X
Digital
Allgemein Arbeitsrecht Datenschutz

Der interne Datenschutzbeauftragte

Mit In-Geltung-Treten der Datenschutz-Grundverordnung (DSGVO) ist nun erstmals für alle EU-Mitgliedstaaten die Benennung eines Datenschutzbeauftragten (DSBA) verpflichtend vorgeschrieben. Im Folgenden werden die Herausforderungen bezüglich der den DSBA zu gewährleistenden Rechte bei der Erfüllung ihrer Aufgaben im Kontext mit ihrer Rolle als Beschäftigte von Verantwortlichen bzw Auftragsverarbeitern (interne DSBA) dargestellt.[lindepaywall tokens=“dsaktuell-media“]

Benennung, Stellung und Aufgaben von Datenschutzbeauftragten

Gemäß Art 37 DSGVO haben Verantwortliche und Auftragsverarbeiter DSBA zu benennen, wenn die Kerntätigkeit des Unternehmens entweder in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder in der Verarbeitung besonderer Kategorien von Daten gemäß Art 9 DSGVO („sensible Daten“) bzw von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art 10 DSGVO liegt. Die Verpflichtung zur Benennung von DSBA ist unabhängig von der Unternehmensgröße oder der Anzahl der Mitarbeiter.

Die Ernennung eines gemeinsamen DSBA einer Unternehmensgruppe ist zulässig, sofern dieser von jeder Niederlassung aus leicht erreichbar ist. Überdies steht es den Mitgliedstaaten frei, weitere Bestimmungen zur Benennung von DSBA sowie zur Verschwiegenheitspflicht in die nationalen Umsetzungsgesetze aufzunehmen. Der österreichische Gesetzgeber hat dazu in § 5 DSG neben einer umfassenden Verschwiegenheitspflicht der DSBA weitere Verpflichtungen zur Bestellung von DSBA für öffentliche Stellen normiert.

Die wesentlichen Aufgaben des DSBA liegen in seiner Funktion als internes Beratungs- und Kontrollorgan. Er soll erste Ansprechperson in datenschutzrechtlichen Fragen sein. DSBA haben insbesondere die Verantwortlichen bzw Auftragsverarbeiter hinsichtlich ihrer Pflichten nach der DSGVO und den nationalen Datenschutzbestimmungen zu unterrichten und zu beraten. Weiters kommen den DSBA Kontrollbefugnisse bezüglich der Überwachung der Einhaltung der DSGVO und der nationalen Datenschutzbestimmungen zu. Sie haben überdies eine Beratungs- und Überwachungsfunktion im Zusammenhang mit der Datenschutz-Folgenabschätzung gemäß Art 35 DSGVO. Als Bindeglied zwischen Verantwortlichen bzw Auftragsverarbeitern und den Aufsichtsbehörden obliegt den DSBA die Zusammenarbeit mit der Aufsichtsbehörde.

Unternehmen steht es frei, DSBA auch dann zu benennen, wenn keine Verpflichtung dazu besteht (Art 37 Abs 4 DSGVO). Eine solche freiwillige Bestellung bietet sich in jenen Konstellationen an, in denen nicht klar ist, ob eine Verpflichtung besteht oder nicht. Zu beachten ist jedenfalls, dass freiwillig benannten DSBA dieselben Aufgaben, Rechte und Pflichten zukommen wie verpflichtend zu benennenden DSBA.

DSBA können entweder Arbeitnehmer der Verantwortlichen bzw Auftragsverarbeiter oder externe DSBA auf Grundlage eines Dienstvertrages sein (Art 37 Abs 6 DSGVO). Unternehmen haben gemäß Art 38 DSGVO sicherzustellen, dass DSBA in alle mit dem Schutz personenbezogener Daten zusammenhängende Fragen eingebunden werden. Sie haben die DSBA überdies bei der Erfüllung ihrer Aufgaben zu unterstützen, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen zur Verfügung stellen.

Vermeidung von Interessenkonflikten und Weisungsfreiheit

Maßgeblich ist, dass DSBA bezüglich der Ausübung ihrer Aufgaben weisungsfrei sind und wegen der Erfüllung ihrer Aufgaben nicht abberufen oder benachteiligt werden dürfen. Die Benennung interner DSBA birgt – aufgrund der Bündelung unterschiedlicher Funktion in einer Person – ein erhöhtes Risiko für Interessenkonflikte bzw Verletzungen der Weisungsfreiheit der DSBA im Vergleich zur Heranziehung externer DSBA. ErwG 97 DSGVO enthält eine Klarstellung gerade jene Konstellation betreffend, in welcher der DSBA gleichzeitig Arbeitnehmer ist: DSBA sollen ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können, gleichgültig, ob es sich um Beschäftigte des Verantwortlichen handelt oder nicht.

