete Mitarbeiterinnen und Mitarbeiter mit Aufgaben betreut, die zur Erledigung der Rechtsberatungsleistungen notwendig sind. Eine Rechtsanwaltsfachangestellte wird aber keine Rechtsberatung leisten und eine Arzthelferin sollte keine ärztlichen Heilbehandlungen vornehmen.
Mit diesem Begründungsmuster raten wir zu einer klaren Trennung der Arbeit von Mitarbeiter:innen eines Datenschutzbeauftragten: Zuarbeit und Unterstützungsleistungen sind möglich, eine eigene Beratung der Mandanten stellt wohl einen Verstoß gegen das Rechtsdienstleistungsgesetz dar.
Wählt man eine strenge Auslegung nach dem Wortlaut des Gesetzes, dann dürfen Mitarbeiter eines bestellten DSB nicht beratend tätig werden.
Begründung:
Bei einem DSB kann es sich nach der gesetzgeberischen Konzeption nur um eine natürliche und keine juristische Person handeln. Der DSB wird gemäß Artikel 37 Abs. 1 DSGVO von dem Verantwortlichen benannt. Außerdem muss der DSB gemäß Artikel 37 Abs. 5 DSGVO eine hinreichende berufliche Qualifikation besitzen.
Aus der Zusammenschau der Normen geht recht eindeutig hervor, dass die Stellung des Datenschutzbeauftragten personengebunden ist.
Datenschutzbeauftragter im Sinne DSGVO ist folglich nur die Person, die von dem Verantwortlichen benannt wurde. Damit können die einem DSB nach Artikel 39 DSGVO auferlegten Aufgaben und damit einhergehenden Rechte auch nur von dieser Person ausgeübt werden. Rechtsberatung – also Einzelfallberatung (§ 2 Abs. 1 RDG) – durch andere (nicht bestellte) Personen (inklusive Mitarbeiter) ist damit aufgrund des RDG ausgeschlossen. Artikel 39 DSGVO gestattet als Ausnahmevorschrift gem. § 1 Abs. 3 RDG und § 3 RDG eine Rechtsberatung nur durch den benannten DSB.
Eine andere – weitere – Auffassung, vertritt die Art. 29 Datenschutzgruppe:
Im Rahmen eines Dienstleistungsvertrags beschäftigte DSB:
Die Funktion eines DSB kann auch auf Grundlage eines Dienstleistungsvertrags ausgeübt werden, der mit einer natürlichen oder juristischen Person geschlossen wird, die nicht der Einrichtung des Verantwortlichen oder Auftragsverarbeiters angehört. In letzterem Falle ist es unverzichtbar, dass jedes Mitglied der Einrichtung, das die Funktionen eines DSB wahrnimmt, sämtliche in Abschnitt 4 der DS-GVO genannten Anforderungen erfüllt (sodass Interessenkonflikte ausgeschlossen werden können). Ebenso wichtig ist es, dass jedes Mitglied durch die Bestimmungen der DS-GVO geschützt ist (keine ungerechtfertigte Kündigung von Dienstleistungsverträgen in Bezug auf Tätigkeiten als DSB und keine ungerechtfertigte Entlassung einer der Einrichtung angehörigen natürlichen Person, welche die Aufgaben eines DSB wahrnimmt). Zugleich lassen sich individuelle Qualifikationen und Stärken so miteinander kombinieren, dass Einzelpersonen durch die Zusammenarbeit im Team ihren Mandanten noch wirksamere Dienste leisten können.
Aus „Leitlinien in Bezug auf Datenschutzbeauftragte“, Art. 29 Datenschutzgruppe, angenommen am 13. Dezember 2016 zuletzt überarbeitet und angenommen am 5. April 2017.
Aus dem Gesetz heraus lässt sich weder ein Verbot, noch eine Verpflichtung zur Benennung eines Vertrertes herauslesen. Möglich wäre es z.B., einem externen DSB (vgl. Art. 36 Abs. 6 DSGVO) dienstvertraglich ein solches Recht einzuräumen.
