zurück zur Normal-Ansicht
 
 
 
 
 

Download einer Datei: Der behördliche und betriebliche Datenschutzbeauftragte nach neuem Recht

Falls der Download nicht automatisch startet, klicken Sie bitte HIER um die Datei herunterzuladen.

Download starten
zurück

Der behördliche und betriebliche Datenschutzbeauftragte nach neuem Recht Der Datenschutzbeauftragte nach neuem Recht Seite 1 von 26 Der behördliche und betriebliche Datenschutzbeauftragte nach neuem Recht1 Stand Juni 2017 1 D.h. nach den Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, nachfolgend abgekürzt als „DSGVO” (Artikel 37 bis 39 DSGVO) und der Richtlinie (EU) 2016/680 des Europäischen Parla-ments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung per-sonenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Auf-deckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, nachfolgend abgekürzt als „JI-RICHTLINIE” (Artikel 32 bis 34 JI-RICHTLINIE) sowie des Bundesdatenschutzgesetzes, nachfolgend abgekürzt als „BDSG-NEU” (§§ 5 bis 7, 38 BDSG-NEU). Der Hessische Datenschutzbeauftragte Der Datenschutzbeauftragte nach neuem Recht Seite 2 von 26 Inhalt A. Einführung ................................................................................................................ 4 B. Ausführliche Hinweise und Informationen ............................................................. 6 I. Pflicht zur Benennung eines Datenschutzbeauftragten ........................................ 6 1. Voraussetzungen der DSGVO ................................................................................... 6 2. Voraussetzungen nach dem BDSG-NEU ................................................................... 8 3. Benennungspflicht für Verantwortliche und Auftragsverarbeiter ................................. 9 4. Zeitpunkt der Benennung ........................................................................................... 9 5. Kein Schriftformerfordernis, sondern Veröffentlichungs- und Mitteilungspflicht ........... 9 6. Konzernprivileg für Benennung .................................................................................11 7. Interne oder externe Benennung möglich ..................................................................11 8. Datenschutzteam und Benennung juristischer Personen ..........................................12 9. Freiwillige Benennung ...............................................................................................13 II. Persönliche Voraussetzungen des Datenschutzbeauftragten .............................13 1. Berufliche Qualifikation und Fachwissen ...................................................................13 2. Fähigkeit zur Erfüllung der genannten Aufgaben .......................................................14 III. Aufgaben und Pflichten ..........................................................................................14 1. Unterrichtung und Beratung ......................................................................................14 2. Überwachung der Einhaltung der DSGVO/ des BDSG-NEU .....................................15 3. Beratung und Überwachung im Zusammenhang mit der Datenschutz-Folgenabschätzung ...................................................................................................15 4. Sensibilisierung und Schulung ..................................................................................16 5. Zusammenarbeit mit der Aufsichtsbehörde ...............................................................17 6. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde ....................................................17 7. Risikoorientierte Aufgabenerfüllung ...........................................................................18 8. Erweiterung des Aufgabenkatalogs durch Vereinbarung ...........................................18 IV. Stellung des Datenschutzbeauftragten .................................................................18 1. Ordnungsgemäße und frühzeitige Einbindung ..........................................................19 2. Bereitstellung erforderlicher Ressourcen ...................................................................20 3. Weisungsfreiheit/Unabhängigkeit ..............................................................................21 4. Keine Benachteiligung: Abberufung und Kündigung..................................................22 5. Unmittelbarer Berichtsweg zur Geschäftsführung .....................................................22 6. Anrufungsrecht des Betroffenen ................................................................................23 7. Geheimhaltung, Vertraulichkeit und Zeugnisverweigerungsrecht ..............................23 8. Kein Interessenkonflikt ..............................................................................................24 9. Zusammenarbeit mit der Aufsichtsbehörde ...............................................................24 Der Datenschutzbeauftragte nach neuem Recht Seite 3 von 26 10. Ausweitung der Privilegien auf Vertreter oder Datenschutzteam .............................24 V. Sanktionen und Haftung .........................................................................................25 1. Erhebliche Sanktionsverschärfung ............................................................................25 2. Keine Verhängung von Geldbußen gegenüber Behörden .........................................26 3. Haftungsverteilung zwischen Datenschutzbeauftragten und Unternehmen ...............26 Der Datenschutzbeauftragte nach neuem Recht Seite 4 von 26 A. Einführung Mit der Verabschiedung der DSGVO, der JI-RICHTLINIE, des BDSG-NEU und des HDSG-NEU gehen Änderungen des Datenschutzrechts einher, die sich auch auf die Benennung, die Stellung und die Aufgaben der behördlichen und betrieblichen Datenschutzbeauftragten auswirken. Auch wenn es sich bei der Rechtsfigur des Datenschutzbeauftragten um ein bereits bekanntes und bewährtes Instrument zur Wahrung des Datenschutzes in Deutschland handelt und sich die neu geschaffenen Regelungen hieran ori-entieren, modifizieren die neuen Regelungen das aktuelle Recht und die künf-tige Praxis. Wesentliche Neuerungen sind z.B.: ? Die Pflicht zur Benennung eines Datenschutzbeauftragten auch für Auf-tragsverarbeiter. ? Die Möglichkeit für öffentliche Stellen, einen externen Datenschutzbe-auftragten zu benennen. ? Die Pflicht die Kontaktdaten des Datenschutzbeauftragten zu veröffent-lichen und der Aufsichtsbehörde mitzuteilen. Die derzeit noch geltenden Regelungen der §§ 4 f und 4 g BDSG werden mit der unmittelbaren Geltung der DSGVO ab dem 25.05.2018 abgelöst. Zentrale Regelungen zur Benennung, Stellung und zu den Aufgaben des Datenschutz-beauftragten enthalten sodann die Artikel 37 bis 39 DSGVO.2 Diese sind zukünftig auch direkt für hessische Behörden anwendbar, sodass der Anwendungsbereich des HDSG kleiner wird als bisher. Die Vorschriften des HDSG für Datenschutzbeauftragte öffentlicher Stellen werden im Wesent-lichen nur greifen, soweit die Europäische Union keine Regelungskompetenz besitzt3 (z.B. Hessisches Amt für Verfassungsschutz) oder sie unter die JI-RICHTLINIE4 (z.B. Polizei, Justizvollzug und Allgemeine Ordnungsbehörden) fallen. Aktuell werden die Vorschriften des HDSG überarbeitet und an die neue Rechtslage angepasst. Da mit vergleichbaren Regelungen wie im BDSG-NEU 2 Zu den genannten Rechtsvorschriften hat die Artikel 29 