Braucht Ihr Unternehmen aufgrund der DSGVO einen Datenschutzbeauftragten?

Eine Werbeagentur in Europa hat vor Kurzem eine Stellenanzeige für einen “Datenschutzbeauftragten” aufgegeben. Ich nehme an, dass es der Agentur darum geht, jemanden zu finden, der die Einhaltung der EU-Datenschutz-Grundverordnung (DSGVO) in Angriff nimmt. Darüber hinaus sollte sich diese Person wohl der wachsenden Zahl an Problemen hinsichtlich der Datennutzung und den damit verbundenen Verpflichtungen widmen, die von den Kunden gemeldet werden.

Diese Agentur ist das erste jener Unternehmen, die momenten prüfen, ob sie einen Datenschutzbeauftragten benötigen.

Viele datenintensive Unternehmen fragen sich, wie sie ihren Verpflichtungen bezüglich der nahenden DSGVO nachkommen können. Und eine der Fragen, die sich dabei stellen, ist: Wird ein Datenschutzbeauftragter benötigt?

Die verwirrendste Erwähnung – in einem aktuellen Update eines großen Technologieanbieters – war diese:

“Die Mitglieder der XXX Group haben einen Datenschutzbeauftragten ernannt, da eine solche Ernennung im Rahmen von Datenschutzgesetzen und -richtlinien erforderlich ist.”

Der Zweck der DSGVO besteht darin, die Rechenschaftspflicht und Transparenz in einem zunehmend kommerzialisierten Daten-Ökosystem zu fördern. Es scheint, dass dieses Unternehmen den Gesetzestext vermutlich aus einer Perspektive der bloßen Einhaltung interpretiert hat.

Es gibt andere, die den Text sorgfältig studiert und daraus die Schlussfolgerung gezogen haben, dass sie unter den festgelegten Bedingungen nicht in der Pflicht sind, einen Datenschutzbeauftragter ernennen zu müssen. Von der (baldigen) Aufsichtsbehörde werden sie jedoch herzlich dazu ermutigt, genau dies zu tun. Vermutlich werden sie sich dafür entscheiden oder haben sich bereits entschieden, das Vertrauen des Verbrauchers über andere Geschäftsinteressen zu stellen.

Der Job des Datenschutzbeauftragten bei Facebook ist wohl der herausfordernste seiner Art. Ich möchte der Person, die den Posten dieser Stellenanzeige übernimmt, viel Glück wünschen: Die Herausforderung ist immens, aber der Boden ist nicht völlig unfruchtbar.

Das sagt die DSGVO zur Ernennung von Datenschutzbeauftragten

Art. 37 der DSGVO konkretisiert die Bedingungen, unter denen ein Datenschutzbeauftragter ernannt werden sollte. Paragraf 1b legt fest, dass “die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen;”.

Beachten Sie den Bezug, sowohl auf den Daten-Controller (hier “Verantwortlicher”), als auch auf den Daten-Verarbeiter (“Auftragsverarbeiter”). Dies bedeutet: Selbst wenn ein Technologieanbieter als Daten-Verarbeiter im Auftrag seiner Kunden handelt, dies keinen ausreichenden Grund darstellt, sich gegen die Ernennung eines Datenschutzbeauftragten zu entscheiden.

Die Artikel 38 und 39 gehen über die bloße Entscheidung über die Benennung eines Datenschutzbeauftragten hinaus, um jeweils seine Stellung und Aufgaben im Detail zu beschreiben.

Andere Referenzen zum Datenschutzbeauftragten in der DSGVO

Die Bestimmungen der DSGVO beziehen sich häufig aufeinande. Daher, erwähnen auch andere Artikel der Verordnung, wann ein Datenschutzbeauftragter beteiligt sein sollte.

Beachten Sie die folgende Sachlagen:

• Art. 13 über die “Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person”: Der Datenschutzbeauftragte muss ggf. darauf verwiesen werden;
• Art. 14 über die “Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden”: Der Datenschutzbeauftragte muss ggf. darauf verwiesen werden;
• Art. 30 über das “Verzeichnis von Verarbeitungstätigkeiten”: Der Datenschutzbeauftragte muss darauf verwiesen werden, sowohl vom Verantwortlichen, als auch vom Auftragsverarbeiter;
• Art. 33 über die “Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde”: “Die Meldung (…) enthält (…) den Namen und die Kontaktdaten des Datenschutzbeauftragten…”
• Art. 35 über die “Datenschutz-Folgenabschätzung”: “Der Verantwortliche holt (…) den Rat des Datenschutzbeauftragten…”
• Art. 36 über die “vorherige Konsultation”: Wo die Kontaktdaten des Datenschutzbeauftragten für die Aufsichtsbehörde bereitgestellt werden;
• Art. 47 über “Verbindliche interne Datenschutzvorschriften”: Sie konkretisieren die Aufgaben eines Datenschutzbeauftragten, falls einer ernannt worden ist.
• Art. 57 über die Aufgaben der Aufsichtsbehörden, wo ihre Aufgaben für betroffene Personen und, falls zutreffend, für Datenschutzbeauftragte unentgeltlich sind.