Die sicherste Variante wäre die Benennung eines Vertreters des DSB durch den Verantwortlichen selbst. Wie aus dem Wortlaut von Artikel 37 Abs. 1 DSGVO hervorgeht, kann der Verantwortliche mehr als einen Datenschutzbeauftragen benennen (soweit dieser die fachlichen Voraussetzungen des Abs. 5 erfüllt). Dementsprechend halten wir es für möglich, dass ein Verantwortlicher einen Ersatzbeauftragen benennt, der bei fehlenden Erreichbarkeit des Haupt-DSB einspringen kann.
Ja, das halten wir mit der Artikel 29-Datenschutzgruppe für möglich. Allerdings gibt es noch keine Urteile dazu.
Aus „Leitlinien in Bezug auf Datenschutzbeauftragte“, Art. 29 Datenschutzgruppe, angenommen am 13. Dezember 2016 zuletzt überarbeitet und angenommen am 5. April 2017.
Grundlegendes:
Wie definiert die DSGVO einen Konzern?
Art. 4 Nr. 19 DSGVO: „eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht“.
Personenbezogene Daten dürfen laut Erwägungsgrund 48 DSGVO bei berechtigtem Interesse zu ganz bestimmten Zwecken innerhalb von Konzernstrukturen ausgetauscht werden. Hierfür muss (zumindest) die rechtliche Grundlage des Art. 6 Abs. (1) f DSGVO (Rechtmäßigkeit der Verarbeitung) erfüllt sein.
Da in Deutschland neben der DSGVO auch das BDSG gilt, kann es aber ggf. sinnvoll sein, im deutschen Unternehmensstandort einen eigenen Datenschutzbeauftragten einzusetzen, da sich dieser mit dem länderspezifischen Gesetz auskennen muss, um bei bspw. bei Fragestellungen zum Beschäftigtendatenschutz behilflich sein zu können.
Zudem muss beachtet werden, dass der DSB leicht erreichbar ist und keine Wissens- und Sprachbarrieren in den einzelnen Ländern bestehen. Der Datenschutzbeauftragte muss also in der Lage sein, die nationalen Gesetze gleichermaßen abzudecken und mit den Betroffenen zu kommunizieren.
Wohin werden Datenpannen der deutschen Niederlassung gemeldet?
Werden Datenpannen im Unternehmen erkannt, müssen diese an die jeweils zuständige Aufsichtsbehörde für den Datenschutz gemeldet werden, da es ggf. im Land der Muttergesellschaft gar keinen Verstoß darstellen würde.
Ist es als DSB sinnvoll einen eigenen Datenschutzbericht für die Niederlassung zu erstellen?
Wird für jede Niederlassung ein eigener Datenschutzbericht erstellt, kann dies sehr wertvoll sein, um die Prozesse und ggf. Probleme jeder Niederlassung besser beleuchtet werden können und somit ein guter Überblick für den Mutterkonzern geschaffen werden kann. Wir halten das aber nicht für zwingend.
Müssen zwischen der Niederlassung und der Muttergesellschaft Auftragsverarbeitungsverträge geschlossen werden?
In der DSGVO gibt es per se kein Konzernprivileg. Ob ein Datenaustausch zwischen Mutter- und Tochtergesellschaften stattfinden darf, muss daher immer im Einzelfall geprüft werden, v.a. bei unterschiedlichen Standorten innerhalb und außerhalb der EU.
Begriffsdefinition Unternehmensgruppe nach Art. 4 Abs. 19 DSGVO
„Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht;“
Erwägungsgrund 48 - Überwiegende berechtigte Interessen in der Unternehmensgruppe
„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unberührt.“
Wird die bspw. die Mutterfirma mit HR-Aufgaben der Tochterfirma vertraut, muss entweder ein entsprechender Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen werden bzw. ein Vertrag mit gemeinsamer Verantwortlichkeit nach. Art. 26 DSGVO.
