Der Datenschutzbeauftragte im Arbeitsrecht
Informationen zur Bestellung und zu den arbeitsrechtlichen Aufgaben des Datenschutzbeauftragten
Lesedauer: 7 Minuten
Der Datenschutzbeauftragte ist die primäre Ansprechperson für die Fragen zum Datenschutz im Unternehmen. Er hat diesbezüglich Überwachungs-, Überprüfungs- und Beratungsrechte.
Die DSGVO enthält umfangreiche Bestimmungen zum Datenschutzbeauftragten. Sie regelt
- wann und unter welchen Voraussetzungen der Verantwortliche, also idR ein Unternehmen einen Datenschutzbeauftragten zu bestellen hat,
- welche Aufgaben der Datenschutzbeauftragte wahrzunehmen hat, sowie
- welche Stellung der Datenschutzbeauftragte im Unternehmen hat.
Auswahl der geeigneten Person zum Datenschutzbeauftragten
Die DSGVO bestimmt, dass der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt wird, das er auf dem Gebiet des Datenschutzrechtes und der Datenschutzpraxis besitzt, sowie aufgrund seiner Fähigkeit jene Aufgaben zur erfüllen, die die DSGVO für ihn vorsieht.
Obwohl es formale Ausbildungen zum Datenschutzbeauftragten gibt, die mit einem entsprechenden Zertifikat abschließen, können und sollten sich die Unternehmen darauf alleine nicht verlassen.
Im Zentrum der Regelung der DSGVO steht vielmehr, dass die betreffende Person tatsächlich auch alles kann, was die Position des Datenschutzbeauftragten von ihr verlangt. Die Arten und die Inhalte der Datenverarbeitungsvorgänge aber auch die Menge und die Vielfalt der zu verarbeitenden personenbezogenen Daten bestimmen das notwendige Niveau von Wissen und von Fähigkeit, die die gesuchte Person aufzuweisen hat.
Je höher das Risiko des Unternehmens ist, eine Verletzung der DSGVO zu begehen, umso sorgfältiger wird es bei der Auswahl der Person vorgehen, die die Funktion des Datenschutzbeauftragten ausüben soll.
Verpflichtende Bestellung eines Datenschutzbeauftragten
Unternehmen haben dann einen Datenschutzbeauftragten zu bestellen, wenn die dafür genannten inhaltlichen Voraussetzungen gegeben sind. Die Größe des Unternehmens spielt dabei keine Rolle.
Eine Bestellung muss erfolgen, wenn
- die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, die eine umfangreiche, regelmäßige und systematischen Überwachung von betroffenen Personen erforderlich machen. Dies wird etwa bei Banken und bei Versicherungsunternehmen der Fall sein, aber auch dann, wenn das Unternehmen als Berufsdetektiv tätig ist.
- die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten, wie etwa in der Verarbeitung von Gesundheitsdaten besteht, was bei Betrieb von Krankenanstalten jedenfalls der Fall ist, oder wenn die Kerntätigkeit in der Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten Daten besteht, bzw.
- wenn europäisches oder nationales Recht die Bestellung eines Datenschutzbeauftragten zwingend vorschreibt
Unter der Kerntätigkeit eines Unternehmens wird in der Regel dessen Unternehmensgegenstand verstanden.
Beispiel:
Die Kerntätigkeit eines Krankenhauses ist die Erbringung von Gesundheitsdienstleistungen. Die Verarbeitung von personenbezogenen Daten ist ein untrennbarer Bestandteil bei der Erbringung dieser Dienstleistungen, und somit Teil der Kerntätigkeit. Es ist daher ein Datenschutzbeauftragter zu bestellen.
Die Person, die zum Datenschutzbeauftragten des Unternehmens bestellt ist, kann Arbeitnehmer dieses Unternehmens sein. Es kann aber auch eine Person zum Datenschutzbeauftragten bestellt werden die selbständig tätig ist, also ein Rechtsanwalt oder ein Unternehmensberater.
Vorsicht!
Auch der Betriebsrat ist Verantwortlicher nach der DSGVO, wenn er die personenbezogenen Daten, die er vom Arbeitgeber aufgrund der Informationspflicht erhalten hat, verarbeitet, er sie also zumindest erhebt, ordnet, speichert und abfragt. Dabei kommt es in aller Regel zu einer Verarbeitung der besonderen Kategorien personenbezogener Daten, weshalb wohl auch Betriebsräte Datenschutzbeauftragte zu bestellen haben.
