Interner Datenschutzbeauftragter

Kurzerklärung

Der interne Datenschutzbeauftragter (DSB) ist innerhalb eines Unternehmens tätig und überwacht die Erhaltung von Datenschutzrecht. Zudem berät er das Unternehmen und dient zur Vermittlung an Aufsichtsbehörden. Die Benennung eines DSB, dessen Aufgaben und besondere Stellung innerhalb eines Betriebes sind in §§ 5 – 7 BDSG geregelt. 

Voraussetzungen eines Datenschutzbeauftragten

Als DSB kommen nur Personen in Betracht, welche aufgrund ihrer beruflichen Qualifikation und ihres Fachwissens über besondere Kenntnisse aus Datenschutzrecht und Datenschutzpraxis verfügen. 

Wenn die Gefahr eines Interessenkonfliktes besteht, darf derjenige das Amt nicht wahrnehmen. Ein Interessenkonflikt ist insbesondere anzunehmen, wenn der Betroffene Führungspositionen in demselben unternehmen wahrnimmt. Dazu gehören etwa Personalchef, Prokuristen, Administratoren oder der IT-Leiter. Aber auch außerhalb des Unternehmens stehende Berufe wie Anwälte dürfen das Amt des DSB nicht wahrnehmen.

Ähnlich wie eine Sicherheitskraft nach § 34a GewO, muss auch der DSB zuverlässig und geeignet sein. Die persönlichen Eigenschaften des Beauftragten müssen so beschaffen sein, dass von einer ordnungsgemäßen Ausführung des Amtes ausgegangen werden kann. Dies setzt eine gründliche und gewissenhafte Arbeitsweise, Loyalität einerseits und Neutralität andererseits voraus.

Aufgaben

Die Aufgaben des internen DSB sind in § 7 BDSG und der Verordnung Verordnung (EU) 2016/679 aufgelistet. Danach ist der DSB für folgende Aufgaben zuständig: 

  • Unterrichtung und Beratung des Unternehmens und seiner Beschäftigten
  • Überwachung des Datenschutzrechts (dazu gehören zum Beispiel europäische Vorschriften aus DSGVO, Verordnungen und Richtlinien und nationales Recht wie das BDSG)
  • Entwerfen von Strategien, um ein angemessenen Schutzniveau bei der Verarbeitung personenbezogener Daten zu gewährleisten
  • Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung 
  • Zusammenarbeit mit staatlichen Stellen

Rechtliche Stellung

Der DSB übernimmt für die oben genannten Aufgaben die Verantwortung. Es findet eine Übertragung von Pflichten des Unternehmers auf den Datenschutzbeauftragten statt. 

Anders als der externe DSB (s. u.) ist der interne DSB fest in das Unternehmen integriert. Er steht anhand eines Arbeitsvertrages in einer festen und dauerhaften vertraglichen Beziehung mit dem Unternehmen. 

Datenschutz ist nach dem BDSG jedoch nicht bloß ein „Job“, sondern auch ein Amt. Der Datenschutzbeauftragte kontrolliert die Einhaltung geltenden Rechts. Diese Tätigkeit bringt es mit sich, dass der Beauftragte für Datenschutz gegen den Willen des Arbeitgebers bestimmte Ermittlungsmaßnahmen durchführen muss. Ähnlich wie ein Mitglied des Betriebsrates ist er Interessenkonflikten ausgesetzt. Damit diese seine Tätigkeit nicht behindern, ist der DSB besonders schutzwürdig. Als Amtsträger nimmt er die Stellung eines neutralen Dritten ein. Er fungiert als Vermitltungsperson beziehungsweise Scharnier, um zwischen behördlichen Einrichtungen und dem privatwirtschaftlichen Unternehmen eine „Brücke zu bauen“. 

Benennung

Neben dem Arbeitsverhältnis, das auch als Grundverhältnis rechtlich bezeichnet wird, entsteht ein zweites rechtliches Band durch die Ernennung. Der interne Datenschutzbeauftragte steht auch in einem sogenannten organschaftlichen Verhältnis zum Unternehmen. Wie zum Beispiel auch der Geschäftsführer einer GmbH muss der DSB zu seinem Amt als Beauftragter für Datenschutz ernannt werden. Das Amtsverhältnis endet grundsätzlich mit dem Widerruf. 

Kündigungsschutz

Um Interessenkonflikten entgehen zu können, spielt der besondere Kündigungsschutz eine wichtige Rolle. Gemäß § 6 Abs. 4 BDSG ist die Abberufung nur in entsprechender Anwendung des § 626 des Bürgerlichen Gesetzbuchs zulässig. Das heißt einem internen Datenschutzbeauftragten darf grundsätzlich nur bei schwerwiegenden Pflichtverletzungen  gekündigt werden. Würde der DSB ständig fürchten müssen, aufgrund seiner Tätigkeit seine Anstellung zu verlieren, könnte er den Pflichten nach § 7 Abs. 1 BDSG nicht angemessen nachkommen.

Unterschiede zum externen Datenschutzbeauftragten

Neben dem internen DSB existiert auch der externe DSB. Anders als der interne Beauftragte, ist der externe DSB nicht unmittelbar eingebunden in das Unternehmen. Es fehlt an der Arbeitnehmer-Arbeitgeber-Beziehung. Stattdessen regelt ein Dienst- oder Geschäftsbesorgungsvertrag die rechtlichen Pflichten des Amtsträgers. Die Aufgaben des internen und externen DSB stimmen jedoch im Wesentlichen überein. 

Allerdings verfügt der externe DSB nicht über ausgeprägten Kündigungs- beziehungsweise Abberufungsschutz. Dies liegt daran, dass seine Berufung nur in freiwilligen Fällen in Betracht kommt. 

Pflicht zur Bestellung

Dagegen ist die Bestellung eines internen Datenschutzbeauftragten unter bestimmten Voraussetzungen gesetzlich angeordnet. In § 38 Abs. 1 BDSG ist geregelt, dass unter folgenden Umständen die Bestellung eines internen DSB verpflichtend ist: 

  • mindestens 20 Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. 
  • der Unternehmer unterliegt der Pflicht zur Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 
  • geschäftsmäßige Verarbeitung personenbezogener Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung

Der Begriff personenbezogener Daten ist sehr weit gefasst. Nach Art. 4 Nr. 1 DSGVO gehören dazu sämtliche Personen, die Rückschlüsse auf einen Menschen zulassen. Also wenn anhand der Daten eine natürliche Person identifiziert werden kann. 

Der Ausdruck der Verarbeitung umfasst nach Art. 4 Nr. 1 DSGVO praktisch jeden Umgang mit den Daten. Dazu gehören das Erheben, Erfassen, Organisieren, Verwenden, Übermitteln oder Vernichten von Informationen.

Ein Mitarbeiter ist nach § 38 Abs. 1 BDSG ständig mit personenbezogenen Daten beschäftigt, wenn dessen Verarbeitung zu seinen Hauptaufgaben gehört. Dies ist zum Beispiel bei einer Sicherheitskraft der Fall, welche Zugangskontrollen anhand persönlicher Daten vornimmt.