Vor allem ist darauf zu achten, welche personenbezogenen Daten der Telekommunikations-Anbieter als Auftragsverarbeiter verarbeitet und wie lange er sie speichert. Diese sind von personenbezogenen Daten abzugrenzen, die der Betroffene dem TK-Anbieter selbst (ohne Umweg über den Verantwortlichen) offenlegt. Erhebt der TK-Anbieter die Daten selbst als Verantwortlicher, weil er Zweck und die Mittel der Verarbeitung eigenverantwortlich bestimmt, bedeutet dies, dass bei einer Offenbarung direkt durch den Betroffenen nur das Verhältnis TK-Anbieter und Betroffener von Bedeutung ist. Anders ist dies wenn der Telekommunikations-Anbieter als Auftragsverarbeiter auftritt, wie dies z.B. bei WhatsApp Business der Fall ist.
Außerdem kann es vorkommen, dass eine Offenbarung der Daten gegenüber dem TK-Anbieter (auch) durch den Verantwortlichen erfolgt.
Bei WhatsApp werden beispielsweise alle auf dem Smartphone gespeicherten Kontakte auf WhatsApp Server hochgeladen, um so das Finden von Kontakten, die auch Whatsapp nutzen, umzusetzen (was durch Einstellungen im Betriebssystem verhindert werden kann durch Entzug der jeweiligen Berechtigung). Problematisch ist dies insbesondere für die Kontakte, die kein Whatsapp nutzen, oder die keiner Kontaktaufnahme durch Whatsapp zugestimmt haben oder diese nicht selbst initiiert haben. Außerdem ist zu berücksichtigen, dass es sich bei WhatsApp um ein US-amerikanisches Unternehmen handelt und damit die üblichen Probleme der Drittlandsübermittlung auftreten.
Weiterhin ist zu beachten, dass WhatsApp sicherlich die Daten auch selbst weiterverarbeiten wird zu eigenen Zwecken und damit möglicherweise ebenfalls das Problem der Intransparenz hinsichtlich der Verarbeitung – wie bei Office 365 – auftreten kann.
Prüfung des TTDSG:
Normalerweise kann der Datenschutzbeauftragte den Verantwortlichen bei der Erstellung als auch bei der Prüfung von AVVs unterstützen. Wenn nun der DSB allerdings beim Beratungsunternehmen angestellt ist, sollte er für den Kunden, bei dem er als ext. DSB eingesetzt ist, diesen speziellen AVV (bei dem eine Auftragsverarbeitung zw. Beratungsunternehmen und Kunde vereinbart wird) nicht mitverhandeln, um eine Interessenskollision zu vermeiden.
Beachte dazu Art. 38 Abs. 6 DSGVO: Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
Es muss also sichergestellt werden, dass Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Ein Interessenkonflikt liegt immer dann vor, wenn die gesetzlichen Aufgaben des DSB möglicherweise nicht bedenkenfrei ausgeführt werden können. Als die Hauptpflichten gelten die Unterrichtung und Beratung des Auftraggebers (Art. 39 Abs. 1 lit. a, c DSGVO), die Überwachung der Einhaltung datenschutzrechtlicher Vorschriften (Art. 39 Abs. 1 lit. b DSGVO) und das Zusammenwirken mit der Aufsichtsbehörde (Art. 39 Abs. 1 lit. d, e).
Für diese Pflichten benötigt der Datenschutzbeauftragte insofern Neutralität und Unabhängigkeit. Auch sollte er kein Interesse daran haben „nicht so genau hinzusehen“.
Wir empfehlen daher, den DSB aus der Beratung und Prüfung des AVV zwischen seinem Arbeitgeber und dem Kunden ausdrücklich herauszulassen. Dies sollte schriftlich im DSB-Bestellungsvertrag zwischen Beratungsunternehmen und Kunden so geregelt werden.
