Der DS-GVO-Schutzengel

Der EuGH hat eine Entscheidung zur Interessenkollision von internen Datenschutzbeauftragten getroffen. Datenschutzbeauftragter kann danach nicht sein, wer auch über die Datenverarbeitung entscheidet, wer zum Beispiel also Mitspracherechte bei der EDV hat. Wie geht das bei internen Datenschutzbeauftragten? Zu deren Aufgaben gehört auch die Prüfung neuer technischer Tools. Damit besteht daher ein Mitspracherecht. Das stellt sich die Frage: Ist der interne Datenschutzbeauftragte tot? Daher wollen wir in diesem Beitrag den Datenschutzbeauftragten ins Visier nehmen. 

Wann ein Datenschutzbeauftragter zu bestellen ist, wird durch die DSGVO sowie das BDSG ausdrücklich vorgegeben: Für Unternehmen in der Privatwirtschaft jedenfalls dann, soweit mindestens 20 Personen ständig mit der automatisierten Datenverarbeitung beschäftigt werden oder wenn das Unternehmen eine Verarbeitung vornimmt, für die eine Datenschutz-folgenabschätzung vorzunehmen ist, oder aber personenbezogene Daten geschäftsmäßig zum Zwecke der (anonymisierten) Übermittlung oder für Zwecke der Markt-/Meinungs-forschung verarbeitet werden. So weit, so gut.

In der Immobilienbranche werden automatisiert personenbezogene Daten der Eigentümer in der WEG-Verwaltung oder der Mieter in der Mietverwaltung verarbeitet. Oftmals sind auch Datenschutzfolgenabschätzungen zu machen, nämlich immer dann, wenn Videoüberwachung erfolgen soll. Datenschutzbeauftragte sind daher in der Immobilienbranche gar nicht so selten.

Worüber die Datenschutzgesetze jedoch schweigen, ist ob der Datenschutzbeauftragte im Unternehmen arbeiten sollte oder besser außerhalb. Dies bleibt den Unternehmen selbst überlassen. Daher sollen hier Vor- und Nachteile der internen versus der externen Bestellung beleuchtet werden.

Bei ihm handelt es sich um einen Angestellten, der neben seinen regulären Aufgaben im Unternehmen zusätzlich mit der Wahrung datenschutzrechtlicher Vorgaben betraut wird. Er muss also in der Lage sein, sowohl die rechtlichen als auch die technischen Grundlagen des Datenschutzes zu verstehen und anzuwenden, und sich dann immer wieder weiterbilden.

Neben dem Arbeitsvertrag tritt also die datenschutzrechtliche Bestellung (eine eigene, strikt vom Arbeitsverhältnis zu trennende Rechtshandlung!) hinzu. Das bietet insofern den Vorteil, dass der Mitarbeiter, der die internen Abläufe und Prozesse bereits kennt, somit die datenschutzrechtliche Bewertung, Beratung der Geschäftsführung und Schulung der Kollegen wesentlich schneller angehen kann.

In diesem Sinne tendiert die Geschäftsführung aber auch häufig dazu, Angestellte aus den höheren Ebenen der Unternehmenshierarchie zu bestellen. Problematisch ist das wiederum mit Blick auf das Verbot der Interessenkollision aus Art. 38 Abs. 6 DSGVO, das der EuGH jüngst (Urteil vom 9.2.2023, C-453/21) erneut betont hat: Datenschutzbeauftragter darf nicht sein, wer zugleich Aufgaben oder Pflichten hat, „die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten […] festzulegen“ – d.h., wenn er sich im Ergebnis selbst kontrollieren würde, weil er über Zwecke und Mittel der Verarbeitung im Unternehmen mitentscheidet.

Die Lösung scheint einfach: Bloß keinen leitenden Mitarbeiter bestellen, oder? Fast. Man darf nicht vergessen, dass der Datenschutz auch eine unangenehme Aufgabe sein kann, denn oft muss der DSB der Geschäftsführung auch Dinge sagen, die sie nur ungern hören will, wie z.B. die Pflicht zur Selbstanzeige bei der Aufsichtsbehörde aufgrund einer Datenschutzpanne, und dass bei Nichtbefolgung die DSGVO sehr hohe Bußgelder vorsieht. Dass man sich als Angestellter in der Rolle des Datenschutzbeauftragten schnell unbeliebt macht, ist Grund für den eigens in §§ 38 Abs. 2, 6 Abs. 4 BDSG geregelten Kündigungsschutz für den Angestellten, der auch ein Jahr nach der Abberufung noch wirkt. 

Die Abberufung selbst darf nur aus wichtigem Grund erfolgen – und die ordnungsgemäße Aufgabenerfüllung im Datenschutz ist keiner. Letztlich schwebt über dem internen Datenschutzbeauftragten das Dilemma zwischen der Aufgabenerfüllung und der Gunst der Geschäftsführung wie das Damoklesschwert – nachteilig für den effektiven Datenschutz und das Unternehmensklima.

Hier wird ein externer Dienstleister herangezogen. Er wird somit rein datenschutzrechtlich bestellt, ist im Übrigen aber nicht arbeitsrechtlich abhängig vom Unternehmen. Der Nachteil gegenüber der internen Bestellung ist hier wieder der Faktor Zeit, denn der externe Datenschutzbeauftragte muss sich zunächst ein Bild von den Abläufen und Prozessen des Unternehmens schaffen, bevor er mit der Arbeit beginnen kann. 

Das rentiert sich wiederum dadurch, dass zum einen das oben beschriebene Problem des Interessenkonflikts bei der externen Bestellung nicht existent ist. Eine Gefahr weniger, was die Sanktionierung durch die Aufsichtsbehörde betrifft.

Das fehlende Arbeitsverhältnis zwischen dem Unternehmen und dem externen Datenschutzbeauftragten gibt letzterem zudem die nötige Distanz, die Geschäftsführung gänzlich unbefangen datenschutzrechtlich zu beraten. Auf ihn ist insofern mehr Verlass, auch die ganz unangenehmen Dinge anzugehen, denn auch der externe Datenschutzbeauftragte darf nur aus wichtigem Grund abberufen werden. Das nebenbei positiv bleibende interne Unternehmensklima ist zugleich ein willkommener Bonus.

Hinzukommt, dass ein externer Datenschutzbeauftragter dies als Hauptberuf ausübt und meist entweder Jurist oder Techniker ist oder mit dem jeweils anderen eng zusammenarbeitet. Den externen DSB zeichnet daher in aller Regel eine höhere Sach- und Fachkompetenz aus. 

Für den Fall, dass die Zusammenarbeit nicht so reibungslos verläuft, wie es sich der Auftraggeber wünscht, ist eine Trennung wesentlich einfacher möglich, als dies bei einem internen DSB der Fall wäre.

Intern oder extern – was Ihnen besser liegt, müssen Sie selbst entscheiden. Die besseren Gründe sprechen jedoch für den externen Datenschutzbeauftragten.

Autorin: Marcia Cole, GROSS Rechtsanwaltsgesellschaft mbH

Bildnachweis: Pexels