Datenschutzgruppe, nachfolgend abgekürzt als „WP 29” bereits im Dezember 2016 das Working Paper 243 „Guidelines on Data Protection Officers (’DPOs’)” veröffentlicht. Die Artikel 29 Datenschutzgruppe ist das unabhängige Beratungs-gremium der EU Kommission in Fragen des Datenschutzes. Die Working Paper der WP 29 sind ab-rufbar über die Webseiten der Europäischen Kommission 3 So besitzt die Europäische Union etwa gemäß Art. 4 Abs. 2 Satz 3 des Vertrages über die Europäi-sche Union (EUV) keine Regelungskompetenz für den Bereich der nationalen Sicherheit 4 Vergleiche Erwägungsgrund 19 der DSGVO: Behörden, die für Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, personenbezogene Daten verarbeiten, fallen nicht in den Anwendungsbereich der DSGVO, sondern unter die JI-RICHTLINIE Der Datenschutzbeauftragte nach neuem Recht Seite 5 von 26 (für Bundesbehörden) zu rechnen ist, wird für behördliche Datenschutzbeauf-tragte in Hessen aktuell auf die Vorschriften §§ 5 bis 7 des BDSG-NEU ver-wiesen. Sobald die Vorschriften des HDSG vorliegen, wird dieses Papier ak-tualisiert. Daneben gelangen für betriebliche Datenschutzbeauftragte über § 38 BDSG-NEU die Regelungen der § 6 Abs. 4, Abs. 5 Satz 2 und Abs. 6 BDSG-NEU in Ergänzung zur DSGVO zur Anwendung. Für betriebliche Datenschutzbeauftragte füllen die Vorschriften des BDSG-NEU damit die in der DSGVO enthaltene Öffnungsklausel und Gestaltungs-spielräume aus. Bitte beachten Sie, dass die DSGVO, die JI-RICHTLINIE und das BDSG-NEU erst ab dem 25.05.2018 unmittelbar anwendbar sind. Bis zu diesem Zeitpunkt besteht die aktuelle Rechtslage unverändert fort. Auch können bestellte Da-tenschutzbeauftragte in der Regel nicht mit Verweis auf die neuen Bestim-mungen abberufen oder gekündigt werden, wenn sie die gesetzlichen Anfor-derungen weiterhin erfüllen. Dieses Arbeitspapier gibt einen Ausblick auf die zu erwartende Rechtslage ab dem 25.05.2018 und wird fortlaufend weiterentwickelt. Sollten Sie Anregungen oder Ergänzungen hierzu haben, können Sie uns gerne jederzeit über unsere E-Mail-Adresse poststelle@datenschutz.hessen.de kontaktieren. Hinweis zur Gender-Formulierung: Aus Gründen der sprachlichen Vereinfa-chung sind alle Aussagen in diesem Dokument als geschlechtsneutral zu ver-stehen. Der Datenschutzbeauftragte nach neuem Recht Seite 6 von 26 B. Ausführliche Hinweise und Informationen I. Pflicht zur Benennung eines Datenschutzbeauftragten 1. Voraussetzungen der DSGVO Mit Artikel 37 Abs. 1 DSGVO führt der europäische Gesetzgeber erstmals eine euro-paweit geltende Pflicht zur Benennung eines Datenschutzbeauftragten ein. Danach benennen der Verantwortliche und der Auftragsverarbeiter auf jeden Fall einen Da-tenschutzbeauftragten, wenn a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit han-deln, b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Arti-kel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht. Behörden und öffentliche Stellen müssen somit immer einen Datenschutzbeauftrag-ten bestellen, wenn sie in den Anwendungsbereich der DSGVO fallen.5 Für Unternehmen und andere nicht-öffentliche Stellen greift die Pflicht zur Benen-nung eines betrieblichen Datenschutzbeauftragten, wenn die unter b) oder c) ge-nannten Voraussetzungen erfüllt sind. Die Begriffe „Kerntätigkeit”, „umfangreiche Verarbeitung” und „regelmäßige und sys-tematische Überwachung” sind auslegungsbedürftig. Hilfestellung bei der Interpreta-tion leisten sowohl die Erwägungsgründe als auch die WP 29.6 Nach Erwägungsgrund 97 der DSGVO bezieht sich der Begriff der Kerntätigkeit im privaten Sektor auf die Haupttätigkeit und nicht auf die Verarbeitung personenbezo-gener Daten als Nebentätigkeit eines Unternehmens. Entscheidend und im Einzelfall schwierig kann hier vor allem die Abgrenzung der beiden Begrifflichkeiten sein, da hierdurch die Benennungspflicht ausgelöst werden kann oder aber entfällt. Die WP 29 greift den Gedanken Haupt- und Nebentätigkeit auf und führt hierzu aus, dass hierunter Aktivitäten zu verstehen sind, die entweder essentiell für die Erreichung der Ziele eines Unternehmens oder untrennbar mit diesem verbunden sind. Kerntätigkeit 5 Vergleiche hierzu für Gerichte im Rahmen ihrer justiziellen Tätigkeit Artikel 55 Abs. 3 und Erwä-gungsgrund 20 DSGVO 6 Vergleiche Erwägungsgründe 97, 91 und 24 der DSGVO und Working Paper 243, Seite 7 bis 9 Der Datenschutzbeauftragte nach neuem Recht Seite 7 von 26 im Sinne der DSGVO ist somit anzunehmen, wenn die Verarbeitung personenbezo-gener Daten primärer Geschäftszweck eines Unternehmens ist oder die Erfüllung des primären Geschäftszwecks ohne die Verarbeitung personenbezogener Daten nicht erreicht werden kann und es sich hierbei nicht um herkömmliche Unterneh-mensaufgaben handelt, die unabhängig vom eigentlichen Geschäftszweck anfallen.7 Als Beispiel für die Annahme der Kerntätigkeit nennt die WP 29 die Verarbeitung von Gesundheitsdaten durch Krankenhäuser: Zwar ist die Kerntätigkeit eines Kranken-hauses die Gesundheitsversorgung. Diese kann aber ohne die Verarbeitung von personenbezogenen Gesundheitsdaten nicht gewährleistet werden. Der Begriff der umfangreichen Verarbeitung wird durch die DSGVO selbst nicht definiert. Erwägungsgrund 91 der DSGVO gibt aber zumindest drei Wertungskriterien für umfangreiche Verarbeitungsvorgänge an die Hand: ? Verarbeitung großer Mengen personenbezogener Daten auf regionaler, natio-naler oder supranationaler Ebene, ? Betroffenheit einer großen Zahl von Personen, ? hohes Risiko für die Betroffenen, z.B. aufgrund der Verarbeitung sensibler Da-ten. Beachtet werden sollte in diesem Zusammenhang die in Erwägungsgrund 89 zum Ausdruck kommende Wertung, dass insbesondere bei Verarbeitungsvorgängen, bei denen neue Technologien eingesetzt werden, von einem hohen Risiko für den Be-troffenen auszugehen ist. Derzeit gibt es noch keine Auslegungspraxis zu der Frage, wann eine Verarbeitung generell als umfangreich anzusehen ist. Aktuell sollten nach Auffassung der WP 29 zumindest die folgenden Überlegungen in eine Bewertung einfließen: ? Anzahl der Betroffenen, ? Menge der betroffenen Datensätze/Vielzahl der Verarbeitungsprozesse, ? Dauer oder Permanenz der Datenverarbeitung, ? geographische Reichweite der Datenverarbeitung. Die WP 29 nennt darüber hinaus einige Praxisbeispiele, wie etwa die regelmäßige Verarbeitung von Kundendaten durch Versicherungen oder Banken oder die Verar-beitung von personenbezogenen Daten im Zusammenhang mit verhaltensbasierter Werbung. Zur Frage der Auslegung der regelmäßigen und systematischen Überwachung können die Wertungen des Erwägungsgrundes 24 herangezogen werden: Hierzu zählen alle Fälle der Nachverfolgung von Internetaktivitäten und Profilbildung, wobei der Begriff nicht auf Anwendungsfälle im Bereich der Internetnutzung beschränkt ist. 7 Zum Beispiel aus dem Bereich der IT oder Personaldatenverwaltung Der Datenschutzbeauftragte nach neuem Recht Seite 8 von 26 Nach Ansicht der WP 29 kann der Begriff „regelmäßige Überwachung” bei Vorliegen der nachfolgenden Kriterien erfüllt sein: ? fortlaufende oder in bestimmten Abständen während eines bestimmten Zeit-raums vorkommende Überwachung, ? immer wieder oder wiederholt zu bestimmten Zeitpunkten auftretende Über-wachung, ? ständig oder regelmäßig stattfindende Überwachung. Der Begriff der „systematischen” Überwachung ist nach Ansicht der WP 29 erfüllt, wenn die Überwachung: ? systematisch, ? vereinbart, organisiert oder methodisch, ? im Rahmen eines allgemeinen Datenerfassungsplans, oder ? im Rahmen einer Strategie erfolgt. Als Beispiele werden u.a. der Betrieb eines Telekommunikationsnetzes, die Bereit-stellung von Telekommunikationsdienstleistungen, datengetriebene Marketingaktivi-täten oder Profilbildung/Scoring zur Risikobewertung genannt. 