Eine der Pflichten von Datenschutzbeauftragten (DSB) ist die Zusammenarbeit mit Aufsichtsbehörden. Und wir werden oft gefragt, ob ein DSB deswegen über die Köpfe der Geschäftsführung hinweg entscheiden und einen Datenschutzverstoß direkt an die Behörden melden kann – oder vielleicht sogar muss.
In diesem Artikel beleuchten wir die Pflichten eines externen Datenschutzbeauftragten – von der Pflicht zur Zusammenarbeit mit den Aufsichtsbehörden bis zur Verschwiegenheitspflicht. Und wir klären, warum die Entscheidung, eine Datenpanne zu melden, fast immer beim Verantwortlichen (also dem Unternehmen) liegt.
Das Wichtigste in Kürze:
- Kurz zusammengefasst ist ein DSB für die Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften im Unternehmen verantwortlich.
- Dazu gehört es, die Abläufe der Datenverarbeitung im Unternehmen zu überwachen und Datenschutzmaßnahmen zu steuern.
- Dabei unterliegt ein DSB der Verschwiegenheitspflicht zum Schutz von Betroffenen.
- Wird ein Datenschutzverstoß im Unternehmen bekannt, nimmt der DSB eine beratende Funktion gegenüber der Geschäftsführung ein und ist – falls eine Meldung des Verstoßes erfolgt – für die Zusammenarbeit mit der Aufsichtsbehörde zuständig.
- Das bedeutet jedoch nicht, dass ein DSB sich ohne Zustimmung der Geschäftsführung mit Aufsichtsbehörden in Verbindung setzt. Ausnahmen sind nur in äußersten Extremfällen denkbar.
In diesem Beitrag:
- Die Pflichten eines externen Datenschutzbeauftragten
- Die Verschwiegenheitspflicht von Datenschutzbeauftragten
- Bei schwerwiegenden Datenschutzverstoß: So weit reichen die Pflichten und Befugnisse des DSB
- Die Zusammenarbeit mit Aufsichtsbehörden – so weit reicht die Pflicht des DSB
- Zusammenfassung
Die Pflichten eines externen Datenschutzbeauftragten
Gesetzlich sind die Aufgaben eines Datenschutzbeauftragten (DSB) in Art. 39 der DSGVO geregelt. Kurz zusammengefasst ist ein DSB – ganz egal, ob ein interner oder externer – für die Umsetzung der Anforderungen der DSGVO im Unternehmen verantwortlich. Dazu gehört es, die Abläufe der Datenverarbeitung im Unternehmen zu überwachen und Datenschutzmaßnahmen zu steuern (auch bekannt als „Controlling und Monitoring“).
Laut DSGVO sollte ein DSB mindestens folgende Aufgaben erfüllen:
- Beratung von Verantwortlichen, Auftragsverarbeitern und Beschäftigten bezüglich ihrer Pflichten zur Einhaltung der DSGVO und anderen Datenschutzvorschriften
- Überwachung der Einhaltung der DSGVO, Ausarbeitung von Datenschutzstrategien einschließlich der Zuweisung von Zuständigkeiten und Sensibilisierung und Schulung der Mitarbeiter
- Beratung im Zusammenhang mit der Datenschutz-Folgeabschätzung und Überwachung ihrer Durchführung
- Zusammenarbeit mit der Aufsichtsbehörde
- Anlaufstelle für die Aufsichtsbehörde mit der Verarbeitung zusammenhängenden Fragen
Hier erfahren Sie alles weitere über die Position des externen Datenschutzbeauftragten sowie dem Unterschied zu einer internen Lösung.
Wichtig: Auch wenn der DSB vom Unternehmen bezahlt wird, handelt er qua Gesetz in erster Linie im Interesse der Betroffenen, nicht im Interesse des Unternehmens. In dem Punkt unterscheidet er sich beispielweise vom Informationssicherheitsbeauftragten.
Mehr zum Thema Datenschutz und Informationssicherheit finden Sie in diesem Beitrag.
Die Verschwiegenheitspflicht von Datenschutzbeauftragten
Die Verschwiegenheitspflicht des DSB ergibt sich aus den Interessen der Betroffenen. In der DSGVO ist die Verschwiegenheitspflicht in Art. 38 DSGVO geregelt. Dort heißt es:
Wird dem Datenschutzbeauftragten ein Hinweis darauf gegeben, dass irgendwo im Unternehmen die Anforderungen der DSGVO nicht korrekt umgesetzt werden, dann darf dieser den Namen des Hinweisgebers sowie die Identität möglicher Betroffener nicht an Vorgesetzte weitergeben.
