Unter der Lupe: Die Rolle von Datenschutzbeauftragten
Am 15. März 2023 verkündete der Europäische Datenschutzausschuss den Start seiner koordinierten Prüfung zur Stellung und den Aufgaben von Datenschutzbeauftragten (DSB). An dieser europaweit stattfindenden Prüfung sollen insgesamt 26 Datenschutzbehörden teilnehmen. Hierzu werden zunächst Fragebogen an die benannten DSB versendet. Anhand der Antworten entscheiden die Aufsichtsbehörden dann, ob sie weitere Prüfungen vornehmen.
Nach Angaben des BayLDA stehen, neben Fragen der Qualifikation und Ressourcenausstattung, im Mittelpunkt der Prüfung vor allem mögliche Beeinträchtigungen der unabhängigen und effektiven Aufgabenwahrnehmung. Stichwort: Interessenkonflikt. Hierzu hatte sich Anfang diesen Jahres (Urt. v. 9.2.2023 – C-453/21) bereits der EuGH geäußert. Der Gerichtshof stellte zunächst fest, dass die Wahrnehmung der in Art. 39 Abs. 1 DSGVO benannten Aufgaben und die Wahrnehmung anderer Aufgaben beim Verantwortlichen oder Auftragsverarbeiter nach der DSGVO grundsätzlich nicht unvereinbar sind. D.h. es ist grundsätzlich absolut in Ordnung, wenn die/der DSB die Tätigkeit nicht in Vollzeit ausübt, sondern noch anderen Aufgaben nachgeht.
Aber der EuGH hob hervor, dass der/dem DSB keine Aufgaben oder Pflichten übertragen werden dürfen, die sie/ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen oder Auftragsverarbeiter festzulegen. Gerade dieser Aspekt sollte daher in der Praxis besonders berücksichtigt werden.
Und wann liegt nun ein Interessenkonflikt konkret vor? Hierzu existiert keine bindende oder abschließende Liste. Über die Jahre haben sich jedoch Ansichten der Aufsichtsbehörden herauskristallisiert. Die hessische Datenschutzbehörde (50. Tätigkeitsbericht, S. 142) weist etwa darauf hin, dass in der Regel die Benennung von Leitungspersonen nicht zulässig sei. Dies gelte insbesondere für die Leitung der Personalabteilung, die Leitung der IT-Abteilung sowie die Leitung der Marketing- oder Vertriebsabteilung. Auch bei der Benennung einer/eines IT-Sicherheitsbeauftragten, Compliance-Beauftragten oder Leiterin/Leiters der Rechtsabteilung zur/zum DSB sei häufig ein Interessenkonflikt anzunehmen. Andererseits gilt bei der Frage des möglichen Interessenkonflikts, wie so oft, dass es auf den Einzelfall ankommt.
Eine ähnliche Diskussion entspinnt sich in der Praxis bei der Frage, welche Aufgaben die/der DSB übernehmen soll und übernehmen darf. Art. 39 Abs. 1 lit. a) DSGVO gibt vor, dass es der/dem DSB obliegt, Verantwortliche und Auftragsverarbeiter hinsichtlich ihrer Pflichten zu unterrichten und zu beraten. Aber Achtung, in der DSGVO sind die Aufgaben nicht abschließend benannt. Der/dem DSB obliegen „zumindest“(!) die dort aufgezählten Aufgaben – das bedeutet, dass auch weitere Aufgaben hinzukommen können, solange die Anforderungen an die Stellung der/des DSB eingehalten sind.
Klar ist auch: die/der DSB ist nicht „Verantwortlicher“ i.S.d. DSGVO (vgl. z.B. LG Landshut, Urt. v. 6.11.2020 – 51 O 513/20). Die gesetzlichen Pflichten von Verantwortlichen und Auftragsverarbeitern treffen also nicht die/den DSB. Die Letztverantwortung für die Einhaltung der DSGVO muss damit bei der juristischen Person verbleiben und kann nicht etwa zur Gänze einem/einer Mitarbeiter/in übertragen werden (VG Schleswig, Beschl. v. 31.3.2020 – 12 B 79/19).
Durchaus möglich (und meiner Erfahrung nach oft auch sinnvoll), ist eine interne Regelung zur Unterstützung des Verantwortlichen durch die/den DSB bei der Pflichtenerfüllung. So kann sich der Verantwortliche etwa im Rahmen der Erfüllung eines Auskunftsanspruchs nach Art. 15 DSGVO durchaus der/dem DSB bedienen. Nach Art. 12 Abs. 1 DSGVO muss ein Verantwortlicher „geeignete Maßnahmen“ treffen, damit z.B. die Auskunftspflicht erfüllt wird. Ein Verantwortlicher kann sich zur Erfüllung seiner Verpflichtung auch Erfüllungsgehilfen bedienen und zu diesen Erfüllungsgehilfen kann auch die/der DSB gehören (LAG Baden-Württemberg, Urt. v. 1.6.2022 – 4 Sa 65/21).
Wir dürfen alle gespannt sein, welche Ergebnisse die nun gestartete Prüfung der Aufsichtsbehörden zu Tage fördert. Der Präsident des BayLDA, Michael Will, betont, dass man versuchen werde, die Ergebnisse der Untersuchungen so rasch wie möglich auszuwerten und die Schlussfolgerungen damit für alle der mehr als 36.000 beim BayLDA gemeldeten DSB nutzbar zu machen.
Ich wünsche Ihnen eine anregende Lektüre.
Ihr
Dr. Carlo Piltz
Dieser Beitrag erschien als Editorial in der Ausgabe 04/2023 des Datenschutz-Berater.
Comments