2. Voraussetzungen nach dem BDSG-NEU Für behördliche Datenschutzbeauftragte wiederholt das BDSG-NEU in Umsetzung der JI-RICHTLINIE die Regelung der generellen Benennungspflicht der DSGVO.8 Es ist davon auszugehen, dass im HDSG vergleichbare Regelungen geschaffen wer-den. Über die Öffnungsklausel des Artikel 37 Abs. 4 Satz 1 DSGVO hat der deutsche Ge-setzgeber für die Benennung betrieblicher Datenschutzbeauftragter nationale Son-derregelungen geschaffen und sich dafür entschieden, das bereits bekannte Kriteri-um der quantitativen Bestellpflicht beizubehalten.9 Somit ist auch künftig ein Daten-schutzbeauftragter zu benennen, wenn in der Regel mindestens 10 Personen stän-dig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. In Bezug auf die Anzahl der mit der Verarbeitung beschäftigten Personen ist zu be-achten, dass die Arbeitnehmereigenschaft der beschäftigten Personen nicht ent-scheidend ist. Neben Vollzeitbeschäftigten sind daher z.B. auch Teilzeitbeschäftigte, Leiharbeiter, Auszubildende und Praktikanten bei der Kalkulation der 10 Personen zu berücksichtigen. Bei der Auslegung des Begriffs der automatisierten Verarbeitung personenbezogener Daten ist zu beachten, dass hierfür die Annahme genügen kann, dass die beschäftigten Personen einen personalisierten E-Mail-Account haben: Es ist 8 Vergleiche Artikel 37 Abs. 1 DSGVO und § 5 Abs. 1 BDSG-NEU 9 Vergleiche § 38 Abs. 1 Satz 1 BDSG-NEU Der Datenschutzbeauftragte nach neuem Recht Seite 9 von 26 also nicht erforderlich, dass die Erhebung, Verarbeitung oder Nutzung personenbe-zogener Daten Kernaufgabe der beschäftigten Person ist. Die bereits zum alten BDSG entwickelten Grundsätze bleiben somit auch zukünftig weiter anwendbar.10 Sind weniger als zehn Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt, besteht eine Benennungspflicht, wenn der Verantwortliche oder der Auf-tragsverarbeiter einer Datenschutz-Folgenabschätzung nach Artikel 35 der DSGVO unterliegt oder aber personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Mei-nungsforschung verarbeitet werden.11 3. Benennungspflicht für Verantwortliche und Auftragsverarbeiter12 Nach der DSGVO und dem BDSG-NEU muss sowohl der Verantwortliche als auch der Auftragsverarbeiter einen Datenschutzbeauftragten benennen. Aus deutscher Sicht handelt es sich mithin um eine Erweiterung der bisher bestehenden Bestell-pflicht, da Normadressaten des BDSG aktuell nur die verantwortlichen Stellen sind. 4. Zeitpunkt der Benennung Da weder die DSGVO noch das BDSG-NEU eine Frist zur Benennung des Daten-schutzbeauftragten enthalten, hat die Benennung unverzüglich zu erfolgen, wenn die Voraussetzungen vorliegen. 5. Kein Schriftformerfordernis, sondern Veröffentlichungs- und Mitteilungs-pflicht13 Der Wortlaut der DSGVO und des BDSG-NEU spricht nur noch von einer Benennung des Datenschutzbeauftragten. Eine schriftliche Bestellung, entsprechend den aktuel-len Bestimmungen des BDSG, ist zukünftig daher nicht mehr erforderlich. Die Benennung wird zukünftig vor allem durch die Veröffentlichung der Kontaktdaten und die Mitteilung an die Aufsichtsbehörden14 in formeller Hinsicht vollzogen. Die Mitteilungs- und Veröffentlichungspflicht steht in einem engen Zusammenhang mit der Rolle des Datenschutzbeauftragten als zentrale Anlaufstelle für Betroffene, Ver-antwortliche, Auftragsverarbeiter und Aufsichtsbehörden und ist Ausdruck des in Arti-kel 5 DSGVO verankerten Transparenzgrundsatzes.15 Sinn und Zweck der Veröffent-lichungs- und Mitteilungspflicht ist, Betroffenen und Aufsichtsbehörden eine einfache, direkte und vertrauliche Kommunikation mit dem Datenschutzbeauftragten zu ermög-lichen. Vor diesem Hintergrund sollten Kontaktmöglichkeiten sowohl innerhalb des 10 Vergleiche z.B. Simitis, Kommentar zum BDSG, 8. Auflage, 2014, § 4 f, ab Rn. 12 ff. 11 § 38 Abs. 1 Satz 2 BDSG-NEU 12 Vergleiche Artikel 37 Abs. 1 DSGVO und § 38 Abs. 1 BDSG-NEU 13 Vergleiche Artikel 37 Abs. 7 DSGVO und § 5 Abs. 5 BDSG-NEU 14 Zur Frage der Umsetzung der Mitteilungspflicht in Deutschland befinden sich die Aufsichtsbehörden aktuell noch in einem Abstimmungsprozess 15 Vergleiche hierzu vor allem Punkt III, Nr. 6. „Tätigkeit als Anlaufstelle für die Aufsichtsbehörden” und Punkt IV. 6. „Anrufungsrecht der Betroffenen” Der Datenschutzbeauftragte nach neuem Recht Seite 10 von 26 Unternehmens (z.B. per E-Mail, Informationsrundschreiben, Intranet, Organigramm oder Aushang) als auch für Betroffene (z.B. Webseite, Kundeninformation) ausrei-chend kommuniziert werden. Die WP 29 empfiehlt hierzu die Bereitstellung der postalischen Adresse sowie einer entsprechend gewidmeten E-Mail-Adresse und Telefonnummer. Nicht zwingend soll demgegenüber die Veröffentlichung oder Mitteilung des Namens des Datenschutz-beauftragten sein. Gleichwohl wird die Bekanntgabe des Namens gegenüber Auf-sichtsbehörden und Beschäftigten empfohlen.16 Auch wenn die schriftliche Bestellung zukünftig nicht mehr erforderlich ist, empfiehlt es sich aus Gründen der Rechtssicherheit sowie vor dem Hintergrund deutlich ge-steigerter Nachweispflichten17, die Benennung zum Datenschutzbeauftragten in ge-eigneter Form zu dokumentieren18 und hierbei z.B.: ? auf den Zeitpunkt der Wirksamkeit der Benennung, ? die vom Datenschutzbeauftragten übernommenen gesetzlichen und gegebe-nenfalls zusätzlich vertraglich vereinbarten Aufgaben, ? das zur Verfügung gestellte Zeitkontingent, ? die zur Verfügung gestellten Ressourcen, ? etc., einzugehen. Im Zusammenhang mit dem Wegfall der schriftlichen Bestellung stellt sich die Frage, ob vor der DSGVO und dem BDSG-NEU unterzeichnete Bestellurkunden nach dem 25.05.2018 weiter fortgelten. Jedenfalls der Regelungscharakter der Bestellurkunde verändert sich: Die bis dato konstitutiv wirkende Unterzeichnung der Bestellurkunde19 kann zukünftig nur noch deklaratorische Wirkung entfalten, da weder die DSGVO noch das BDSG-NEU die Schriftform erfordern. Aufgrund der zuvor dargestellten Er-wägungen kann es aber durchaus sinnvoll sein, an den bereits bestehenden schriftli-chen Dokumenten festzuhalten. Vor dem Hintergrund der demnächst geänderten Rechtslage empfiehlt es sich aber in jeden Fall, bestehende Dokumente auf ihre Konformität mit den neuen gesetzlichen Bestimmungen zu überprüfen. 