Die zweite europaweite Prüfaktion der europäischen Datenschutzaufsichtsbehörden wurde eingeleitet. Koordiniert durch den Europäischen Datenschutzausschuss (EDPB) widmet sich die Prüfaktion der Stellung und den Aufgaben der Datenschutzbeauftragten. Unser geschäftsführender Gesellschafter Rechtsanwalt Paul C. Johannes publizierte dazu in der ZD-Aktuell 2023, 01136.
Weiterlesen: Prüfung der Stellung der Datenschutzbeauftragten1. CEF 2023
Der Europäische Datenschutzausschuss (EDPB) hat seine koordinierte Durchsetzungsaktion 2023 (CEF 2023) eröffnet (https://edpb.europa.eu/news/news/2023/launch-coordinated-enforcement-role-data-protection-officers_en). CEF-Initiativen zielen darauf ab, die Durchsetzung und die Zusammenarbeit zwischen den Datenschutzbehörden zu rationalisieren.
Zu dieser CEF 2023 zur Benennung und Position von Datenschutzbeauftragten (DSB) werden im Laufe des Jahres Datenschutzbehörden (DPA) im gesamten EWR (einschließlich des EDPB) teilnehmen. Als Vermittler zwischen den Datenschutzaufsichtsbehörden, betroffenen Personen und Unternehmen und Behörden spielen die Datenschutzbeauftragten eine wesentliche Rolle bei der Einhaltung des Datenschutzrechts und der Förderung eines wirksamen Schutzes der Rechte der betroffenen Personen.
Um zu beurteilen, ob die Datenschutzbeauftragten in ihren Organisationen die nach Art. 37 bis 39 DSGVO geforderte Stellung in ihren Organisationen haben und über die notwendigen Ressourcen zur Erfüllung ihrer Aufgaben verfügen, werden die teilnehmenden Aufsichtsbehörden die CEF auf verschiedene Weise umsetzen:
- Die Datenschutzbeauftragten erhalten Fragebögen zur Unterstützung der Sachverhaltsermittlung oder Fragebögen zur Feststellung, ob eine förmliche Untersuchung gerechtfertigt ist;
- Einleitung einer förmlichen Untersuchung;
- Folgemaßnahmen zu laufenden förmlichen Untersuchungen.
Die Ergebnisse der gemeinsamen Initiative sollen in koordinierter Weise analysiert werden, und die Aufsichtsbehörden werden über mögliche weitere nationale Aufsichts- und Durchsetzungsmaßnahmen entscheiden. Darüber hinaus sollen die Ergebnisse aggregiert werden, was einen tieferen Einblick in das Thema ermöglicht und gezielte Folgemaßnahmen auf EU-Ebene erlaubt. Der EDPB plant einen Bericht über die Ergebnisse dieser Analyse veröffentlichen, sobald die Maßnahmen abgeschlossen sind.
2. Hintergrund
Die Voraussetzungen, die zur Pflicht führen, betriebliche oder behördliche Datenschutzbeauftragte zu benennen, sind in Art. 37 Abs. 1 DS-GVO sowie in Deutschland in den §§ 5, 38 BDSG und in den Datenschutzgesetzen der Bundesländer (vgl. zB § 4 BlnDSG, § 5 HDSIG, § 58 NDSG, § 37 LDSG RhPf, § 58 SchlHLDSG, § 13 ThürDSG, § 31 DSG NRW) geregelt. Die Pflicht trifft – beim Vorliegen der jeweiligen gesetzlichen Voraussetzungen – den Verantwortlichen und den Auftragsverarbeiter. Grundsätzlich müssen alle öffentlichen Stellen sowie alle Unternehmen, in denen 20 oder mehr Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten benennen. Die Stellung der Datenschutzbeauftragten folgt aus Art. 38 DSGVO und ihre Aufgaben aus Art. 39 DSGVO, wobei diese durch Bestimmungen im nationalen Datenschutzrecht konkretisiert werden (vgl. z.B. §§ 6 und 7 BDSG sowie § 38 Abs. 2 BDSG).
Die gemeinsame Prüfaktion soll den Rahmen für eine genaue Analyse der heutigen Handlungsbedingungen in der betrieblichen Praxis bilden und den Austausch der Datenschutzbehörden über mögliche Verbesserungen leiten. Als Schwerpunkte der Prüfung lassen sich drei Ziele ausmachen:
2.1 Qualifikation
Nach Art. 37 Abs. 5 DS-GVO werden Datenschutzbeauftragte auf der Grundlage ihrer beruflichen Qualifikation und insbesondere des Fachwissens benannt, das sie auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzen, sowie auf der Grundlage ihrer Fähigkeit zur Erfüllung der in Art. 39 DS-GVO genannten Aufgaben. Das erforderliche Fachwissen orientiert sich am Umfang der Datenverarbeitung und dem Schutzbedarf der personenbezogenen Daten (Erwägungsgrund 97 DS-GVO). Je mehr Daten von der verantwortlichen Stelle verarbeitet werden und je sensibler die Daten sind, desto höhere Anforderungen sind an die Qualifikation der Datenschutzbeauftragten zu stellen.
