Update Datenschutz Nr. 20
LDI NRW veröffentlicht FAQ zu Datenschutzbeauftragten unter DSGVO
Die LDI NRW hat im März 2017 FAQs veröffentlicht, die einen Überblick über die neuen Anforderungen an den Datenschutzbeauftragten (DSB) nach der DSGVO (2016/679/EU) und der JI-RL (2016/680/EU) geben sollen. Diese Anwendungstipps sind die ersten Verlautbarungen einer deutschen Aufsichtsbehörde zu dem Thema. Wir haben die wichtigsten Punkte zusammengefasst:
I. Die Bestellung des DSB
Wann ein Datenschutzbeauftragter von Unternehmen zu berufen ist, bestimmen Art. 37 Abs. 1 lit. b, c DSGVO. Danach besteht die Pflicht, wenn ein Unternehmen Betroffene „regelmäßig[e] und systematisch[e]“ überwacht (lit. b) oder sensible Daten im Sinne der Art. 9 und 10 DSGVO verarbeitet (lit. c), dies „umfangreich“ (lit. b, c) ist und die „Kerntätigkeit“ (lit. b, c) ausmacht.
Eine Überwachung liegt nach Auffassung der LDI z.B. vor, wenn die Internetaktivitäten des Betroffenen nachvollzogen werden können, was jedenfalls bei der Bildung von Profilen der Fall ist, die als Grundlage für personalisierte Entscheidungen oder Analysen und Voraussagungen dienen. Grundlage hierfür ist EG. 24 DSGVO. Beispiele hierfür können Personalisierungsfunktionen auf Webseiten sein.
Für die Beurteilung der umfangreichen Verarbeitung sensibler Daten oder der Überwachung entnimmt die LDI EG. 91 DSGVO mehrere Kriterien: die Menge der personenbezogenen Daten, die Verarbeitung auf regionaler, nationaler oder supranationaler Ebene, die Anzahl der Betroffenen und die Dauer der Verarbeitung.
Die LDI empfiehlt für die Bestellung die Schriftform, obwohl diese nicht gesetzlich gefordert ist. Darin könnten etwa auch die Aufgaben des DSB festgehalten werden. Darüber hinaus rät sie zur Neubestellung des DSB mit Wirkung zur Anwendbarkeit der DSGVO, also ab dem 25. Mai 2017, um sich aus dem Regimewechsel ergebende Unklarheiten zu adressieren.
II. Anforderungen an die Eignung als DSB
Die LDI fordert, dass der DSB ein verlässliches Fachwissen aufweist. Dieses sollte nicht nur die internen Prozesse und Verarbeitungsvorgänge, sondern auch die IT-Systeme und –Sicherheitsmaßnahmen umfassen. Die konkreten Anforderungen hängen von der Komplexität der Datenverarbeitungen und den Auswirkungen auf die Betroffenen ab.
Um einen Interessenkonflikt zu vermeiden, darf der DSB keine sonstigen Aufgaben und Pflichten haben, die einen engen Bezug zu Verarbeitungen personenbezogener Daten haben. Ausgeschlossen als DSB sind nach Auffassung der LDI jedenfalls die Mitglieder der Unternehmensleitung oder leitende Personen der IT- oder der Personal-Abteilung. Sogar die Beschäftigung in diesen Abteilungen kann einen Interessenkonflikt auslösen, sollte dadurch eine Möglichkeit bestehen, auf die Verarbeitungsprozesse einzuwirken.
III. Aufgaben des DSB
Die Kernaufgabe des DSB ist die Unterstützung der Geschäftsleitung des Unternehmens bzw. des Auftragsverarbeiters. Der LDI fasst sie zusammen als die Sammlung von Informationen, um Verarbeitungsaktivitäten identifizieren zu können, die Analyse der Verarbeitungen und Überprüfung auf Rechtskonformität und die Informierung und Beratung der Stelle bzw. des Auftragsverarbeiters. Der DSB soll sich dabei schwerpunktmäßig mit Verarbeitungen befassen, die ein hohes Risiko für die Betroffenen darstellen.
Bei der Datenschutz-Folgenabschätzung (Art. 35 DS-GVO), kann der DSB nur überwachend und beratend beteiligt sein (Abs. 1, 2). Die eigentliche Durchführung obliegt der Geschäftsleitung des Unternehmens. Sollte diese einem Rat des DSBs nicht folgen, sollten die Gründe hierfür schriftlich festgehalten werden. Entsprechendes gilt für das Verarbeitungsverzeichnis (Art. 30 DS-GVO). Zusätzlich empfiehlt die LDI, Referenzdokumente wie das Ergebnis einer Datenschutz-Folgenabschätzung beizufügen.
Nach Außen fungiert der DSB als Kontaktperson sowohl für die Aufsichtsbehörde (Art. 39 Abs. 1 lit. d, e DS-GVO) als auch für die Betroffenen (Art. 38 Abs. 4 DS-GVO).
Weil es sich nur um eine unterstützende Stellung handelt, ist der DSB nicht persönlich für die Einhaltung der Datenschutzgesetze verantwortlich. Die Verantwortung verbleibt bei der verantwortlichen Stelle, vertreten durch die Unternehmensleitung.
IV. Unterstützung des DSB
Der DSB muss nach Meinung der LDI frühzeitig und ordnungsgemäß in alle Angelegenheiten eingebunden werden, die den Schutz personenbezogener Daten betreffen. Bei seiner Arbeit muss er mit Ressourcen, Zugang zu Daten und Verarbeitungsvorgängen sowie fachlicher Literatur und Fortbildung unterstützt werden. Darüber hinaus muss er weisungsfrei und unabhängig bleiben.
V. Voraussetzung für einen gemeinsamen DSB nach Art. 37 Abs. 2 DS-GVO
Nach Art. 37 Abs. 2 DS-GVO darf eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten dann bestellen, wenn er von jedem Gruppenunternehmen „leicht erreicht“ werden kann. Dies ist nach Auffassung des LDI gegeben, wenn der DSB in persönlicher und sprachlicher Hinsicht erreichbar ist, was auf die Betroffenen, Aufsichtsbehörden und die Beschäftigten des Unternehmens zu beziehen ist.
Der DSB ist etwa dann persönlich erreichbar, wenn eine Hotline eingerichtet wurde, Kontaktformulare in die Homepage eingebunden werden, eine Sprechstunde für Beschäftigte vorgesehen wird, oder seine Kontaktdaten sowohl im Intranet als auch auf der Homepage auffindbar sind.
Die sprachliche Erreichbarkeit soll dann gegeben sein, wenn in der Sprache kommuniziert werden kann, die Aufsichtsbehörden und Betroffene sprechen.
B. Fazit
Die FAQs wiederholen und systematisieren die Normen und Erwägungsgründe, die für den DSB relevant sind. Teilweise fließen eigene rechtliche Interpretationen der LDI ein. Die von der LDI angeführten Beispiele ermöglichen eine praktische Orientierung. Die Handreichung der LDI bietet damit eine erste behördliche Orientierung für wichtige Fragestellungen. Unternehmen können diese bei der Ausgestaltung ihrer Datenschutzorganisation mit einbeziehen.