16 Working Paper 243, Seite 12/13 17 Vergleiche hierzu Artikel 24 Abs. 1 DSGVO und Erwägungsgrund 74 Auszug: Insbesondere sollte der Verantwortliche geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit dieser Verordnung stehen und die Maßnahmen auch wirksam sind. 18 Denkbar ist hier beispielsweise eine Bestellurkunde, ein Dienstleistungsvertrag, eine Ergänzung zum Arbeitsvertrag oder aber eine Kombination dieser Dokumente 19 Vergleiche z.B. Simitis, Kommentar zum BDSG, 8. Auflage, 2014, § 4 f, ab Rn. 59 Der Datenschutzbeauftragte nach neuem Recht Seite 11 von 26 6. Konzernprivileg für Benennung20 Die DSGVO ermöglicht Verantwortlichen und Auftragsverarbeitern die Benennung eines Datenschutzbeauftragten für eine Unternehmensgruppe, sofern dieser von je-der Niederlassung leicht erreicht werden kann. Im Verhältnis zur bisherigen Regelung des BDSG handelt es sich somit um eine Er-leichterung der formalen Anforderungen, da zukünftig keine separate Bestellung für jedes einzelne Konzernunternehmen mehr erfolgen muss. Der Begriff der leichten Erreichbarkeit verlangt zum einen Sicherstellung der persön-lichen Kommunikation durch ausreichend verfügbare Kontaktmöglichkeiten, z.B. die Einrichtung eines Kontaktformulars auf der Webseite, Bereitstellung einer Telefon-nummer und/oder E-Mail-Adresse, regelmäßige Sprechstunden für Beschäftigte. Zum anderen muss der Datenschutzbeauftragte in der Lage sein, mit Aufsichtsbe-hörden und Betroffenen sprachlich zu kommunizieren. Wenn nach deutschem Recht eine Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten besteht, kann somit ein Konzerndatenschutzbeauftragter auch außerhalb Deutschlands für deutsche Niederlassungen benannt werden.21 Entscheidend ist, dass der Daten-schutzbeauftragte aufgrund seiner Eigenschaften22 sowie seiner Stellung im Unter-nehmen tatsächlich in der Lage ist ? für Betroffene und Aufsichtsbehörden persönlich als Ansprechpartner zur Ver-fügung zu stehen, d.h., mit ihnen zu kommunizieren und zu kooperieren und ? die ihm von der DSGVO auferlegten Aufgaben zu erfüllen. Es wird jedoch empfohlen, dass der Datenschutzbeauftragte in der Europäischen Union/ im Europäischen Wirtschaftsraum ansässig ist, da andernfalls die Erfüllung der übernommenen Aufgaben jedenfalls erheblich erschwert werden dürfte und da-her fraglich scheint. Auch Behörden und öffentliche Stellen können nach der DSGVO und dem BDSG-NEU unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe einen ge-meinsamen Datenschutzbeauftragten benennen. 7. Interne oder externe Benennung möglich23 Der Datenschutzbeauftragte kann sowohl Beschäftigter des benennpflichtigen Unter-nehmens sein als auch auf der Grundlage eines Dienstleistungsvertrages tätig wer- 20 Vergleiche Artikel 37 Abs. 2, Abs. 3 DSGVO und § 5 Abs. 2 BDSG-NEU 21 Dies gilt z.B. auch, wenn ein Unternehmen mit Hauptsitz außerhalb der Europäischen Union am Ort des Hauptsitzes den Datenschutzbeauftragten auch für alle europäischen Tochterunternehmen be-nennt. 22 Vergleiche hierzu vor allem Punkt II. „persönliche Voraussetzungen” 23 Vergleiche Artikel 37 Abs. 6 DSGVO, § 5 Abs. 4 BDSG-NEU, sowie § 4 f Abs. 2 Satz 3 und 4 BDSG Der Datenschutzbeauftragte nach neuem Recht Seite 12 von 26 den. Diese Wahlfreiheit ist für Unternehmen aktuell bereits gegeben, für öffentliche Stellen wird sie durch die Vorschriften der DSGVO und des BDSG-NEU eingeführt. Der im Falle der externen Benennung zu schließende Dienstleistungsvertrag kann mit einer Einzelperson oder einem Dienstleistungsunternehmen abgeschlossen wer-den. In der Praxis ist insbesondere darauf zu achten, dass der externe Datenschutz-beauftragte die gestellten Anforderungen erfüllt und den mit der Stellung des Daten-schutzbeauftragten verbundenen Schutz genießt. Sowohl bei internen als auch bei externen Datenschutzbeauftragten empfiehlt es sich, die wichtigsten, mit der Benennung zum Datenschutzbeauftragten zusammen-hängenden tatsächlichen und rechtlichen Folgen zu dokumentieren.24 8. Datenschutzteam und Benennung juristischer Personen Neben der Benennung einer einzelnen Person ist es auch möglich, dass mehrere Personen gemeinsam die Aufgaben des Datenschutzbeauftragten wahrnehmen. Die Beauftragung eines Datenschutzteams kann geeignet sein, die Erfüllung der nach der DSGVO obliegenden Aufgaben effizient zu gestalten. So kann beispielsweise vorhandenes Spezialwissen gezielt eingesetzt werden. Die Übernahme der Aufgaben des Datenschutzbeauftragten durch ein Team kann aber auch zu erheblicher Rechtunsicherheit führen, etwa wenn es um Fragen der Zuständigkeit, der Haftungsverteilung oder des Abberufungs- und Kündigungsschut-zes geht.25 Aus Gründen der Rechtssicherheit ist es daher unerlässlich, dass die Verantwortlichkeiten bei der Aufnahme der Tätigkeit klar zugewiesen und entspre-chend dokumentiert werden. Generell empfiehlt es sich, einen „Hauptverantwortli-chen” für die Erfüllung der Aufgaben des Datenschutzbeauftragten zu benennen. Nach Ansicht der WP 29 ist auch die Benennung einer juristischen Person zum Da-tenschutzbeauftragten zulässig.26 Die deutschen Aufsichtsbehörden vertreten hierzu aktuell noch unterschiedliche Auffassungen. Zwingend wäre jedenfalls, dass die für die juristische Person handelnden und die Aufgaben des Datenschutzbeauftragten ausführenden Personen die Voraussetzungen des vierten Abschnitts der DSGVO erfüllen. Solange eine verbindliche Klärung durch den Europäischen Datenschutz-ausschuss nicht stattgefunden hat, wird empfohlen, die Benennung einer juristischen Person zum Datenschutzbeauftragten vorab mit der zuständigen Datenschutzauf-sichtsbehörde abzustimmen. 24 Vergleiche zum Umfang der schriftlichen Dokumentation auch die weitergehenden Ausführungen unter Punkt I. 5. „Kein Schriftformerfordernis” 25 Zum Beispiel: Welchen Personen des Datenschutzteams stehen die Privilegien des Artikel 38 DSGVO und der § 38 Abs. 2 i.V.m. § 6 Abs. 4, 5 Satz 2 und 6 BDSG-NEU zu? 26 Working Paper 243, Seite 12 Der Datenschutzbeauftragte nach neuem Recht Seite 13 von 26 9. Freiwillige Benennung Für den Fall, dass weder die DSGVO noch das BDSG-NEU die Benennung eines Datenschutzbeauftragten ausdrücklich vorsehen, besteht für Unternehmen die Mög-lichkeit der freiwilligen Benennung eines Datenschutzbeauftragten. Sie wird in der DSGVO ausdrücklich erwähnt und von der WP 29 unterstützt.27 Im Falle der freiwilligen Benennung gelten die Vorschriften des vierten Abschnitts der DSGVO.28 Zu beachten ist aber, dass die zur DSGVO hinzutretenden Privilegien des BDSG-NEU (Abberufungs-und Kündigungsschutz, Verschwiegenheit und Zeugnis-verweigerungsrecht) nach dem Wortlaut des § 38 Abs. 2 BDSG-NEU nur bei der ver-pflichtenden Bestellung zur Anwendung gelangen. Gleichwohl können die Parteien entsprechende vertragliche Vereinbarungen treffen. Auch hier empfiehlt sich die schriftliche Dokumentation. Unternehmen, die weder verpflichtend einen Datenschutzbeauftragten benennen müssen noch freiwillig einen Datenschutzbeauftragten benennen wollen, haben zu-dem die Möglichkeit, interne Mitarbeiter oder externe Berater mit bestimmten Daten-schutzaufgaben zu betrauen. In solchen Fällen muss jedoch sichergestellt werden, dass sowohl den Parteien als auch etwaigen Kommunikationspartnern29 klar ist, dass es sich bei der tätigen Person nicht um einen Datenschutzbeauftragten handelt.30 II. Persönliche Voraussetzungen des Datenschutzbeauftragten31 Sowohl die DSGVO als auch das BDSG-NEU verlangen, dass der Datenschutzbe-auftragte auf der Grundlage der folgenden drei Voraussetzungen benannt wird: (1) berufliche Qualifikation, (2) Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpra-xis, (3) Fähigkeit zur Erfüllung der in der DSGVO bzw. BDSG-NEU genannten Aufga-ben. 1. Berufliche Qualifikation und Fachwissen32 Der Begriff der beruflichen Qualifikation wird durch die DSGVO und das BDSG-NEU nicht weiter erklärt. Die WP 29 hat sich darauf verständigt, Kenntnisse des nationalen und Europäischen Datenschutzrechts sowie ein vertieftes Verständnis der DSGVO zu fordern. 