Impulsvortrag: Der Datenschutzbeauftragte nach der DS-GVOFall 1: Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Datenverarbeitungsvorgängen, welche eine umfangreiche,

© Prof. Dr. Dirk Heckmann www.mein-jura.de 1

Univ.-Professor Dr. jur. Dirk Heckmann

Mitglied des Bayerischen Verfassungsgerichtshofes

Lehrstuhl für Öffentliches Recht, Sicherheitsrecht und Internetrecht

Bayerisch-tschechischer Workshop am 8. März 2018 im Europahaus in Freyung

Impulsvortrag: Der Datenschutzbeauftragte nach der DS-GVO

Rechtlicher Rahmen und Gestaltungsspielräume


Datenschutzbeauftragte: Mann/Frau der Stunde?


Der Datenschutzbeauftragte nach den Vorgaben der DS-GVO: Neuland oder sicherer Hafen?


Wo finden sich die zentralen Vorgaben zum Datenschutzbeauftragten in der DS-GVO?

Art. 37 DS-GVO: Benennung eines Datenschutzbeauftragten

Art. 38 DS-GVO: Stellung des Datenschutzbeauftragten

Art. 39 DS-GVO: Aufgaben des Datenschutzbeauftragten


Wer ist zur Benennung eines Datenschutzbeauftragten verpflichtet?

Öffentliche Stellen (u.a. Behörden)

Ein Datenschutzbeauftragter ist grundsätzlich obligatorisch zu bestellen, außer die Verarbeitung erfolgt durch ein Gericht im Rahmen seiner justiziellen Tätigkeit, Art. 37 Abs. 1 lit. a DS-GVO

Nicht-öffentliche Stellen (u.a. Wirtschaftsunternehmen)


Wer ist zur Benennung eines Datenschutzbeauftragten verpflichtet?

Öffentliche Stellen (u.a. Behörden)

Nicht-öffentliche Stellen (u.a. Wirtschaftsunternehmen) Fall 1: Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Datenverarbeitungsvorgängen, welche eine umfangreiche, regelmäßige und systematische Überwachung der betroffenen Personen erfordern, Art. 37 Abs. 1 lit. b DS-GVO oder Fall 2: Die Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen, Art. 37 Abs. 1 lit. c DS-GVO


Gibt es abweichende Bestimmungen im nationalen Datenschutzrecht?

Mit den §§ 5, 6, 7, 38 BDSG n. F. macht der deutsche Gesetzgeber von der in Art. 37 Abs. 4 Satz 1 HS. 2 DS-GVO angelegten Möglichkeit Gebrauch, die Ernennung eines Datenschutzbeauftragten für weitere Bereiche verpflichtend vorzuschreiben.

Pflicht zur Benennung bei öffentlichen Stellen, § 5 Abs. 1 Satz 1 BDSG

Zusätzliche Bestellungspflicht für nicht-öffentliche Stellen



§§ 5, 6, 7, 38 BDSG n. F.


Öffentliche Stellen haben in jedem Fall einen Datenschutzbeauftragten zu benennen.

Zusätzliche Bestellungspflicht für nicht-öffentliche Stellen



§§ 5, 6, 7, 38 BDSG n. F.


Bestellungspflicht für nicht-öffentliche Stellen zusätzlich dann, wenn - mindestens zehn Personen ständig mit der automatisierten Verarbeitung beschäftigt sind, - die Verarbeitung einer Datenschutz-Folgenabschätzung im Sinne des Art. 35 DS-GVO unterliegt oder - die Verarbeitung geschäftsmäßig zum Zweck der (auch anonymisierten) Übermittlung oder der Markt- oder Meinungsforschung erfolgt.


Formelle Voraussetzungen bei der Benennung

• Interne und externe Bestellung des Datenschutzbeauftragten möglich, Art. 37 Abs. 6 DS-GVO.

Intern/extern?

• Art. 37 Abs. 2 DS-GVO ermöglicht die Benennung eines Konzerndatenschutzbeauftragten.

• Vorausgesetzt wird allerdings, dass dieser von jeder Niederlassung aus leicht erreichbar ist.

Konzernweit?

• Der Datenschutzbeauftragte ist nach Art. 38 Abs. 1 DS-GVO / § 6 Abs. 1 BDSG n. F. „ordnungsgemäß und frühzeitig“ vor Beginn der Verarbeitung einzubinden.

• Aus Beweisgründen empfiehlt sich die schriftliche Benennung.

Wann und wie zu benennen?


Welche Qualifikationen muss der Datenschutzbeauftragte aufweisen können?

Art. 37 Abs. 5 DS-GVO nennt drei wesentliche Kriterien:

•Berufliche Qualifikation

•Fachwissen im Bereich des Datenschutzes

•Fähigkeit zur Erfüllung der gesetzlichen Mindestaufgaben


Welche Qualifikationen muss der Datenschutzbeauftragte aufweisen können?

