Neue und überraschende Aspekte durch die DSGVO
Deutschland blickt auf eine lange Historie im Bereich Datenschutz zurück. Dem Datenschutzbeauftragten wurden bereits im Bundesdatenschutzgesetz viele Aufgaben zugeschrieben. Diese hat die DSGVO übernommen, allerdings nicht unverändert.
Unter bestimmten Voraussetzungen sind die Verantwortlichen gesetzlich verpflichtet, einen Datenschutzbeauftragten (DSB) zu benennen. Diese teilen sich dabei in harte und weiche Kriterien. Das führt bei kleinen Unternehmen und Vereinen oft zu Unsicherheit, ob eine Benennung zwingend ist.
Vorstößen verschiedener Seiten, die Benennungspflichten aufzuweichen, tritt die Datenschutzkonferenz (DSK) in der Entschließung vom 23.4.19 klar entgegen: „Die Datenschutzbeauftragten sorgen für eine kompetente datenschutzrechtliche Beratung, um Datenschutzverstöße schon im Vorfeld zu vermeiden und das Sanktionsrisiko gering zu halten. Dies hat sich ganz besonders bei der Umstellung auf die Datenschutz-Grundverordnung bewährt“.
Beratungspflicht
Zunächst erscheint der DSB mit seinen Aufgaben, wie sie in Art. 39 DSGVO definiert sind, also ein Dienstleister zu sein. Denn eine seiner Kernpflichten ist die Beratung des Verantwortlichen und seiner Mitarbeiter in Datenschutzbelangen. Wie jeder gute Berater, spricht er nach eingehender Untersuchung des Sachverhalts und Analyse der Fragestellung konkrete Handlungsempfehlungen aus. Dafür qualifiziert ihn sein interdisziplinäres Fachwissen in Datenschutzrecht, Technik und Betriebswirtschaftslehre.
Eine Haftung des DSB kommt in diesem Bereich nur in Frage, wenn dieser fahrlässig oder vorsätzlich falsch oder unzureichend berät. Eine Fahrlässigkeit tritt beispielsweise dann ein, wenn er wesentliche Sachverhalte hätte erkennen oder erfragen müssen. Ebenso entstehen natürlich Probleme, wenn der DSB fachlich in grober Weise falsche Schlüsse zieht.
Eine direkte Haftung des DSB für Verstöße des Verantwortlichen ist aber prinzipiell ausgeschlossen. Ihr Recht auf Schadenersatz können die Betroffenen nur beim Verantwortlichen geltend machen. Insofern ist die Position des DSB nicht besser oder schlechter als die Position anderer Unternehmensberater.
Unterrichtung
Die proaktive Einhaltung der datenschutzrechtlichen Pflichten erfordert das Mitwirken aller im Unternehmen an der Datenverarbeitung Beteiligten. Dazu liegt es im besonderen Interesse des Verantwortlichen, dass seine Mitarbeiter mit den Daten risikobewusst und nach den externen und internen Datenschutzrichtlinien agieren. Denn es besteht große Gefahr, dass der Verantwortliche für die Fehler seiner Mitarbeiter haftet. Eine über die reine Haftung des Verrichtungsgehilfen hinausgehende Einstandspflicht bejaht beispielsweise die DSK in ihrer Entschließung vom 03.04.2019.
Daher ist die Unterrichtung der Mitarbeiter und des Verantwortlichen eine der ureigensten Aufgaben des DSB. Während eine reine Unterweisung die Anwendung von Umsetzungsvorgaben vermittelt, geht die Unterrichtung einen Schritt weiter. Sie soll Handlungskompetenz vermitteln, ohne die Mitarbeiter nicht in der Lage wäre, die Datenschutzregeln aktiv und risikobewusst anzuwenden.
Dies erfordert beim DSB durchaus auch erweiterte Kenntnisse in der Didaktik und Erwachsenenbildung. Begriffe wie Lernziel, Kompetenzen und Methode sollten ihm nicht völlig fremd sein und eine gewisse Erfahrung mit modernen Medien und Lehrmethoden ist hierbei in keiner Weise schädlich.
Gerade Methoden des Blended-Learning und E-Learning sind in vielen Betrieben die einzigen Wege, tatsächlich alle Beschäftigten zu erreichen. Die geschickte Gestaltung von Lernerfolgskontrollen ist dabei auch hilfreich.
Schon aus der jetzt bereits erkennbaren Vielfalt der Befähigungen, die ein DSB mitbringen sollte, lässt sich ableiten, dass ein externer Dienstleister als Einzelkämpfer in der Gefahr der Überforderung steht. Ebenso wird aber auch klar, dass auch Juristen nicht per se die besten DSB sein müssen.
Überwachung und Zusammenarbeit mit den Behörden
In einem Gegensatz oder Widerspruch zu den Beratungs- und Unterrichtungstätigkeiten des DSB stehen scheinbar die Überwachungsfunktionen und die Bedeutung im Umgang mit den Aufsichtsbehörden.
Eine Überwachung, also zielgerichtete, beobachtende Kontrolle, hat der DSB hinsichtlich des Verzeichnisses der Verarbeitungstätigkeiten, der Definition und Umsetzung der technischen und organisatorischen Maßnahmen (TOM) und bezüglich aller datenschutzrechtlich relevanten Verträge. Dafür ist er in jedem Fall, insbesondere als externer DSB, auf die Mitwirkungspflicht des Verantwortlichen angewiesen.