27 Vergleiche Artikel 37 Abs. 4 Satz 1 DSGVO und Working Paper 243, Seite 1 28 D.h. volle Anwendbarkeit der Artikel 37 bis 39 DSGVO/ Working Paper 243, Seite 5 29 z.B. Beschäftigte, Betroffene, Aufsichtsbehörden, etc. 30 Working Paper 243, Seite 6 31 Vergleiche Artikel 37 Abs. 5 DSGVO und § 5 Abs. 3 BDSG-NEU 32 Working Paper 243, Seite 11/12 Der Datenschutzbeauftragte nach neuem Recht Seite 14 von 26 Auch in Hinblick auf das erforderliche Fachwissen fehlt eine genauere Beschreibung. Nach Ansicht der WP 29 sollte dieses aber in einem angemessenen Verhältnis zur Sensitivität, Komplexität und zum Umfang der Verarbeitungsvorgänge stehen. So verlangt die Bewertung systematischer Übermittlung personenbezogener Daten in Drittstaaten ein tiefergehendes Fachwissen als ein gelegentlicher Datenaustausch innerhalb der Europäischen Union und des Europäischen Wirtschaftsraums.33 Neben der sicheren Anwendung der gesetzlichen Regelungen ist es für die Erfüllung der ihm obliegenden Aufgaben unerlässlich, dass der Datenschutzbeauftragte organisa-torische und vertiefte technische Kenntnisse hat.34 2. Fähigkeit zur Erfüllung der genannten Aufgaben Neben der beruflichen und der fachlichen Qualifikation verlangt die WP 29 im Zu-sammenhang mit der Fähigkeit zur Erfüllung der in der DSGVO genannten Aufga-ben, dass der Datenschutzbeauftragte ein hohes Maß an persönlicher Integrität und Berufsethik mit sich bringen muss.35 So scheiden beispielsweise Personen aus, die in der Vergangenheit bereits Datenschutzverstöße begangen oder Verschwiegen-heitspflichten verletzt haben. III. Aufgaben und Pflichten36 Bei einer Gesamtschau der Regelungen der DSGVO sowie des BDSG-NEU lassen sich die folgenden Kernaufgaben für Datenschutzbeauftragte zusammenfassen: (1) Unterrichtung und Beratung, (2) Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschrif-ten der Union bzw. der Mitgliedsstaaten (oder des BDSG-NEU und sonstiger Vorschriften über den Datenschutz)/Zuweisung von Zuständigkeiten, (3) Sensibilisierung und Schulung, (4) Beratung und Überwachung im Zusammenhang mit der Datenschutz-Folgenabschätzung, (5) Zusammenarbeit mit der Aufsichtsbehörde, (6) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde. 1. Unterrichtung und Beratung37 Die Unterrichtungs- und Beratungspflicht verlangt, dass der Datenschutzbeauftragte über einschlägige datenschutzrelevante Vorschriften und Vorgänge informiert und darüber hinaus Mittel und Wege zur Behandlung bestehender datenschutzrechtlicher Probleme vorschlägt. 33 Vergleiche zum erforderlichen Fachwissen im Falle eines Konzerndatenschutzbeauftragten auch die weitergehenden Ausführungen unter Punkt III. 2. „Überwachung der Einhaltung der DSGVO” 34 Vergleiche Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Die Daten-schutzbeauftragten in Behörde und Betrieb Info 4, Seite 11/12 35 Working Paper 243, Seite 12 36 Vergleiche Artikel 39 DSGVO und § 7 BDSG-NEU 37 Vergleiche Artikel 39 Abs. 1 lit. a DSGVO und § 7 Abs. 1 Satz 1 Nr. 1 BDSG-NEU Der Datenschutzbeauftragte nach neuem Recht Seite 15 von 26 Die Pflicht besteht gegenüber der obersten Unternehmens- oder Behördenebene, aber auch gegenüber Beschäftigten, die Verarbeitungen durchführen. Es besteht eine enge Verbindung zwischen der Unterrichtungs- und Beratungspflicht und dem Recht des Datenschutzbeauftragten, unmittelbar der höchsten Manage-ment- oder Leitungsebene zu berichten.38 2. Überwachung der Einhaltung der DSGVO/ des BDSG-NEU39 Der Datenschutzbeauftragte kontrolliert die Einhaltung des einschlägigen nationalen und europäischen Datenschutzrechts durch Behörden oder Unternehmen. Behördliche Datenschutzbeauftragte der Länder müssen insbesondere auch die Bestimmungen der Landesdatenschutzgesetze beachten. Sollte ein betrieblicher Datenschutzbeauftragter/Konzerndatenschutzbeauftragter für mehrere Niederlassungen innerhalb Europas tätig sein, ist zwingend erforderlich, dass ihm die wesentlichen nationalen Sonderregelungen der Mitgliedsstaaten, in de-nen er als Datenschutzbeauftragter benannt ist, bekannt sind. Darüber hinaus kön-nen, je nach Betätigung des Unternehmens, Kenntnisse bereichsspezifischen Daten-schutzrechts erforderlich sein.40 Neben der Kontrolle der Wahrung des Datenschutzrechts obliegt dem Datenschutz-beauftragten auch die Überwachung der Einhaltung der Strategien bzw. Regeln und Richtlinien, die sich Unternehmen oder Behörden selbst auferlegen. Hierzu können z.B. Betriebsvereinbarungen, Handlungsanweisungen, Dienstvereinbarungen, In-dustriestandards, Code of Conducts usw. gehören. Schließlich erstreckt sich die Kontrollbefugnis des Datenschutzbeauftragten auch auf die gewählte interne Zuständigkeitsverteilung. Der Datenschutzbeauftragte kann da-her auch Einfluss auf die organisatorische Umsetzung des Datenschutzrechts neh-men. 3. Beratung und Überwachung im Zusammenhang mit der Datenschutz-Folgenabschätzung41 Bei der Überwachung und Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung handelt es sich um einen Sonderfall der allgemeinen Beratungs- und Überwachungspflicht des Datenschutzbeauftragten. Während sich die Überwachungsverpflichtung des Datenschutzbeauftragten im Rahmen der Durchführung der Datenschutz-Folgenabschätzung eindeutig dem ge-setzlichen Wortlaut entnehmen lässt, besteht nach dem Wortlaut der DSGVO eine 38 Vergleiche Artikel 38 Abs. 3 Satz 3 DSGVO und § 6 Abs. 3 Satz 2 BDSG-NEU 39 Vergleiche Artikel 39 Abs. 1 lit. b DSGVO und § 7 Abs. 1 Satz 1 Nr. 2 BDSG-NEU 40 Vergleiche hierzu auch die Ausführungen unter Punkt II. 1. „Berufliche Qualifikation und Fachwis-sen” 41 Vergleiche Artikel 39 Abs. 1 lit. c DSGVO und § 7 Abs. 1 Satz 1 Nr. 3 BDSG-NEU Der Datenschutzbeauftragte nach neuem Recht Seite 16 von 26 Beratungspflicht des Datenschutzbeauftragten nur „auf Anfrage” des Verantwortli-chen.42 Die Vorschrift kann daher so interpretiert werden, dass es dem Verantwortli-chen freistünde, den Rat des Datenschutzbeauftragten in Anspruch zu nehmen oder nicht. Die Formulierung des Artikel 35 DSGVO, wonach der Verantwortliche bei der Durchführung der Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauf-tragten einzuholen hat, steht hierzu jedoch im Widerspruch. Letztlich ist unabhängig von der rechtlichen Beurteilung die Hinzuziehung des Da-tenschutzbeauftragten aus rein praktischen Gründen dringend zu empfehlen, da die-ser aufgrund seiner Erfahrung und seines Fachwissens wichtige Denkanstöße geben kann. Vor diesem Hintergrund empfiehlt es sich auch, den Datenschutzbeauftragten bereits bei der Frage, ob für eine Datenverarbeitung eine Datenschutz-Folgenabschätzung zu erfolgen hat, einzubeziehen. 4. Sensibilisierung und Schulung43 Sei es das Versenden von E-Mails mit offenem Empfängerkreis oder aber das Her-unterladen von Schadsoftware durch versehentliches Öffnen von Spam-Nachrichten – Studien zeigen immer wieder, dass Datenschutzverstöße häufig auf ein fehlendes Bewusstsein der handelnden Mitarbeiter zurückzuführen sind.44 Der Aufgabe des Verantwortlichen oder Auftragsverarbeiters, Mitarbeiter zu sensibili-sieren und zu schulen, kommt besondere Bedeutung zu: Für eine wirkungsvolle Da-tenschutzorganisation ist es daher unerlässlich, dass die mit der Verarbeitung perso-nenbezogener Daten beschäftigten Personen ihrer Arbeitsplatzbeschreibung ent-sprechend geschult, regelmäßig an die Einhaltung datenschutzrechtlicher Vorschrif-ten erinnert und über akute Gefahren informiert werden. Welche Anforderungen an eine Schulungsmaßnahme sowie an weitergehende Sen-sibilisierungen zu stellen sind, richtet sich nach den Umständen des Einzelfalls. Für die Organisation und effektive Ausgestaltung einer Schulungsmaßnahme können z.B. die folgenden Erwägungen eine Rolle spielen: ? Kerntätigkeit der Mitarbeiter erfordert die Verarbeitung personenbezogener Daten (z.B. Mitarbeiter der IT, Personalabteilung, des Marketings oder des Vertriebs)/Umfang der Verarbeitung personenbezogener Daten, ? Verarbeitung sensitiver Daten, ? Zugang- und Zugriffsmöglichkeiten zu personenbezogenen Daten, ? Anwendung bereichsspezifischen Datenschutzrechts, ? Dokumentation/Teilnehmernachweis. 