Erforderlich sind insbesondere:

•Kenntnisse der europäischen und nationalen Datenschutzbestimmungen

•Kenntnisse über die jeweils zugrundeliegenden Verarbeitungsvorgänge

•Kenntnisse über das Unternehmen und dessen Organisationsstruktur


Aufgaben und Pflichten des Datenschutzbeauftragten

Unterrichtung und Beratung

der datenschutz-rechtlich

Verantwortlichen (auch

Beschäftige)

Überwachung und

Einhaltung der

Datenschutz-bestimmungen

Mitarbeit bei Datenschutz-

Folge-abschätzungen

Zusammen-arbeit mit den Aufsichtsbehör

den

Beratung betroffener Personen


Die Stellung des Datenschutzbeauftragten im Unternehmen

Der Datenschutzbeauftragte ist umfassend zu unterstützen.

Der Datenschutzbeauftragte ist weisungsfrei.

Es gilt ein grundsätzliches Benachteiligungs- und Abberufungsverbot.

Verschwiegenheitspflicht des Datenschutzbeauftragten.


Welche weiteren Regelungen gibt es zum Datenschutzbeauftragten innerhalb der DS-GVO?

Die Kontaktdaten des Datenschutzbeauftragten sind Betroffenen bei Datenerhebung mitzuteilen.

Das Verarbeitungsverzeichnis muss die Kontaktdaten des Datenschutzbeauftragten beinhalten.

Die Tätigkeit einer Aufsichtsbehörde für einen Datenschutzbeauftragten ist unentgeltlich.

Der „Data Breach Notification“ sind die Kontaktdaten des Datenschutzbeauftragten beizufügen.

Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten.

Mitteilung der Kontaktdaten des Datenschutzbeauftragten an die Aufsichtsbehörde.


Risikoberuf Datenschutzbeauftragter?

Haftungsrisiken des Datenschutzbeauftragten noch

nicht abschließend geklärt.

Eine Haftung gegenüber den Betroffenen oder der

verantwortlichen Stelle ist denkbar.

In Betracht kommt auch die straf- und

ordnungswidrigkeitsrechtliche Verantwortlichkeit.


Fazit und Ausblick

Der Datenschutzbeauftragte als deutsches Erfolgsmodell.

Weitgehende Konkretisierung der Anforderungen und Pflichten.

Mögliche Zunahme des Haftungsrisikos des Datenschutzbeauftragten.


One more thing …

„Ein Dozent für Informationssicherheit stellte seinen Studierenden die Frage, wer in Ihren Unternehmen verantwortlich sei, den Datenschutz aufrecht zu erhalten.

Das Auditorium äußerte den Vorschlag: „Der Datenschutzbeauftragte…“.

Der Dozent hatte diese Antwort erwartet und schilderte die folgende Situation:

Nehmen wir an, Sie fahren auf eine rote Ampel zu. Neben Ihnen sitzt ein Polizist, der Sie über alle rechtlichen sowie technischen Problemstellungen aufklärt und eine Handlungsempfehlung entsprechend der aktuellen Situation abgibt. Letztlich befolgen sie den Rat und bremsen – es kommt zu keinem Schaden und alles ist gut.

Der Dozent schaute in verwunderte Gesichter, die ihn fragen wollten, was das mit Datenschutz zu tun hätte. Der Dozent entgegnete: „Würden Sie dieses Vorgehen für erforderlich halten, sofern davon ausgegangen werden kann, dass alle Fahrzeugführer einen Führerschein haben und die Grundregeln im Straßenverkehr beherrschen?“

Langsam löste sich die Spannung und es prasselte Kritik. „Das wäre absolut überzogen und unbezahlbar.“ - „Es reicht, wenn die Polizei stichprobenartig den Verkehr kontrolliert.“ - „Ich würde mich überwacht fühlen.“- „Wer ein Fahrzeug führt, muss auch Verantwortung für sonstige Verkehrsteilnehmer übernehmen“.

Der Dozent war froh über die Rückmeldungen und wiederholte die anfängliche Frage: „Wer trägt Verantwortung für den Datenschutz im täglichen Arbeitsumfeld?“.

Die Studenten schlussfolgerten: „…Jeder, der mit Daten zu tun hat.“ Entnommen und angepasst bei: GDD, Geschichten, die der Datenschutz schrieb … - Anekdoten, Erinnerungen und Meinungen anlässlich des 9. Europäischen Datenschutztages, 2015, S. 9.

Documents

Impulsvortrag: Der Datenschutzbeauftragte nach der DS-GVOFall 1: Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Datenverarbeitungsvorgängen, welche eine umfangreiche,