Das Berufsbild der Datenschutzbeauftragten ist weiter gesetzlich reglementiert. Wie eine Marktuntersuchung zeigte, gibt es im Bereich der Ausbildung oder Schulung Datenschutzbeauftragter viele Anbieter von Schulungen, Aus- und Fortbildungen sowie ausgestellten Zertifikaten. Das Vorhandensein spezieller Zertifikate oder Abschlüsse wird seitens der Datenschutzaufsichtsbehörden zudem nicht gefordert. Sie empfehlen auch keine bestimmten Fortbildungsmaßnahmen. Seitens der Aufsichtsbehörden wurde das jeweilige Fachwissen von Datenschutzbeauftragten nur im Einzelfall überprüft, zum Beispiel im Rahmen eines Beschwerdeverfahrens oder bei einer Kontrolle. Die Prüfung erfolgt ebenfalls individuell und im Lichte des Umfangs und der Formen der jeweiligen Datenverarbeitungen beim Verantwortlichen oder Auftragsverarbeiter. Im Zuge dessen können von den Aufsichtsbehörden jedoch auch Zertifikate oder ähnliche Ausbildungs- und Befähigungsnachweise herangezogen werden und für den Verpflichteten tatsächlich entlastend wirken. Die Marktuntersuchung hat hinsichtlich der Inhalte und des durch verschiedene kommerzielle Lehrgänge vermittelten Fachwissens jedoch ein sehr uneinheitliches Bild ergeben. Eine Vergleichbarkeit der verschiedenen Angebote kann so nicht angenommen werden. Es obliegt dem Einzelnen, die Angebote auf seine Bedürfnisse hin zu vergleichen und sich genauer nach Ausbildern, Lehrinhalten und Schulungsmaterialien zu erkundigen dazu empfiehlt der LfDI BW pragmatisch (oder hilflos?) „Man sollte sich daher, soweit vorhanden, den Internetauftritt des jeweiligen Anbieters genau ansehen und auch nach Referenzen fragen – oder persönlichen Empfehlungen folgen“ (LfDI BW, Praxisratgeber Die/der Beauftragte für den Datenschutz Teil II, 2019).
Es bleibt abzuwarten, ob die CEF 2023 diesbezüglich Empfehlungen zur Ausgestaltung, Überprüfung und Anerkennung von Ausbildungen oder Fortbildungen zum Datenschutzbeauftragten enthalten wird.
2.2 Ressourcenausstattung und Zugang zu Daten und Verarbeitungsvorgängen
Nach Art. 38 Abs. 2 DSGVO sind die Verantwortlichen dazu verpflichtet ihre Datenschutzbeauftragten mit den notwendige Ressourcen für die Aufgabenerfüllung auszustatten. Ihm oder ihr sind die zur Aufgabenerfüllung erforderlichen und geeigneten Räumlichkeiten und technischen Mittel zu geben. Zu den Ressourcen gehören auch Personal- und Sachmittel, Arbeitszeit, erforderlichenfalls Hilfspersonal sowie ein entsprechendes Budget (Sydow/Marsch DS-GVO/BDSG/Helfrich DS-GVO Art. 38 Rn. 40). Außerdem ist der oder derm Datenschutzbeauftragten Zugang zu Daten und Datenverarbeitungen zu gewähren. Durch einen entsprechenden Zugang und Zugriffsmöglichkeiten, der dem oder der Datenschutzbeauftragten erforderlichenfalls durch Systemadministratoren zu gewähren ist, kann er oder sie die Einhaltung der datenschutzrechtlichen Anforderungen kontrollieren (BeckOK DatenschutzR/Moos DS-GVO Art. 38 Rn. 13). Das weitreichende Zugriffs- und Kontrollrecht ist vertretbar, da Art. 36 Abs. 5 DS-GVO den oder die Datenschutzbeauftragte zur Verschwiegenheit verpflichtet. Die Verwirklichung solcher Zugriffsrechte dürfte insbesondere hinsichtlich der Einbindung durch externe Datenschutzbeauftragte vielen Verantwortlichen logistische Schwierigkeiten bereiten.
Es bleibt abzuwarten, ob die CEF 2023 diesbezüglich Missstände aufdecken kann und ob zum Beispiel externe Datenschutzbeauftragte wirklich über solche Einsichtsrechte verfügen.
2.3 Unabhängigkeit
Art. 38 Abs. 3 Satz 1 DS‑GVO bestimmt ie Weisungsfreiheit des oder der Datenschutzbeauftragten. Der Verantwortliche und der Auftragsverarbeiter haben dem oder der Datenschutzbeauftragten bei dessen Aufgabenerfüllung keine Anweisungen in Bezug auf die ihm oder ihr obliegenden gesetzlichen Aufgaben zu erteilen und dafür zu sorgen das ihm oder ihr solche Weisungen nicht erteilt werden (Sydow/Marsch DS-GVO/BDSG/Helfrich DS GVO Art. 38 Rn. 45).
Das BayLDA konkretisierte dazu, dass im Mittelpunkt der Prüfung neben Fragen der Qualifikation und Ressourcenausstattung vor allem mögliche Beeinträchtigungen der unabhängigen und effektiven Aufgabenwahrnehmung stehe. Insbesondere die Ausübung von Zusatzfunktionen könne dabei Interessenkonflikte begründen, wie etwa bei Compliance-Beauftragten, IT-Verantwortlichen oder Personalverantwortlichen. Ein besonderes Augenmerk gelte außerdem der Anforderung, dass Datenschutzbeauftragte unmittelbar der höchsten Managementebene des Verantwortlichen oder Auftragsverarbeiters zu berichten haben. Das BayLDA will sich dazu im Rahmen seiner Befugnisse sowohl Organigramme als auch Jahresberichte der Datenschutzbeauftragten vorlegen lassen.
Es bleibt abzuwarten, ob die CEF 2023 diesbezüglich Empfehlungen zur Sicherstellung der Unabhängigkeit von Datenschutzbeauftragten enthalten wird.