42 Das BDSG-NEU verzichtet auf diesen Passus 43 Vergleiche Artikel 39 Abs. 1 lit. b DSGVO und § 7 Abs. 1 Satz 1 Nr. 2 BDSG-NEU 44 Vergleiche Bundesamt für Sicherheit in der Informationstechnik, Die Lage der IT-Sicherheit in Deutschland 2015, Seite 14 Der Datenschutzbeauftragte nach neuem Recht Seite 17 von 26 Nach dem Wortlaut der DSGVO und dem BDSG-NEU obliegt dem Datenschutzbe-auftragten nur die Überwachung, dass ausreichend Sensibilisierungen und Schulun-gen stattgefunden haben. Es empfiehlt sich aber, dem Datenschutzbeauftragten die Durchführung von Sensibilisierungen und Schulungsmaßnahmen als Aufgabe zu übertragen. 5. Zusammenarbeit mit der Aufsichtsbehörde45 Der Datenschutzbeauftragte ist ausdrücklich zur Zusammenarbeit mit der Aufsichts-behörde verpflichtet. Er wird somit zur zentralen Anlaufstelle für Betroffene, Verant-wortliche, Auftragsverarbeiter und Aufsichtsbehörden. Die Kooperationspflicht ist nicht gleichbedeutend mit einer Verpflichtung des Daten-schutzbeauftragten zur sofortigen Meldung von Datenschutzverstößen gegenüber der Aufsichtsbehörde. Die gegenüber Aufsichtsbehörden bestehenden Pflichten zur Meldung von Datenschutzverstößen sind abschließend geregelt.46 Der Datenschutzbeauftragte ist in erster Linie interne Kontrollinstanz und sollte auf-grund der gegenüber dem Unternehmen oder der Behörde bestehenden Treuepflicht zunächst intern versuchen, Maßnahmen zur Beseitigung von Datenschutzverstößen zu ergreifen. Das besondere Vertrauensverhältnis erfordert es, dass datenschutz-rechtliche Fragen und Probleme zwischen den Parteien offen kommuniziert werden und beiderseits an rechtskonformen und konstruktiven Lösungen gearbeitet wird. Nur so kann der Datenschutzbeauftragte den übernommenen Aufgaben gerecht werden und zum „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Da-ten” effektiv beitragen. Sofern sich der Datenschutzbeauftragte, zum Beispiel zum Zwecke der Beratung im Zusammenhang mit der Anwendung der DSGVO, an die Aufsichtsbehörde wendet, erfolgt die Tätigkeit jeder Aufsichtsbehörde für den Datenschutzbeauftragten unent-geltlich.47 6. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde48 Bei der Tätigkeit als Anlaufstelle für die Aufsichtsbehörden handelt es sich um einen Unterfall der Kooperationspflicht. Der Datenschutzbeauftragte ist hiernach Anlaufstel-le für alle im Zusammenhang mit der Verarbeitung stehenden Fragen, einschließlich vorheriger Konsultationen im Rahmen der Datenschutz-Folgenabschätzung. Die Aufsichtsbehörden haben insbesondere die Möglichkeit, sich direkt an den Da-tenschutzbeauftragten zu wenden, ohne vorab etwa den Geschäftsführer oder Be-hördenleiter des Verantwortlichen oder Auftragsverarbeiters kontaktieren zu müssen. 45 Vergleiche Artikel 39 Abs. 1 lit. d DSGVO und § 7 Abs. 1 Satz 1 Nr. 4 BDSG-NEU 46 Vergleiche vor allem Artikel 33 DSGVO 47 Artikel 57 Abs. 3 DSGVO 48 Vergleiche Artikel 39 Abs. 1 lit. e DSGVO und § 7 Abs. 1 Satz 1 Nr. 5 BDSG-NEU Der Datenschutzbeauftragte nach neuem Recht Seite 18 von 26 Darüber hinaus besteht auf Anfrage der Aufsichtsbehörden eine Beratungspflicht des Datenschutzbeauftragten zu allen sonstigen Fragen. 7. Risikoorientierte Aufgabenerfüllung49 Die DSGVO bzw. das BDSG-NEU beschreibt nicht nur einen Aufgabenkatalog, son-dern gibt dem Datenschutzbeauftragten auch gleich eine Maxime zur Aufgabenerfül-lung an die Hand: Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufga-ben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rech-nung, wobei er die Art und den Umfang, die Umstände und Zwecke der Verarbeitung berücksichtigt. Der Datenschutzbeauftragte trifft somit Abwägungsentscheidungen, die in einem an-gemessenen Verhältnis zu den Risiken stehen müssen, die durch die Verarbeitungs-vorgänge entstehen. Dabei hat er einen Ermessenspielraum. Eine Pflichtverletzung ist dann gegeben, wenn der Datenschutzbeauftragte diesen überschreitet oder aber keine ausreichende Abwägungsentscheidung trifft. Empfehlenswert wäre daher z.B. die Erstellung eines an den Umständen des Unternehmens oder der Behörde orien-tierten Aufgabenkatalogs, der an Hand einer Gegenüberstellung der Verarbeitungs-aktivitäten und den zu erwartenden Risiken Aufgaben-Priorisierungen vornimmt. Zu Nachweiszwecken ist grundsätzlich anzuraten, die eingestellten Überlegungen einer Abwägungsentscheidung entsprechend der aufgestellten Maxime zu dokumen-tieren. 8. Erweiterung des Aufgabenkatalogs durch Vereinbarung Insgesamt steht es Behörden und Unternehmen frei, die Rolle des Datenschutzbe-auftragten strategischer und proaktiver auszugestalten, als dies in der DSGVO und dem BDSG-NEU vorgesehen ist. Die Vorschriften enthalten keine abschließende Aufgabenzuweisung. Weitere Pflichten, wie beispielsweise die Pflicht zur Führung des Verzeichnisses von Verarbeitungstätigkeiten, die generelle Beantwortung von Auskunfts- und Löschgesuchen durch den Datenschutzbeauftragten oder die Durch-führung von Schulungsmaßnahmen können daher zusätzlich vereinbart werden. Wie bereits an andere Stelle erwähnt, empfiehlt es sich, die über den gesetzlich vor-gesehenen Aufgabenkatalog weitergehend vereinbarten Aufgaben schriftlich festzu-halten. IV. Stellung des Datenschutzbeauftragten50 Die unabhängige und organisatorisch herausgehobene Stellung des Datenschutzbe-auftragten ist für eine wirkungsvolle Tätigkeit von ausschlaggebender Bedeutung,51 49 Vergleiche Artikel 39 Abs. 2 DSGVO und § 7 Abs. 3 BDSG-NEU 50 Vergleiche Artikel 38 DSGVO, §§ 6 und 7 Abs. 2 BDSG-NEU 51 So schon die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Die Daten-schutzbeauftragten in Behörde und Betrieb Info 4, Seite 18 Der Datenschutzbeauftragte nach neuem Recht Seite 19 von 26 da er andernfalls den zuvor beschriebenen Aufgaben und Pflichten nur schwerlich gerecht werden kann. Der europäische Gesetzgeber hat daher Regelungen geschaffen, die sich mit der organisatorischen Stellung des Datenschutzbeauftragten beschäftigen und ihm be-stimmte Privilegien einräumen. Das BDSG-NEU übernimmt, sofern die DSGVO nicht anwendbar ist, für behördliche Datenschutzbeauftragte gleichlautende Regelungen und ergänzt bereits in der DSGVO angelegte Privilegien für Datenschutzbeauftragte. Insgesamt können folgende Themenkreise zur Stellung des Datenschutzbeauftrag-ten in Behörden und Unternehmen zusammengefasst werden: ? ordnungsgemäße und frühzeitige Einbindung, ? Bereitstellung erforderlicher Ressourcen, ? Weisungsfreiheit und Unabhängigkeit, ? keine Benachteiligung: Abberufungs- und Kündigungsschutz, ? unmittelbarer Berichtsweg zur höchsten Führungsebene, ? Anrufungsrecht der Betroffenen, ? kein Interessenkonflikt, ? Zusammenarbeit mit der Aufsichtsbehörde. 