EuGH zum Filesharing über Familienanschluss
26. Februar 2019
„Zügig“ unterwegs
23. April 2019

Die Einführung der DSGVO hat bei zahlreichen Unternehmen und Vereinen dazu geführt, dass diese sich teils erstmals mit dem Thema Datenschutz beschäftigen. Häufig kommt die Erkenntnis, dass ein Datenschutzbeauftragter benannt werden muss, z.B. weil mindestens zehn Mitarbeiter ständig personenbezogene Daten verarbeiten (§ 38 Abs. 1 S. 1 BDSG, Art. 37 DSGVO). Und wenn schon ein Datenschutzbeauftragter benannt werden muss, dann „kann der sich auch um den gesamten Datenschutz kümmern“.

Nein, so leicht ist es nicht. Denn die meisten Pflichten der DSGVO richten sich an den Verantwortlichen (Art. 4 Nr. 7 DSGVO). Dies ist z.B. bei einer GmbH der Geschäftsführer oder beim Verein der Vorstand. Gem. Art. 39 DSGVO ist es die Aufgabe des Datenschutzbeauftragten, den Verantwortlichen zu beraten und die Einhaltung des Datenschutzrechts zu überwachen. Dabei macht es keinen Unterschied, ob der Datenschutzbeauftragte intern oder extern benannt wurde. Es ist zwar grundsätzlich denkbar, dem Datenschutzbeauftragten Aufgaben zu übertragen. Dies darf aber nicht dazu führen, dass der Datenschutzbeauftragte in einen Interessenkonflikt gerät, etwa weil er seine eigene Arbeit überprüfen müsste. Aus diesem Grunde wird es z.B. als kritisch betrachtet, wenn die IT-Abteilung oder der IT-Dienstleister eines Unternehmens zugleich Datenschutzbeauftragter ist: Er würde seine eigene Arbeit kontrollieren (müssen).

In meiner anwaltlichen Beratungspraxis sowie als externer Datenschutzbeauftragter traten in letzter Zeit vermehrt zwei Fragen auf: Darf dem Datenschutzbeauftragten die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 DSGVO aufgegeben werden? Und darf der Datenschutzbeauftragte Auftragsverarbeitungsvereinbarungen gem. Art. 28 DSGVO für den Verantwortlichen abschließen?

Darf dem Datenschutzbeauftragten die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 DSGVO aufgegeben werden?

Diese Frage ist derzeit noch nicht geklärt. Empfehlen kann ich es jedenfalls nicht.

Hierfür zunächst ein praktischer Grund: Für die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten sind sehr genaue Kenntnisse des Unternehmens sowie der einzelnen Abläufe erforderlich. Bei „irgendeinem Sachbearbeiter“ oder einem externen Datenschutzbeauftragten besteht die Gefahr, dass die Prozesse nicht richtig bekannt sind, sodass letztlich das Verzeichnis gem. Art. 30 Abs. 1 DSGVO fehlerhaft erstellt wird.

Rechtlich lässt sich diesbezüglich in beide Richtungen argumentieren: Der Datenschutzbeauftragte soll den Verantwortlichen unterrichten und beraten. Es dürfen ihm auch Aufgaben zugewiesen werden. Vor diesem Hintergrund ist es naheliegend, ihn mit einer Aufgabe zu betrauen, welche er fachlich (Datenschutz) am besten bearbeiten kann. Die DSGVO enthält keine Regelung, welche eine solche Aufgabenzuweisung ausdrücklich untersagt. Unzulässig ist gem. Art. 38 Abs. 6 DSGVO eine Aufgabenzuweisung lediglich dann, wenn sie zu einer Interessenkollision führt. Im Hinblick auf die Unterrichtungs- und Beratungspflicht des Datenschutzbeauftragten erscheint dies nicht problematisch. Jedoch stellt sich die Frage, ob der Datenschutzbeauftragte noch seiner Überwachungspflicht (hier bzgl. der Erstellung und Führung des Verzeichnisses der Verarbeitungstätigkeiten) gerecht werden kann.

Eine pragmatische Lösung könnte darin bestehen, den Datenschutzbeauftragten ein Verzeichnis der Verarbeitungstätigkeiten vorbereiten zu lassen, welches dann vom Verantwortlichen überprüft, ergänzt und ggf. übernommen wird. In diesem Fall hat der Datenschutzbeauftragte den Verantwortlichen pflichtgemäß unterstützt, ohne in einen Interessenkonflikt mit seiner Überwachungspflicht zu geraten. Er kann weiterhin überprüfen, ob der Verantwortliche das Verzeichnis finalisiert und künftig aktualisiert.

Mit etwas Risikobereitschaft kann man natürlich das Verzeichnis der Verarbeitungstätigkeiten vom Datenschutzbeauftragten erstellen lassen. Sollte diese Vorgehensweise allerdings von der überprüfenden Datenschutzaufsichtsbehörde nicht akzeptiert werden, dürfte die Benennung des Datenschutzbeauftragten aufgrund der Interessenkollision unwirksam sein, was seinerseits einen bußgeldbewehrten Verstoß gegen die DSGVO darstellt.

Darf der Datenschutzbeauftragte Auftragsverarbeitungsvereinbarungen gem. Art. 28 DSGVO für den Verantwortlichen abschließen?

Die Frage nach einer möglichen Interessenkollision stellt sich auch dann, wenn das Thema „Datenschutz“ komplett auf den Datenschutzbeauftragten „abgewälzt“ wird und dieser auch die nach Art. 28 DSGVO erforderlichen Auftragsverarbeitungsvereinbarungen abschließen soll. Eine diesbezügliche Rückfrage beim Unabhängigen Landeszentrum für Datenschutz in Kiel führte zu dem Ergebnis, dass diese Vorgehensweise dort als „kritisch“ betrachtet werde. Eine verbindliche Entscheidung gibt es hierzu leider auch nicht.

Schon wegen der damit verbundenen vertraglichen Pflichten und Haftungsrisiken sollte eine Auftragsverarbeitungsvereinbarung nicht durch den Datenschutzbeauftragten, sondern durch den Verantwortlichen abgeschlossen werden. Wenn ein (interner/externer) Datenschutzbeauftragter dennoch mit entsprechenden Vertragsabschlüssen beauftragt wird, sollte bei der Bevollmächtigung darauf geachtet werden, dass sich diese ausschließlich auf den Abschluss der Auftragsverarbeitungsvereinbarung(en) bezieht und nicht das zugrundeliegende Geschäft umfasst. Hierdurch kann m.E. eine mögliche Interessenkollision gelockert werden, da der Datenschutzbeauftragte nicht sein eigenes wirtschaftliches Handeln auf Datenschutzkonformität überprüfen muss, sondern nur mit deren Sicherstellung beauftragt ist.

Christopher Schack
Christopher Schack
Dieser Artikel wurde verfasst von Christopher Schack. Er ist Rechtsanwalt, Fachanwalt für IT-Recht sowie TÜV-zertifizierter Datenschutzbeauftragter.