Bei dem vom Unternehmen und bei dem vom Betriebsrat bestellten Datenschutzbeauftragten muss es sich nicht um ein und diese selbe Person handeln.
Für nähere Details zu den Voraussetzungen einen Datenschutzbeauftragten einzurichten und weitere Informationen (z.B. Meldepflicht, Veröffentlichung, Qualifikation) siehe unser Infoblatt "EU-Datenschutz-Grundverordnung: Der Datenschutzbeauftragte".
Freiwillige Bestellung eines Datenschutzbeauftragten
Die freiwillige Bestellung eines Datenschutzbeauftragten ist jederzeit möglich.
Vorsicht!
Ein freiwillig bestellter Datenschutzbeauftragter hat dieselbe Stellung und dieselben Aufgaben wie ein Datenschutzbeauftragter, der verpflichtend zu bestellen ist.
Aufgaben des Datenschutzbeauftragten
Zu den Aufgaben des Datenschutzbeauftragten gehört es
- Unternehmer und ihre Mitarbeiter, die Datenverarbeitungen durchführen hinsichtlich ihrer Pflichten nach dem Datenschutzrecht zu unterrichten und zu beraten.
- die Einhaltung der Datenschutzvorschriften zu überwachen und zu überprüfen. Sie haben aber auch die Strategien des Unternehmens für den Schutz personenbezogener Daten zu überwachen und zu überprüfen.
- zu überprüfen, ob die vom Unternehmen durchgeführten Zuweisungen von Zuständigkeiten jenen Anforderungen entsprechen, die durch das Datenschutzrecht vorgegeben sind.
- zu überwachen, ob die vom Unternehmen erfolgte Sensibilisierung und durchgeführten Schulungen von Mitarbeitern, die an der Verarbeitung von Daten beteiligt sind, den Anforderungen des Datenschutzrechtes genügen.
- das Unternehmen im Zusammenhang mit der Datenschutz-Folgenabschätzung und der Überwachung ihrer Durchzuführung zu beraten.
- mit der Aufsichtsbehörde zusammenzuarbeiten und für diese als Anlaufstelle zu fungieren.
Zu den Aufgaben des Datenschutzbeauftragten gehört es aber auch, dass er von betroffenen Personen für alle Fragen zu Rate gezogen werden kann, die mit der Verarbeitung ihrer personenbezogenen Daten und der Wahrnehmung ihrer Rechte in Zusammenhang stehen.
Damit der Datenschutzbeauftragte seine Aufgaben wahrnehmen kann, hat ihn das Unternehmen dadurch zu unterstützen, indem es dem Datenschutzbeauftragten
- die für die Erfüllung der Aufgaben erforderlichen Ressourcen zur Verfügung stellt, also den notwendigen Sachaufwand für technisches Equipment übernimmt,
- den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen möglich macht,
- aber auch jene Ressourcen zur Verfügung stellt, die zur Erhaltung des Fachwissens des Datenschutzbeauftragten erforderlich sind, ihm also die Fachliteratur beistellt, sowie für ihn die Kosten notwendiger Kursmaßnahmen übernimmt.
Stellung des Datenschutzbeauftragten
Das Unternehmen hat sicherzustellen, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung seiner Aufgaben erhält, die er als Datenschutzbeauftragter wahrzunehmen hat.
Er ist somit bei der Erfüllung seiner Aufgaben als Datenschutzbeauftragter weisungsfrei, aber auch zur Geheimhaltung und zur Vertraulichkeit verpflichtet. Er berichtet unmittelbar an die höchste Managementebene des Unternehmens.
Die Bestellung eines Datenschutzbeauftragen befreit den Verantwortlichen, als idR die Geschäftsleitung des Unternehmens nicht davor, die Bestimmungen der DSGVO einzuhalten.
Der Datenschutzbeauftragte kann aber auch nicht als „verantwortlicher Beauftragter“ nach dem Verwaltungsstrafgesetz bestellt werden. Er hat nämlich keine Entscheidungsbefugnisse, sondern nur die Aufgaben zu beraten, zu überwachen sowie mit der Aufsichtsbehörde zusammen zu arbeiten.
Weil also die Geschäftsleitung dafür verantwortlich ist, die Bestimmungen der DSGVO einzuhalten, hat sie auch ein eminentes Interesse daran, dass die Person, die zum Datenschutzbeauftragten bestellt ist, dafür auch das notwendige Wissen besitzt, aber auch ausreichende Fähigkeiten hat, ihren Aufgaben nachzukommen.