1. Ordnungsgemäße und frühzeitige Einbindung52 Die neu geschaffenen Regelungen verlangen, dass Verantwortliche oder Auf-tragsverarbeiter den Datenschutzbeauftragten ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einbinden. Die Vorschrift ist für die Erfüllung der Aufgaben des Datenschutzbeauftragten zwin-gend erforderlich, da der Datenschutzbeauftragte andernfalls seinen Beratungs- und Überwachungsaufgaben nicht gerecht werden kann. Erfahrungen zeigen, dass Datenschutzbeauftragte häufig zu spät in neue, daten-schutzrechtlich relevante Projekte wie z.B. Einführung eines Personalinformations-systems oder Einsatz neuer Analyse Software im Bereich des Digitalmarketings, ein-gebunden werden. Dies führt unter Umständen zu erheblichen praktischen Problemen für Unternehmen und Behörden z.B. ? kann sich die Einführung einer neuen IT verzögern, da datenschutzrechtlich notwendige Verträge53 nachträglich geschlossen werden müssen, ? können Projektkosten steigen, da datenschutzrechtlich notwendiger Pro-grammierungsaufwand54 bei der Planung nicht berücksichtigt wurde, 52 Vergleiche Artikel 38 Abs. 1 DSGVO und § 6 Abs. 1 BDSG-NEU 53 Zum Beispiel Abschluss von Auftragsdatenverarbeitungsverträgen oder ähnliches 54 Zum Beispiel Löschungen und Zugriffsbeschränkungen Der Datenschutzbeauftragte nach neuem Recht Seite 20 von 26 ? kann beschaffte Software nicht genutzt werden, weil dies gegen Bestimmun-gen des Datenschutzrechts verstößt. Die Sicherstellung der frühzeitigen Einbindung des Datenschutzbeauftragten erfor-dert einen in der Praxis leicht zu realisierenden Mechanismus, der von der Größe der Organisation, der Komplexität der Strukturen sowie weiteren Faktoren55 abhängig sein kann. Mögliche Lösungsansätze zur Sicherstellung der frühzeitigen Einbindung können z.B. sein: ? generelle Einbindung des Datenschutzbeauftragten, bevor Budgetfreigaben einer bestimmten Größenordnung erteilt werden, ? regelmäßige Teilnahme an Führungskreistreffen56, ? regelmäßige Abstimmung mit Bereichen, die intensiv personenbezogene Da-ten verarbeiten57, ? regelmäßige Treffen mit IT und Informationssicherheitsbeauftragten, ? Teilnahme an Betriebsratssitzungen/Personalvertretungssitzungen, sofern die Einführung neuer IT vorgestellt wird. 2. Bereitstellung erforderlicher Ressourcen58 Verantwortlicher oder Auftragsverarbeiter sind verpflichtet, den Datenschutzbeauf-tragten bei der Erfüllung seiner Aufgaben zu unterstützen. Hierzu sollen ihm insbe-sondere: ? erforderliche Ressourcen zur Verfügung gestellt, ? Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen gewährt und ? erforderliche Ressourcen zur Erhaltung seines Fachwissens zur Verfügung gestellt werden. Im Zusammenhang mit der Pflicht des Verantwortlichen oder Auftragsverarbeiters zur Unterstützung und Bereitstellung der erforderlichen Ressourcen sind z.B. die folgen-den Themenkomplexe zu beachten59: ? aktive Unterstützung des Datenschutzbeauftragten durch die Geschäftsfüh-rung (z.B. Vorstandsebene), ? Einräumung eines ausreichenden Zeitkontingents, damit der Datenschutzbe-auftragte seine Aufgaben angemessen erfüllen kann, 55 Zum Beispiel Matrixstrukturen in einer Unternehmensgruppe 56 Abhängig von Unternehmensstruktur z.B.: Vorstand, Geschäftsführer, höchste Managementebene 57 Zum Beispiel Personal, IT, Marketing, Vertrieb 58 Vergleiche Artikel 38 Abs. 2 DSGVO und § 6 Abs. 2 BDSG-NEU 59 Vergleiche hierzu auch die Ausführungen im Working Paper 243, Seite 14 Der Datenschutzbeauftragte nach neuem Recht Seite 21 von 26 ? angemessene Unterstützung durch Bereitstellung von finanziellen Mitteln, Inf-rastrukturen und ggf. Personal (abhängig von der Größe und der Struktur des Unternehmens kann es erforderlich sein, mehrere Personen mit Datenschutz-aufgaben zu betrauen)60, ? zu personenbezogenen Daten und Verarbeitungsvorgängen, sofern und so-weit dies zur Erfüllung seiner Aufgaben tatsächlich erforderlich ist (z.B. im Zu-sammenhang mit Kontrollmaßnahmen), ? neben der ohnehin bestehenden Veröffentlichungs- und Mitteilungspflicht: Of-fizielle Vorstellung des Datenschutzbeauftragten gegenüber der Belegschaft, ? Zugang zu anderen Abteilungen wie z.B. Personal, Recht, IT und Sicherheit, um ggf. hierüber Unterstützung oder Anregungen zu erhalten, ? regelmäßige Weiterbildungsmaßnahmen/Bereitstellung erforderlicher Fachlite-ratur im zur Aufgabenerfüllung notwendigen Umfang, ? Bereitstellung von Informationen über das Unternehmen, soweit ein entspre-chender datenschutzrechtlicher Zusammenhang besteht z.B. Organigramm, Geschäftsverteilungsplan, Planungsunterlagen, Konzepte oder Richtlinien. Grundsätzlich gilt: Je komplexer, vielfältiger und sensitiver die Datenverarbeitungs-vorgänge, desto mehr Ressourcen müssen vom Verantwortlichen oder Auftragsver-arbeiter zur Verfügung gestellt werden. 3. Weisungsfreiheit/Unabhängigkeit61 Die Weisungsfreiheit des Datenschutzbeauftragten ist Kernstück seiner Unabhängig-keit.62 Sie ist nach der DSGVO und dem BDSG-NEU beschränkt auf solche Hand-lungen, die sich auf die Ausübung seiner Aufgaben als Datenschutzbeauftragten be-ziehen. Unternehmen und Behörden dürfen dem Datenschutzbeauftragten gegenüber somit keine Weisungen in seiner Funktion als Datenschutzbeauftragter erteilen. Deshalb sind z.B. Vorgaben zur Erreichung eines bestimmten Ziels, zur Art und Weise der Bearbeitung von Beschwerden oder zum Austausch mit Aufsichtsbehörden, unzuläs-sig. Andererseits gibt die Weisungsfreiheit dem Datenschutzbeauftragten aber auch kei-ne über die Erfüllung seiner Aufgaben hinausgehenden Befugnisse. 60 Vergleiche hierzu auch Punkt I. 8. „Datenschutzteam oder Benennung einer juristischen Person” und IV. 10. „Ausweitung der Privilegien auf Vertreter oder Datenschutzteam” 61 Vergleiche Artikel 38 Abs. 3 Satz 1 und Erwägungsgrund 97 der DSGVO und § 6 Abs. 3 BDSG-NEU 62 Vergleiche z.B., Simitis, Kommentar zum BDSG, 8. Auflage, 2014, § 4 f BDSG, Rn. 121 Der Datenschutzbeauftragte nach neuem Recht Seite 22 von 26 4. Keine Benachteiligung: Abberufung und Kündigung63 Neben der Weisungsfreiheit wird die Unabhängigkeit des Datenschutzbeauftragten auch dadurch gewährleistet, dass er nach den Regelungen der DSGVO aufgrund der Ausübung seiner Tätigkeit nicht abberufen oder benachteiligt werden darf. Das Verbot der Abberufung oder Benachteiligung ist nach der DSGVO jedoch be-grenzt auf solche Fälle, in denen sie als Reaktion auf die Ausübung der Tätigkeiten als Datenschutzbeauftragter erfolgen sollen. Einen den aktuellen Vorschriften des BDSG entsprechenden Sonderabberufungs- oder Kündigungsschutz enthält die DSGVO aber nicht. Der deutsche Gesetzgeber hat entschieden, die Unabhängigkeit der Datenschutzbe-auftragten zu verstärken. Das BDSG-NEU enthält daher die Regelung, dass Abberu-fungen nur in entsprechender Anwendung des § 626 BGB möglich und Kündigungen nur aus wichtigem Grund zulässig sind. Darüber hinaus ist nach dem BDSG-NEU die Kündigung des Arbeitsverhältnisses nach dem Ende der Tätigkeit als Datenschutz-beauftragter innerhalb eines Jahres nach der Abberufung unzulässig, es sei denn, die kündigende Stelle ist zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt. Die bereits aus dem aktuellen BDSG bekannten Privilegierungen bleiben somit be-stehen. Für betriebliche Datenschutzbeauftragte finden die Privilegierungen jedoch mit der Maßgabe Anwendung, dass eine Verpflichtung zur Benennung eines Datenschutz-beauftragten besteht.64 Im Fall der freiwilligen Benennung besteht somit kein beson-derer Abberufungs- oder Kündigungsschutz, sofern dieser nicht vertraglich zwischen den Parteien vereinbart wird. Bei der Benennung eines externen Datenschutzbeauftragten sollte durch vertragliche Vereinbarungen sichergestellt werden, dass dem vom Gesetzgeber gewollten Be-nachteiligungsschutz (z.B. durch Vereinbarung von festen Vertragslaufzeiten mit ge-wisser Dauer) ausreichend Rechnung getragen wird.65 5. Unmittelbarer Berichtsweg zur