In den „Leitlinien in Bezug auf Datenschutzbeauftragte der Artikel-29-Datenschutzgruppe vom 13.12.2016 (zuletzt überarbeitet und angenommen am 5.4.2017) wird dazu konkretisiert, dass DSBA nicht mit Aufgaben und Pflichten betraut werden dürfen, welche zu einem Interessenkonflikt mit ihrer Tätigkeit als DSBA führen. Damit sind insbesondere Positionen gemeint, die es mit sich bringen, den Zweck und die Mittel der Verarbeitung personenbezogener Daten festzulegen. So liegt nach Ansicht der Artikel-29-Datenschutzgruppe in jenen Fällen ein Interessenkonflikt vor, in denen sich die DSBA selbst kontrollieren müssten. Dies wäre etwa der Fall, wenn sie gleichzeitig die Leitung der IT-Abteilung, der Marketingabteilung oder der Personalabteilung innehaben (Artikel-29-Datenschutzgruppe, Leitlinie in Bezug auf Datenschutzbeauftragte („DSB“) WP 243 rev.01, 19). Daher sind auch die Tätigkeiten als Geschäftsführer und DSBA in einer Person aufgrund der in der DSGVO den DSBA auferlegten Verpflichtung zur unmittelbaren Berichterstattung an die höchste Managementebene des Unternehmens als miteinander unvereinbar zu qualifizieren. Bei der Benennung eines unternehmensinternen DSBA rät die Artikel-29-Datenschutzgruppe, jene Aufgaben und Positionen eindeutig abzugrenzen, die mit der Funktion des DSBA unvereinbar sind. Um Interessenskonflikte zu vermeiden, empfiehlt es sich auch, interne Richtlinien festzulegen (Artikel-29-Datenschutzgruppe, Leitlinien WP 243 rev.01, 19).

Darüber hinaus ist es unerlässlich, die sich aus der jeweiligen Rolle ergebenden Funktionen, Rechte und Pflichten sowie die Konsequenzen von Pflichtverletzungen – einerseits als DSBA und andererseits als Arbeitnehmer bezüglich anderer Aufgaben – voneinander zu trennen. Während DSBA bei der Erfüllung ihrer Aufgaben weisungsfrei sind und diese Unabhängigkeit vom Unternehmen sicherzustellen ist, ist dieselbe Person in ihrer Funktion als Arbeitnehmer bezüglich anderer Aufgaben weisungsgebunden und steht zum Unternehmen in einem Abhängigkeitsverhältnis. 

Abberufung von DSBA

Während Arbeitnehmer im Allgemeinen jederzeit ohne Angabe von Gründen gekündigt werden können, dürfen DSBA nach der DSGVO, wie erwähnt, wegen der Erfüllung ihrer Aufgaben nicht abberufen oder benachteiligt werden. Feiler/Forgó sind etwa der Ansicht, dass eine Kündigung von angestellten DSBA in Verletzung des Art 38 Abs 3 Satz 2 DSGVO wegen motivwidriger Kündigung anfechtbar ist und diesen daher ein weitreichender Kündigungsschutz zukommt (Feiler/Forgó, EU-DSGVO, Art 38 Rz 3). Die Leitlinien der Artikel-29-Datenschutzgruppe verweisen in diesem Zusammenhang lediglich recht allgemein auf die geltenden nationalen Vorschriften des Vertrags-, Arbeits- oder Strafrechts, für den Fall, dass DSBA ihre vertraglichen Pflichten nicht erfüllen. Diesbezüglich wird auf grobes Fehlverhalten wie bspw. Diebstahl, physische und psychische Belästigungen uÄ verwiesen (Artikel-29-Datenschutzgruppe, Leitlinien WP 243 rev.01, 18f).

In der DSGVO ist lediglich die Beschränkung der Abberufung von DSBA normiert, eine Mindestdauer für deren Benennung hingegen ist nicht geregelt. Dies schließt jedoch die Befristung der Benennung von DSBA nicht zwingend aus. Solange die ordnungsgemäße Erfüllung der Aufgaben durch die DSBA sichergestellt ist, ist einer Befristung nichts entgegenzuhalten. Wird eine Befristung bei verpflichtend zu benennenden DSBA vereinbart, ist eine geregelte und vor allem lückenlose Nachfolge sicherzustellen. Andernfalls wäre der Haftungstatbestand gemäß Art 83 Abs 4 lit a DSGVO erfüllt.

Wie der Konflikt zwischen dem Abberufungsschutz nach der DSGVO und den nationalen arbeitsrechtlichen Kündigungsbestimmungen bzw -beschränkungen in der Praxis gelöst werden wird, bleibt abzuwarten.
[/lindepaywall]