Das sagt die Literatur dazu:
• Auszug aus dem DSGVO-Kommentar Paal/Pauly/Paal DS-GVO Art. 39 Rn. 6-6b
„Zur Sicherstellung der Wahrung datenschutzrechtlicher Vorgaben sind für die Praxis regelmäßige Kontrollen durch den Datenschutzbeauftragten anzuraten“.
• Gola/Heckmann/Klug DS-GVO Art. 39 Rn. 3-6
„Art. 39 Abs. 1 lit. b ergänzt die vorgenannten Aufgaben um die Kontrollfunktion des Datenschutzbeauftragten. Im Prinzip handelt es sich um eine typische Compliance-Aufgabe, denn Gegenstand der Kontrolle ist nicht nur die Wahrung des einschlägigen Datenschutzrechts, sondern auch die Einhaltung der „Strategien“ bzw. Regeln und Richtlinien, die sich das Unternehmen oder die Behörde selbst gegeben hat.“
Die Kontrolle der Umsetzung des datenschutzrechtlichen Anforderungen ist gesetzlich vorgegeben. Hier gilt der Grundsatz der Angemessenheit.
Aufwand und Tiefe müssen dem mit der Verarbeitung verbundenen Risiko entsprechen. Es muss also nicht jede Maßnahme kontrolliert werden, wenn das Risiko niedrig ist. Eine angemessene Zahl von Stichproben genügt. Eine Vertiefung ist aber dann notwendig, wenn Stichproben negativ ausfallen.
Es ist unserer Ansicht nach aber notwendig (als ext. DSB), einmal im Jahr beim Kunden vor Ort eine Datenschutzprüfung vorzunehmen („Audit“). Im Rahmen einer solchen systematischen Überprüfung, ob die DSGVO und die anderen Datenschutznormen eingehalten werden, sollte auch die Technik einbezogen werden, einschließlich des Rechenzentrums.
Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter …
h.dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.
Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.
Art. 39 Abs. 1 lit. b DSGVO verpflichtet den DSB zur „Überwachung der Einhaltung dieser Verordnung“.
Es ist demnach auch grundsätzlich eine Aufgabe das DSB den Auftragsverarbeiter zu überprüfen. Dabei kommt es auf das Risiko für die Rechte und Freiheiten natürlicher Personen an, dem die Datenverarbeitung im Einzelfall ausgesetzt ist.
Der Begriff der Überwachung umfasst z.B. nicht nur eine Vorlage des Verzeichnisses der Verarbeitungstätigkeiten, sondern auch eine Überprüfung (ggf. als Stichproben), ob etwa die vorgesehenen Sicherheitsmaßnahmen tatsächlich umgesetzt und wirksam sind und ob die benennende Stelle ihre datenschutzrechtlichen Pflichten erfüllt. So wird der Datenschutzbeauftragte regelmäßig nicht umhinkommen, Vor-Ort-Kontrollen durchzuführen. Zur Überwachung gehört es ebenfalls, zu prüfen, ob Verträge vorhanden sind und diese die Vorgaben des Datenschutzrechts erfüllen, nicht aber neue Verträge auszuarbeiten.
Es gibt eine gewichtige Literaturmeinung, die es für eine effektive Kontrolle hält, auch durch die Vorlage von Audit-Reports anstelle von Vor-Ort-Prüfungen ermöglicht werden.
Im Hinblick auf IT-Outsourcing-Datenverarbeitungsvorgänge ist wahrscheinlich die Wahrnehmung von Vor-Ort-Kontrollen bei großen Rechenzentren mit der Gefahr der Erhöhung von Verarbeitungsrisiken verbunden. Hier wäre wahrscheinlich der Rückgriff auf die Kontrolle durch Dritte praxisgerechter. Maßgebende Parameter sind das Gefährdungspotential für die Betroffenen, der Umfang der Auftragsverarbeitung, die Innovationsgeschwindigkeit und die Sensibilität der verarbeiteten Daten, insbesondere aber auch das Kompetenzgefälle der am Auftrag beteiligten Rechtsträger.