Der Datenschutzbeauftragte kann aber auch andere Aufgaben und Pflichten wahrnehmen.
Ist also der Datenschutzbeauftragter ein selbständig Erwerbstätiger, also etwa ein Unternehmensberater, ist eben die Tätigkeit als Datenschutzbeauftragter eines Kunden üblicherweise eine seiner vielen unternehmerischen Aktivitäten.
Ist hingegen der Datenschutzbeauftragter Arbeitnehmer des Unternehmens, kann sich sein Aufgabenbereich, den er als Angestellter wahrzunehmen hat, zusätzlich auch noch auf andere Bereiche erstrecken, die sich mit seiner Funktion als Datenschutzbeauftragter nicht überschneiden.
Das Unternehmen hat dabei aber jedenfalls sicherzustellen, dass die Aufgaben und die Pflichten, die der Angestellte in seinem Aufgabenbereich zu erfüllen hat, nicht zu einem Interessenkonflikt mit seiner Funktion als Datenschutzbeauftragter führen.
Beispiel 1:
Hr. Huber ist Verkaufsleiter eines Versicherungsunternehmens und verantwortet mit dem ihm unterstellten Team den Verkauf von Lebensversicherungen. Darüber hinaus ist er zum Datenschutzbeauftragten bestellt worden. In dieser Funktion sind ihm, damit er seine Funktion als Verkaufsleiter weiterhin wahrnehmen kann, zwei teilzeitbeschäftigte Mitarbeiter zur Unterstützung zugewiesen. Der eine Mitarbeiter besticht durch seine EDV Kenntnisse, der andere durch seine Rechtskenntnisse.
Beispiel 2:
Fr. Maier arbeitet in der Buchhaltung eines Ambulatoriums für physikalische Medizin. Darüber hinaus ist sie – nach einer entsprechenden Ausbildung und Zertifizierung, zur Datenschutzbeauftragten bestellt worden. Die zeitlichen und organisatorischen Rahmenbedingungen ermöglichen es ihr, beide Funktionen problemlos auszuführen, dies auch deshalb, weil eine teilzeitbeschäftigte Mitarbeiterin der Buchhaltung sie durch die Leistung von Mehrstunden unterstützt.
Der Datenschutzbeauftragte darf vom Unternehmen wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Wird also eine Person von ihrer Position als Datenschutzbeauftragter abberufen, kann ihre Ursache in der Erfüllung der Aufgaben als Datenschutzbeauftragter, aber auch in anderen Gründen liegen.
Beispiel:
Frau Maier ist von ihrem Arbeitgeber zur Datenschutzbeauftragten bestellt worden. Sie ist besonders engagiert und besonders kritisch. Ihr Arbeitgeber empfindet ihre Aktivitäten als überzogen. Er beruft Fr. Maier von ihrer Position als Datenschutzbeauftragte ab.
Hr. Huber ist von seinem Arbeitgeber zur Datenschutzbeauftragten bestellt worden. Er zeigt in seiner Funktion kein Engagement. Sein Interesse an der übertragenen Aufgabe ist begrenzt und seine Kenntnisse dafür sind stark ausbaufähig. Sein Arbeitgeber beruft ihn von seiner Position als Datenschutzbeauftragter ab.
Die Abberufung der Frau Maier als Datenschutzbeauftragte erfolgt augenscheinlich aus verpönten Motiven, und erscheint aus diesem Grund rechtswidrig. Auch die Abberufung des Hrn. Huber erfolgt wegen der Erfüllung seiner Aufgaben. Sie erscheint wegen der schlechten bzw. nicht ausreichenden Erfüllung seiner Aufgaben als Datenschutzbeauftragter nachvollziehbar und vor allem auch naheliegend. Ob sie auch rechtens ist, bleibt offen.
Sanktionen
Bei einem erstmaligen Verstoß gegen die Verpflichtung zur Bestellung eines Datenschutzbeauftragten sowie bei einem erstmaligen Verstoß gegen andere Vorschriften die den Datenschutzbeauftragten betreffen, erfolgt eine Verwarnung durch die Datenschutzbehörde.
Im Wiederholungsfall drohen Strafen mit bis zu EUR 10 Mio. oder 2 % des letztjährigen weltweiten Jahresumsatzes.
Rechtsquellen:
Artikel 37-39 EU-Datenschutz-Grundverordnung
Artikel 83 Absatz 4 und 5 EU-Datenschutz-Grundverordnung
§ 11 Datenschutz-Anpassungsgesetz 2018
Stand: 26.06.2018