Den vollständigen Gesetzestext zur DSGVO finden Sie hier.

Während die Ernennung eines Datenschutzbeauftragten für einige eine klare Verpflichtung ist, bleiben andere zögernd. Die Unabhängigkeit des Datenschutzbeauftragten lässt Befürchtungen vor Whistleblowing aufkommen. Denn im Gegensatz zum Anwalt-Mandanten-Privileg ist ihre Vertraulichkeit nicht verbindlich. Dies könnte vor Gericht oder während einer Untersuchung tatsächlich problematisch sein.
Aus diesem Grund hat der Datenschutzbeauftragte von Facebook meine volle Unterstützung. Denn eine Balance zu finden, wird meiner Meinung nach eine Herausforderung sein.

Weitere Empfehlungen

Glücklicherweise hat die Artikel-29-Datenschutzgruppe – das Beratungsgremium, über das wir bereits in Bezug auf PrivacyShield gesprochen haben – Empfehlungen als Reaktion auf vielen aufkommenden Fragen ausgesprochen. Dazu gehört z.B., wie ein Datenschutzbeauftragter in einem internationalen Unternehmen vertreten sein sollte usw..

Ihre Empfehlungen wurden erstmals im Dezember letzten Jahres veröffentlicht und im April erneut überarbeitet. Sie möchten sicherstellen, dass Fragen bezüglich eines so wichtigen Eckpfeilers der DSGVO wie der Person, die für die Rechenschaftspflicht zuständig ist, angemessen besprochen wurden. Beachten Sie, dass damit nicht automatisch gemeint ist, dass der Datenschutzbeauftragte die Verantwortung trägt.

Genauso wie man einen Dirigenten eines Orchesters nicht verantwortlich für das schlechte Spielen einer Flöte machen kann, kann ein Datenschutzbeauftragter keinen bestimmten Standpunkt vorgeben. Der Datenschutzbeauftragte ist da, um Empfehlungen abzugeben, falls es notwendig ist.

Allerdings gilt: Wenn die Einhaltung der Datenschutzrichtlinien nachgewiesen werden muss, wie in einem früheren Artikel über die Rechtmäßigkeit der Verarbeitung erläutert worden ist, gilt Ihr Unternehmen als schuldig, solange die Unschuld nicht bewiesen ist.

Nehmen Sie die Rechte der Nutzer ernst

Während wir uns in Richtung der Kommerzialisierung von Daten bewegen, wird sich die endgültige Grenze des Wettbewerbs um das Vertrauen der Verbraucher drehen.

Tatsächlich werden Debatten über Datennutzung und den Schutz der Privatsphäre manchmal etwas überhitzt geführt – erklären Sie mir bitte, wie wir alle auf die Idee kamen, dass ein Staubsauger selbstständig Daten verkaufen könnte? Wir sind aber auch Zeugen davon, dass Unternehmen diese Probleme offen aussprechen. Währenddessen verstecken sich andere immer noch hinter anwaltlicher Logik, kurzzeitigen Compliance-Strategien, oder gar teuren Gerichtsstreitigkeiten.

Niemand behauptet, dass es einfach werden wird, da die Anpassung an die DSGVO und die Optimierung der Datennutzung für die Gesellschaft insgesamt eine große Herausforderung ist.

Niemand behauptet, dass die DSGVO perfekt sei. Aber es ist ein erster Schritt zur verantwortlichen Datennutzung. Zugegeben ein erster Schritt in 99 Artikeln und 173 Erwägungen, aber das Problem ist ja auch sehr komplex.

Ich sage auch nicht, dass Geldbußen in Höhe von 4% des weltweiten Umsatzes oder 20 Millionen Euro auf der Tagesordnung stehen werden. Aber bedenken Sie: Während Ihr Unternehmen auf die Optimierung von Nutzungs-Prozessen persönlicher Daten setzt, sind Informationen über sie und mich Teil dieser Daten – Und wir haben Rechte. Und diese Rechte brauchen jemanden, den man zur Rechenschaft ziehen kann.

Ob diese Person aufgrund gesetzlicher Bestimmungen “Datenschutzbeauftragter” genannt wird oder Sie die Aufgabe Personen überlassen, die für die Daten-Steuerung, Sicherheit, Rechtsberatung oder wofür auch immer verantwortlich sind, ist Ihre Entscheidung.

Egal, wofür Sie sich entscheiden: Sie dürfen nicht vergessen, dass Ihre Wahl im Rahmen des Prinzips der Rechenschaftspflicht der DSGVO dokumentiert werden muss, woran uns die Artikel-29-Datenschutzgruppe freundlicherweise erinnert hat.

Dieser Artikel erschien zuerst in unserem englischen Blog von Aurélie Pols.