Wenn zertifizierte Auditberichte vorliegen kann unserer Ansicht nach eine eigene Kontrolle ganz entfallen.
1.
EuGH: zum Thema Kündigung des Datenschutzbeauftragten - Urteil vom 22.6.2022 – C-534/20 (Leistritz AG/LH).
Es gilt Art. 38 Abs. 3, S. 2 DSGVO im Verhältnis zwischen einem Datenschutzbeauftragten und einem Verantwortlichen oder einem Auftragsverarbeiter, und zwar unabhängig von der Art des sie verbindenden Beschäftigungsverhältnisses. Art. 38 Abs. 3, S.2 DSGVO ist dahin auszulegen ist, dass er einer nationalen Regelung nicht entgegensteht, nach der einem bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten Datenschutzbeauftragten nur aus wichtigem Grund gekündigt werden kann, auch wenn die Kündigung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele der DSGVO nicht beeinträchtigt.
Der EuGH stellt vorliegend also klar, dass jeder Mitgliedsstaat frei entscheiden kann, engere Regelungen betreffend die Kündigung eines Datenschutzbeauftragten aufzustellen als in der DSGVO geregelt.
Es gibt zudem einige nationale Entscheidungen von Arbeitsgerichten, wie mit dem Thema Sonderkündigungsschutz des DSB aus § 38 Abs. 1 iVm § 6 Abs. 4 BDSG im Einzelnen auszulegen ist.
2.
LAG Hamm (18. Kammer), Urteil vom 06.10.2022 – 18 Sa 271/22 - Datenschutzbeauftragter, Sonderkündigungsschutz
Die Parteien streiten in der Berufungsinstanz noch darüber, ob das zwischen ihnen bestehende Arbeitsverhältnis durch eine Kündigung aufgelöst wurde, die die Beklagte aussprach, nachdem der Kläger etwa 1 ½ Monate für sie tätig war. Der Kläger beruft sich auf einen Sonderkündigungsschutz als Datenschutzbeauftragter. § 6 Abs. 4 BDSG bestimmt, dass die Kündigung des Arbeitsverhältnisses eines Datenschutzbeauftragten unzulässig ist, es sei denn, dass Tatsachen vorliegen, welche zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen.
Das Gericht war jedoch der Ansicht, dass die Vorschrift nach ihrem Wortlaut und nach der Gesetzessystematik nur für öffentliche Stellen gilt. Auf nicht öffentliche Stellen sei § 6 Absatz 4 S. 2 BDSG nur anwendbar, wenn die Benennung eines Datenschutzbeauftragten verpflichtend ist (§ 38 Absatz 2 BDSG).
Im Streitfall war die Beklagte nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen. Es bedarf daher keiner Entscheidung darüber, ob der Sonderkündigungsschutz dem Datenschutzbeauftragten bereits während der Wartezeit nach § 1 Absatz 1 KSchG oder während einer vertraglich vereinbarten Probezeit zusteht (wofür freilich Wortlaut und Sinn des gesetzlichen Sonderkündigungsschutzes sprechen, vgl. BAG, Urteil vom 25.08.2022 - BAG Aktenzeichen 2AZR22520 2 AZR 225/20).
3.
BAG: Sonderkündigungsschutz für Datenschutzbeauftragte rechtskonform - BAG Urteil vom 25.8.2022 – 2 AZR 225/20
Vorliegend wurde dem Datenschutzbeauftragten einer juristischen Person mit Verpflichtung zum DSB nach einem halben Jahr ordentlich gekündigt. Kündigungsgrund ist eine Umstrukturierung, bei der u.a. ein externer DSB beauftragt werden soll.
