Die Frage „Ist der Datenschutzbeauftragte nun eigentlich Auftragsverarbeiter oder selber Verantwortlicher und welche Position hat er?“ kommt öfter. Die Rechtsstellung des Datenschutzbeauftragten ist in Art. 38 DSGVO und § 6 Abs. 4 S. 2 und 3 (i.V.m. § 38 Abs. 2) BDSG-nF geregelt. Daraus folgt, dass der Datenschutzbeauftragte immer als Verantwortlicher handelt.
Unabhängig und weisungsfrei
Der Datenschutzbeauftragte ist unabhängig und weisungsfrei. Er berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters. Er hat als solcher eine Beraterfunktion und entscheidet selber, welche Aufgaben er priorisiert. Er legt auch eigenständig fest, wie die verschiedenen Verarbeitungsvorgänge hinsichtlich ihrer Risiken eingestuft werden und ob beispielsweise eine Datenschutzfolgenabschätzung vorgenommen werden muss.
Anspruch auf Einbindung in die Unternehmensprozesse
Dem Datenschutzbeauftragten ist Zugang zu allen Verarbeitungsvorgängen mit persönlichen Daten zu gewähren. Er muss frühzeitig in sämtliche mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einbezogen werden. Er muss alle Ressourcen zur Erfüllung seiner Aufgaben nutzen dürfen und Zugang zu dem für seine Tätigkeit notwendigen Wissen sowie genügend Zeit für die Ausübung seiner Aufgabe erhalten. Letztere zwei sind insbesondere für den betrieblichen Datenschutzbeauftragten wichtig, für den der Arbeitgeber die notwendigen Weiterbildungen und einen ausreichenden Zeitrahmen bereitstellen muss.
Abberufungs- und Kündigungsschutz
Sowohl der selbstständige wie auch der angestellte Datenschutzbeauftragte hat nach seiner Bestellung umfangreichen Abberufungs- und Kündigungsschutz. Die meisten Benennungen selbstständiger Datenschutzbeauftragter werden auf 12 oder 24 Monate begrenzt. Während dieser Zeit beziehungsweise beim betrieblichen Datenschutzbeauftragten unbefristet, kann der Datenschutzbeauftragte nur aus wichtigem Grund abberufen werden. Etwa weil er eklatante Fehler macht und eine Fortsetzung der Zusammenarbeit für den Auftrag- oder Arbeitgeber unzumutbar ist oder weil die Aufsichtsbehörde den Widerruf einer Bestellung fordert. Verboten ist allerdings eine Abberufung aus Gründen, die mit der Erfüllung der Aufgaben als Datenschutzbeauftragter zusammenhängen, aber nicht als Pflichtverstöße im Sinne der DSGVO gewertet werden können.
Wohl wissend, dass rechtssicheres Datenschutzmanagement nicht nebenher erledigt werden kann, sondern Know How und Zeit benötigt, will der Gesetzgeber mit diesen Regelungen sicherstellen, dass der Datenschutzbeauftragte unbeeinflusst und unabhängig seine Kernaufgabe, die Überwachung der Einhaltung des Datenschutzes wahrnehmen kann.
Autor: Daniela Maria Hübsch
Bild: Thinkstock