Ein Beispiel: Ein Marketing-Mitarbeiter hat bemerkt, dass der monatliche Newsletter ohne Double-opt-in-Einwilligungen versendet wird. Aus der Datenschutzschulung weiß er, dass das eigentlich nicht richtig ist und wendet sich an die interne Datenschutzbeauftragte. Weil er noch in der Probezeit ist, hat er Angst, dass seine Chefin von der Sache Wind bekommt und bittet die Datenschutzbeauftragte um Anonymität. Die Datenschutzbeauftragte ist zum Glück gut in ihrem Job und beraumt einen routinemäßigen Datenschutz-Check der Marketing-Prozesse an – ohne Verdacht auf einen möglichen Whistleblower zu erwecken. Dabei fragt sie unter anderem nach der Einwilligung für den Erhalt von Newslettern und merkt, dass überraschenderweise kein Double-opt-in eingeholt wird. Zusammen mit der Marketing-Managerin erarbeitet sie einen Plan, wie das ab sofort geändert werden kann. |
In diesem Beispiel besteht keine Meldepflicht an die Aufsichtsbehörde. Das Problem kann also intern geklärt werden. Etwas brenzliger wird es, wenn ein DSB Kenntnis von schwerwiegenden, gravierenden datenschutzrechtlichen Verstößen des Verantwortlichen erlangt.
Bei schwerwiegenden Datenschutzverstößen: So weit reichen die Pflichten und Befugnisse des DSB
Datenschutzbeauftragte sind zur Zusammenarbeit mit der Aufsichtsbehörde verpflichtet und müssen wahrheitsgemäß auf Fragen dieser antworten. Kann man also den Rückschluss ziehen, dass ein DSB sich an die Aufsichtsbehörde wenden muss, sobald ein gravierender Verstoß im Unternehmen bekannt wird?
Grundsätzlich besteht keine Meldepflicht. Diese ist nur in Ausnahmezuständen denkbar.
Zunächst einmal muss der DSB sich mit der Geschäftsführung zusammensetzen und diese über die nächsten Schritte unterrichten – zum Beispiel die gesetzliche 72-stündige Meldepflicht bei Datenpannen sowie mögliche Gegenmaßnahmen. Die Einhaltung der Meldepflicht liegt aber beim Verantwortlichen, also der Geschäftsführung des Unternehmens.
Wenn diese sich entscheidet, der gesetzlichen Meldepflicht nicht nachzukommen, dann ist es nicht die Pflicht des Datenschutzbeauftragten, sich über diese Entscheidung hinwegzusetzen. Die Befürchtung, dass der Datenschutzbeauftragte Datenpannen über die Köpfe der Führungsebene hinweg meldet, ist also nicht begründet.
Es sind allerdings Extremfälle denkbar, bei denen Leib und Leben von Betroffenen in Gefahr ist. Dann liegt der Fall anders, denn ein DSB hat auch eine ethische Verantwortung.
Mehr zum Thema Meldepflicht und Datenschutzverstöße finden Sie hier:
- Datenschutzverstoß: alles Wissenswerte im Überblick
- Beispiele und Meldepflichten für Datenschutzverstöße
- Reaktionsplan bei einer Datenpanne
Die Zusammenarbeit mit Aufsichtsbehörden – so weit reicht die Pflicht des DSB
Nehmen wir an, ein Datenschutzverstoß wurde an die Aufsichtsbehörde gemeldet. Die stellt im nächsten Schritt Ermittlungen an und wird versuchen, den Sachverhalt genau zu verstehen. Dabei muss der DSB auf Rückfragen antworten. Nur eine Frage ist von dieser Pflicht ausgenommen: Die nach der Identität von Hinweisgeber(n) und Betroffenen.
Geht es um die Verschwiegenheitspflicht von Datenschutzbeauftragten, ist damit immer genau das gemeint. Stillschweigen über Interna wird bei internen Datenschutzbeauftragten wie bei allen anderen Mitarbeitern über einen Arbeitsvertrag geregelt, bei externen Datenschutzbeauftragten über den Vertrag bzw. ein Non-Disclosure-Agreement (NDA).
Zusammenfassung
Datenschutzbeauftragte sind dazu verpflichtet, die Identität von Hinweisgebern und Betroffenen vertraulich zu behandeln und nicht an Vorgesetzte weiterzugeben. Die Verschwiegenheitspflicht reicht bis vor die Aufsichtsbehörde, wo DSB ein Zeugnisverweigerungsrecht bezüglich dieser Informationen hat.
Wird ein meldepflichtiger Datenschutzverstoß im Unternehmen bekannt, hat der DSB eine beratende Funktion. Entscheidet sich ein Verantwortlicher jedoch dazu, den Verstoß entgegen dem Gesetz nicht an eine Aufsichtsbehörde zu melden, so kann ein DSB sich in der Regel nicht über diese Entscheidung hinwegsetzen.