§ 6 Absatz IV 2 BDSG erlaubt eine außerordentliche Kündigung aus wichtigem Grund. Dem genügt aber die von der Beklagten ausgesprochene ordentliche Kündigung nicht. Damit ist die ordentliche Kündigung nach § 134 BGB nichtig.
Der Sonderkündigungsschutz ist ein zentraler Bestandteil des deutschen Arbeitsrechts und bietet einen erhöhten Schutz vor Kündigungen. Dieser Schutz erstreckt sich ebenfalls auf interne Datenschutzbeauftragte in Unternehmen, deren Kündigung gemäß § 6 Abs. 4 S. 2 BDSG nur aus wichtigem Grund als außerordentliche Kündigung möglich ist. Dies gilt auch ein Jahr nach Beendigung ihrer Funktion. Der Europäische Gerichtshof bestätigte die Vereinbarkeit dieser Regelungen mit dem Unionsrecht, wodurch eine ordentliche Kündigung von Datenschutzbeauftragten, selbst im Falle von Unternehmensumstrukturierungen, ausgeschlossen ist.
Darüber hinaus bleibt der Sonderkündigungsschutz von Datenschutzbeauftragten auch im Insolvenzfall wirksam, da er das spezielle Sonderkündigungsrecht nach § 113 InsO übertrumpft. Dies unterstreicht die Bedeutung des Sonderkündigungsschutzes für die Stabilität und Sicherheit von Arbeitnehmerverhältnissen in spezifischen und schutzbedürftigen Rollen.
•Ende der Bestellung des Datenschutzbeauftragten (DSB): Die Bestellung eines DSB endet nicht automatisch mit der Eröffnung des Insolvenzverfahrens. Der Insolvenzverwalter übernimmt zwar die Verwaltungs- und Verfügungsbefugnis über das Vermögen des Schuldners, jedoch ist die Bestellung eines DSB eine datenschutzrechtliche Anforderung, die weiterhin Bestand haben kann, sofern das Unternehmen weiter operativ tätig ist und personenbezogene Daten verarbeitet.
•Wer hat Auskunftspflicht nach DSGVO? Immer die verantwortliche Stelle! Die Aufgaben des DSB, einschließlich der Kommunikation mit der Aufsichtsbehörde, sind gesetzlich geregelt. Wenn der DSB von der Geschäftsleitung aufgefordert wurde, in seiner Funktion tätig zu werden, und keine offizielle Entbindung von seinen Aufgaben erfolgte, ist er verpflichtet, weiterhin seinen Pflichten nachzukommen. Hat der Insolvenzverwalter die Geschäftsführung übernommen, dann kann er den DSB anweisen, keine Handlungen im Namen des Unternehmens mehr durchzuführen.
•Abmeldung beim Datenschutzbehörde: Wenn die Funktion des DSB tatsächlich endet, muss auch eine Abmeldung bei der Datenschutzbehörde erfolgen. Dies geschieht in der Regel dann durch den Insolvenzverwalter, da dieser die Verwaltungsbefugnisse innehat.
•Stellungnahme des Insolvenzverwalters: Die Stellungnahme des Insolvenzverwalters an die Behörde könnte ausreichen, um die Behörde über die geänderte Situation zu informieren. Es käme jedoch auf die spezifischen Umstände und die rechtliche Bewertung der Rolle des DSB im Insolvenzverfahren an.
•Konsequenzen der verzögerten Auskunftserteilung: Die verzögerte Auskunftserteilung könnte für den DSB Konsequenzen haben, wenn ihm die Pflicht zur Auskunft obliegt. Wir sehen die Pflicht zur Auskunftserteilung aber grundsätzlich bei der verantwortlichen Stelle! Dieser Punkt muss genau geprüft werden.
Stand: März 2024
Zum Newsletter anmelden und sparen
10 € Rabatt auf Ihre erste Seminaranmeldung