Geschäftsführung66 Die DSGVO und das BDSG-NEU eröffnen für Datenschutzbeauftragte einen unmit-telbaren Berichtsweg zur Geschäftsführung bzw. zur höchsten Leitungsebene der öffentlichen Stelle. Das direkte Berichtsrecht zur höchsten Leitungsebene steht im Zusammenhang mit der Beratungs- und Überwachungspflicht des Datenschutzbeauf- 63 Vergleiche Artikel 38 Abs. 3 Satz 2 DSGVO und § 6 Abs. 4 BDSG-NEU 64 § 38 Abs. 2 BDSG-NEU 65 Hierzu kann man sich an dem Beschluss des Düsseldorfer Kreises vom 24./25. November 2010 Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG) orientieren 66 Vergleiche Artikel 38 Abs. 3 Satz 3 DSGVO und § 6 Abs. 3 Satz 2 BDSG-NEU Der Datenschutzbeauftragte nach neuem Recht Seite 23 von 26 tragten. Der Gesetzgeber sichert hierdurch ab, dass der Datenschutzbeauftragte tat-sächlich Gehör findet. Um für den unmittelbaren Berichtsweg ein Bewusstsein innerhalb von Unternehmen und Behörden zu schaffen und um dem Grundsatz der Transparenz zu entsprechen, empfiehlt es sich, die Stellung des Datenschutzbeauftragten innerhalb des Unter-nehmens und dessen direktes Berichtsrecht transparent im Organigramm des Unter-nehmens oder der Behörde darzustellen. 6. Anrufungsrecht des Betroffenen67 Der Datenschutzbeauftragte ist Ansprechpartner des Betroffenen für sämtliche Fra-gen rund um das Thema Datenschutz. DSGVO und BDSG-NEU gewähren Betroffe-nen das Recht, sich direkt an den Datenschutzbeauftragten zu wenden und ihn zu Rate zu ziehen, sofern es um die Verarbeitung ihrer personenbezogenen Daten und die Wahrnehmung ihrer Rechte geht. 7. Geheimhaltung, Vertraulichkeit und Zeugnisverweigerungsrecht68 Gemäß der DSGVO ist der Datenschutzbeauftragte nach dem Recht der Union oder der Mitgliedsstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheim-haltung und Vertraulichkeit gebunden. Das BDSG-NEU regelt daher für Datenschutzbeauftragte ergänzend die Pflicht zur Verschwiegenheit über die Identität der betroffenen Person sowie über die Umstän-de, die Rückschlüsse auf die betroffene Person zulassen. Die Verschwiegenheits-pflicht entfällt, soweit der Betroffene den Datenschutzbeauftragten hiervon befreit. Darüber hinaus erstreckt das BDSG-NEU die Pflicht zur Wahrung der Geheimhaltung und Vertraulichkeit auf das Zeugnisverweigerungsrecht. Dem Datenschutzbeauftrag-ten sowie den ihm unterstellten Beschäftigten steht somit ein Zeugnisverweigerungs-recht zu, wenn sie im Rahmen ihrer Tätigkeit Kenntnis von Daten erhalten, für die bei der betroffenen Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht be-steht. Über die Ausübung des Zeugnisverweigerungsrechts entscheidet dabei grund-sätzlich die Person, der das Zeugnisverweigerungsrecht zusteht. Eine Ausnahme besteht jedoch für den Fall, dass die Entscheidung des Rechteinhabers nicht in ab-sehbarer Zeit herbeigeführt werden kann. Soweit das Zeugnisverweigerungsrecht des Datenschutzbeauftragten reicht, unterliegen Akten und andere Schriftstücke auch dem Beschlagnahmeverbot. Das BDSG-NEU knüpft mit der neuen Vorschrift an die bereits aktuell bekannten Re-gelungen des BDSG an.69 67 Vergleiche Artikel 38 Abs. 4 DSGVO und § 6 Abs. 5 Satz 1 BDSG-NEU 68 Vergleiche Artikel 38 Abs. 5 DSGVO und § 6 Abs. 5 Satz 2 und 6 BDSG-NEU 69 § 4 f Abs. 4 und 4 a BDSG Der Datenschutzbeauftragte nach neuem Recht Seite 24 von 26 Es wird darauf hingewiesen, dass es dem Datenschutzbeauftragten auch bei Beste-hen einer Verpflichtung zur Verschwiegenheit und Geheimhaltung nicht verboten ist, die Aufsichtsbehörden zu kontaktieren und deren Rat einzuholen.70 8. Kein Interessenkonflikt71 Neben den Aufgaben, die mit der Benennung einhergehen, kann der Datenschutz-beauftragte nach der DSGVO und dem BDSG-NEU auch andere Aufgaben und Pflichten wahrnehmen. Verantwortlicher und Auftragsverarbeiter haben aber sicherzustellen, dass zusätzlich wahrgenommene Tätigkeiten nicht zu einem Interessenkonflikt führen. Der aktuell im BDSG verwendete Begriff der Zuverlässigkeit verlangt, dass als objek-tiver Faktor der Zuverlässigkeit insbesondere mögliche Interessenskollisionen zu be-denken sind.72 Die bereits entwickelten Grundsätze zur Interessenskollision bleiben somit auch in Zukunft anwendbar.73 Hiernach bestehen aus Sicht der Aufsichtsbehörden in der Regel Interessenkonflikte, wenn z.B. die Benennung des Geschäftsführers oder eines nahen Verwandten, des Personalleiters, des Marketing- oder Vertriebsleiters, des IT-Leiters oder eines Be-schäftigten der IT- oder Personal-Abteilung, wenn dieser in der Lage ist, Datenverar-beitungsprozesse zu bestimmen oder wesentlich zu beeinflussen, zum Datenschutz-beauftragten erfolgen soll. Daneben wird in der Regel auch bei anderen unterneh-mensweiten Tätigkeiten wie etwa IT-Sicherheitsbeauftragter oder Compliance-Beauftragter ein Interessenskonflikt anzunehmen sein. 9. Zusammenarbeit mit der Aufsichtsbehörde74 Auch durch die ausdrückliche Befugnis zur direkten Kommunikation mit den Auf-sichtsbehörden wird die Position des Datenschutzbeauftragten innerhalb des Unter-nehmens zusätzlich gestärkt. 10. Ausweitung der Privilegien auf Vertreter oder Datenschutzteam Wird neben dem Datenschutzbeauftragten auch ein stellvertretender Datenschutz-beauftragter benannt oder nehmen mehrere Personen die Aufgaben des Daten-schutzbeauftragten gemeinsam wahr, stellt sich die Frage, ob und in welchem Um-fang die Privilegien des benannten Datenschutzbeauftragten auch auf diese Perso-nen anzuwenden sind. Die DSGVO und das BDSG-NEU treffen hierfür keine Regelungen. 70 So auch Working Paper 243, Seite 18 71 Vergleiche Artikel 38 Abs. 6 Satz 2 DSGVO und § 7 Abs. 2 BDSG-NEU 72 Vergleiche z.B. Simitis, Kommentar zum BDSG, 8. Auflage, 2014, § 4 f BDSG, Rn. 94 73 Vergleiche z.B. Simitis, Kommentar zum BDSG, 8. Auflage, 2014, § 4 f BDSG, Rn. 94 ff. 74 Vergleiche Artikel 39 Abs. 1 lit. d und e und § 7 Abs. 1 Satz 1 Nr. 4 und 5 BDSG-NEU Der Datenschutzbeauftragte nach neuem Recht Seite 25 von 26 Da weder die DSGVO noch das BDSG die Pflicht zur Benennung eines stellvertre-tenden Datenschutzbeauftragten kennt, erfolgt die Benennung eines Stellvertreters auf freiwilliger Basis und kann daher einer freiwilligen Benennung gleichgestellt wer-den.75 Dies hat zur Folge, dass zwar die Regelungen zum Datenschutzbeauftragten der DSGVO, aber nicht der für betriebliche Datenschutzbeauftragte nach dem BDSG-NEU bestehende Sonderabberufungs- und Kündigungsschutz anwendbar ist.76 Jedenfalls dann, wenn grundsätzlich eine Pflicht zur Benennung besteht, der Vertre-tungsfall eintritt und der stellvertretende Datenschutzbeauftragte auch tatsächlich die Aufgaben des Datenschutzbeauftragten wahrnimmt, ist davon auszugehen, dass dem stellvertretenden Datenschutzbeauftragten auch die durch das BDSG-NEU ge-währten Rechte zustehen.77 Wird ein Team mit der Erfüllung der Aufgaben des Datenschutzbeauftragten betraut, so sollte nach Auffassung der WP 29 jedes Mitglied die Anforderungen des vierten Abschnitts der DSGVO erfüllen und durch die Regelungen zur Stellung des Daten-schutzbeauftragten geschützt sein. In jedem Fall empfiehlt es sich, die Aufgabenver-teilung klar zu dokumentieren und in diesem Rahmen auch zu klären, ob und in wel-chem Umfang die Rechte des Datenschutzbeauftragten auf ein Mitglied des Daten-schutzteams Anwendung finden. V. Sanktionen und Haftung 1. Erhebliche Sanktionsverschärfung78 Verstöße gegen die Bestimmungen zum Datenschutzbeauftragten können zukünftig mit Geldbußen von bis zu 10.000.000 €