Wie jeder Kontrolleur, macht er sich dabei vielleicht nicht immer beliebt. Ein bestimmtes Maß an sozialer Kompetenz, Empathie und Kommunikationsvermögen erleichtert ihm diese Aufgabe immens.
Da der DSB auch als Anlaufstelle für die Aufsicht dienen und mit ihr zusammenarbeiten muss, könnte man auch sagen, dass der DSB ein verlängerter Arm der Datenschutzbehörde ist. Hierbei stößt er im Einzelfall natürlich auch an Grenzen, wenn er auf der einen Seite die Belange des Verantwortlichen als Auftraggeber wahren, auf der anderen Seite aber die Umsetzung der Anordnungen der Aufsichtsbehörde überwachen soll.
Das ist einer der Gründe dafür, warum der DSB in jedem Fall unabhängig und frei von Interessenkonflikten sein muss. Ist der DSB in irgendeiner Weise wirtschaftlich mit dem Verantwortlichen verflochten, kann er nicht frei davon sein. Seine Benennung wäre damit unwirksam. Der reine Anstellungsvertrag (beim internen DSB) oder Dienstleistungsvertrag (beim externen DSB) sind insoweit unkritisch, da sie nicht direkt an den wirtschaftlichen Erfolg des Verantwortlichen geknüpft sind und, im Fall des angestellten internen DSB, besonderen Kündigungsschutzregeln unterliegen.
Aus der Überwachung und Aufsichtsfunktion des DSB lassen sich im Übrigen keine Weisungsbefugnisse ableiten. Das heißt, dass der DSB auf Mängel hinweisen muss, die Beseitigung dieser obliegt aber allein dem Verantwortlichen. Daher haftet der DSB auch nur für Mängel in der Überwachung. Diese kann natürlich insbesondere beim externen DSB nicht in einer lückenlosen Kontrolle bestehen. Auch hier ist der DSB auf das Mitwirken des Verantwortlichen angewiesen und muss risikobasiert agieren. Je kritischer die Verarbeitung ist, umso engmaschiger und umfangreicher muss der DSB seinen Pflichten nachkommen und umso weniger kann er sich nur auf die Aussagen des Verantwortlichen verlassen. Regelmäßige Audits und unangemeldete Kontrollen sind dabei wirksame Methoden.
Nun stellt sich hierbei aber die Frage, mit welcher Zielrichtung der DSB überwachen soll. Und das führt uns zu einer kleinen Sensation, was die Aufgaben des DSB angeht.
Der Anwalt der Betroffenen
In Art. 38 Abs. 4 DSGVO heißt es: „Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.“
Die Beratungspflicht des DSB gilt also nicht nur gegenüber dem Verantwortlichen und seinen Mitarbeitern, sondern auch den Betroffenen gegenüber. Die Fachliteratur spricht dabei vom Anwalt der Betroffenen.
Der DSB nimmt also Rechtsersuchen der Betroffenen nicht nur entgegen, sondern ist auch verpflichtet, diese bei der Wahrung ihrer Rechte, inkl. dem Anspruch auf Schadenersatz nach Art. 82 DSGVO, zu beraten. Dies bedeutet wie oben beschrieben: eine genaue Analyse des Sachverhalts und konkrete Handlungsempfehlungen, die sich daraus ableiten. Damit ist der DSB gezwungen, auch gegen die wirtschaftlichen Interessen des Verantwortlichen zu handeln. Er muss sich mit dem Anliegen des Betroffenen befassen und es dem Management des Verantwortlichen vortragen. Bei Verletzungen der Betroffenenrechte hat er beratend auf die Beseitigung des Missstandes hinzuwirken.
Auf der anderen Seite obliegt es dem DSB, die Betroffenen bei Bedarf über ihre Rechte anlassbezogen aufzuklären. Die oftmals reine Aufzählung der entsprechenden Artikel der DSGVO in den Datenschutzinformationen bzw. -erklärungen wird diesen Zweck aber nicht erfüllen.
Zwingend notwendig ist es in diesem Zusammenhang, dass der DSB für den Betroffenen direkt erreichbar ist. Dazu bedarf es der Angabe individueller Kommunikationswege in den Datenschutzinformation bzw. -erklärungen. Eine Sammelrufnummer oder reine Adressangabe ist hier nicht zielführend.
Diese Funktion als Anwalt der Betroffenen bildet die Ausgangsperspektive für jedes Handeln. Die Wahrung der Betroffenenrechte bildet die Grundlage für jede Beratung, Unterrichtung oder Überwachung. Damit ist der DSB in einer oft unangenehmen Zwickmühle: auf der einen Seite Dienstleister des Verantwortlichen, der auch sein Honorar oder Gehalt bezahlt, auf der anderen Seite Anwalt der Betroffenen, denen er in erster Linie verpflichtet ist.
Wahrung der Grundrechte
Der Schutz der personenbezogenen Daten ist ein Grundrecht mit hoher Priorität.
Jeder DSB hat also im wahrsten Sinn die Mission, diese Grundrechte zu schützen und zu wahren.
Alleine vor diesem Hintergrund ist festzuhalten, dass die Arbeit als DSB kein Job wie jeder andere ist.