Die Frage „Ist der Datenschutzbeauftragte nun eigentlich Auftragsverarbeiter oder selber Verantwortlicher und welche Position hat er?“ kommt in der Praxis regelmäßig: „Ist der Datenschutzbeauftragte eigentlich Auftragsverarbeiter, Verantwortlicher – oder wie ist seine Position rechtlich einzuordnen?“
Die Rolle des Datenschutzbeauftragten ist klar in Art. 38 DSGVO sowie in § 6 Abs. 4 S. 2 und 3 in Verbindung mit § 38 Abs. 2 BDSG geregelt. Daraus ergibt sich, dass der Datenschutzbeauftragte nicht als Verantwortlicher oder Auftragsverarbeiter handelt – er nimmt vielmehr eine eigene, unabhängige Stellung ein. Seine Aufgabe besteht in der Überwachung der Einhaltung datenschutzrechtlicher Vorschriften – dies jedoch ohne Entscheidungsgewalt über die Datenverarbeitung selbst. Die Verantwortung für die Datenverarbeitung verbleibt immer beim Verantwortlichen bzw. Auftragsverarbeiter.
Unabhängig und weisungsfrei
Der Datenschutzbeauftragte ist in der Ausübung seiner Tätigkeit unabhängig und weisungsfrei. Er berichtet direkt an die oberste Managementebene des Unternehmens oder der Organisation. Er berät und überwacht, priorisiert selbstständig seine Aufgaben und entscheidet eigenverantwortlich über Schwerpunkte – zum Beispiel, ob und wann eine Datenschutz-Folgenabschätzung erforderlich ist.
Anspruch auf Einbindung in Unternehmensprozesse
Der Datenschutzbeauftragte muss frühzeitig in alle Prozesse eingebunden werden, die den Schutz personenbezogener Daten betreffen. Er benötigt Zugang zu sämtlichen Verarbeitungstätigkeiten, zu allen relevanten Informationen sowie zu den für seine Aufgaben notwendigen Ressourcen. Dazu gehören auch Fortbildungen, Fachliteratur und ausreichend Zeit – insbesondere im Fall eines internen Datenschutzbeauftragten, für den der Arbeitgeber diese Voraussetzungen schaffen muss.
Abberufungs- und Kündigungsschutz
Sowohl interne als auch externe Datenschutzbeauftragte genießen nach ihrer Benennung einen besonderen Abberufungs- und Kündigungsschutz. Interne Datenschutzbeauftragte können grundsätzlich nur aus wichtigem Grund abberufen oder gekündigt werden. Bei externen Datenschutzbeauftragten ist dies in der Regel ebenfalls innerhalb des vertraglich vereinbarten Zeitraums nur unter engen Voraussetzungen möglich – etwa bei groben Pflichtverletzungen oder auf Anordnung der Aufsichtsbehörde.
Unzulässig ist dagegen eine Abberufung aus Gründen, die allein mit der Ausübung der gesetzlichen Aufgaben zusammenhängen, solange kein rechtswidriges Verhalten vorliegt.
Fachwissen erforderlich!
Rechtssicheres Datenschutzmanagement ist also keine Nebenaufgabe. Es erfordert Fachwissen, Zeit und Unabhängigkeit. Der Gesetzgeber hat mit der DSGVO und dem BDSG klargemacht, dass der Datenschutzbeauftragte nicht „mitläuft“, sondern eine eigenständige, geschützte Rolle einnimmt – zum Wohle der betroffenen Personen und der rechtskonformen Verarbeitung in der Organisation.
Autor: Daniela Maria Hübsch
Bild: Thinkstock