Juristische Person als DSB

Ich hatte einem Freund zugesagt zu prüfen, ob anstelle einer Person ein Unternehmen, d. h. eine juristische Person (sprich UG, GmbH usw.) als externer DSB benannt werden kann. Also schauen wir mal…

Irgendwer sagte irgendwann zu mir: „Ein Blick in das Gesetz erleichtert die Rechtsfindung.“ Das mag ja vielleicht für Juristen zutreffen, ich als Diplom-Kaufmann kann damit, zumindest bei diesem Gesetz, nicht immer wirklich viel anfangen.

Trotzdem, probieren geht über studieren oder tun wir das nicht gerade und genau umgekehrt, ach egal, also ich blicke in das Gesetz und zwar in Art. 37 DS-GVO.

Hier steht in Abs. 1 S. 1: „Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten,[…]

Hier steht auch unter Abs. 7: „Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.

Upsala…

Da lese ich zunächst mal die Einzahl heraus. Nun ist ja Gesetzestext in der Tat auslegbar bzw. auslegungsbedürftig. Auch sollte man bei diesem Gesetz (Verordnung?) die englische Version zu rate ziehen, da mir einige „Ungenauigkeiten“ bei der Übersetzung durchaus aufgefallen sind, und das bei meinem miserablen Englisch. Zudem kann man die Aussagen bzw. WorkingPaper und Orientierungshilfen der Artikel 29 Gruppe, sowie der deutschen Aufsichtsbehörden als Auslegungshilfen heranziehen. Ziel der (Des-)Orientierungshilfen der Aufsichtsbehörden sollte es sein europaweit eine einheitliche Auslegung und Anwendung der DS-GVO mit Ihren ungenauen Rechtsbegriffen hinzubekommen.

Na ja, ob das gelungen ist, aber schauen wir mal…

Die DS-GVO sieht die Benennung eines DSB weiterhin vor. Die Regelungen hierzu sind in Abschnitt 4, Artikel 37, 38 und 39 DS-GVO zu finden. Auch im neuen Bundesdatenschutzgesetz (BDSG-neu), genauer gesagt in § 38 BDSG-neu, sind Regelungen zum DSB zu finden.

Die Artikel-29-Gruppe, in der die europäischen Datenschutzaufsichtsbehörden zusammenarbeiten, hat ein WorkingPaper (WP) zum DSB (WP 243) veröffentlicht. Auch die Datenschutzkonferenz (DSK), sowie einzelne deutsche Aufsichtsbehörden haben sich bereits zum DSB geäußert. .

Benennung eines DSB nach der DS-GVO

Art. 37 DS-GVO differenziert zwischen den Fällen, in denen auf jeden Fall ein DSB zu benennen ist, und denen, in denen es den nationalen Gesetzgebern überlassen bleibt, weitere Regelungen zu treffen.

Nach Art. 37 Abs. 1 DS-GVO ist durch den Verantwortlichen und den Auftragsverarbeiter auf jeden Fall ein DSB zu benennen, wenn eine der folgenden Voraussetzungen gegeben ist:

  • Öffentliche Stelle:
    Die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt. Ausgenommen sind hiervon Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln.
  • Kerntätigkeit: Überwachung von Personen
    Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
  • Kerntätigkeit: Verarbeitung von besonderen Datenkategorien oder Strafrechtsdaten
    Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DS-GVO (sensitive Daten) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO (Daten über strafrechtliche Verurteilungen).

Neu ist, dass ab Geltung der DS-GVO auch der Auftragsverarbeiter in den oben genannten Fällen dazu verpflichtet ist, einen Datenschutzbeauftragten zu benennen. Für öffentliche Stellen gibt es nach der DS-GVO keinen Regelungsspielraum, da die DS-GVO insoweit abschließend ist (Art. 37 Abs. 1 lit. a DS-GVO).

Benennung eines DSB nach § 38 BDSG-neu

Die Öffnungsklausel des Art. 37 Absatz 4 DS-GVO sieht vor, dass der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen DSB auf freiwilliger Basis benennen können, es sei denn, ein Mitgliedsstaat schreibt die Benennung ausdrücklich vor. Der Bundesgesetzgeber hat diesen Regelungsspielraum genutzt, um die Pflicht zur Benennung von betrieblichen DSB dem in Deutschland bestehenden „Status quo“ anzupassen (vgl. § 4f BDSG-alt sowie § 38 BDSG-neu).

Demnach ist eine Benennung eines Datenschutzbeauftragten auch in folgenden Fällen erforderlich:

  • es werden in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Absatz 1 Satz 1 BDSG-neu) oder
  • es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen oder
  • es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.

In den beiden letztgenannten Fällen muss unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen ein DSB benannt werden (§ 38 Abs. 1 S. 2 BDSG-neu).

Hierüber besteht wohl Einigkeit

Da die DS-GVO lediglich von einer Benennung des Datenschutzbeauftragten sprechen, ist eine Schriftform, wie sie derzeit in § 4f Abs. 1 S. 1 BDSG-alt geregelt ist, nicht mehr vorgeschrieben. Aus Beweisgründen (Accountability siehe u. a. Art. 5 Abs. 2 DS-GVO) und zur Rechtsklarheit ist eine schriftliche Benennung eines DSB jedoch empfehlenswert. Zudem wird empfohlen, die Aufgaben des DSB durch den Verantwortlichen im Vertrag oder der Benennung explizit festzuhalten, damit sich der Verantwortliche und der DSB über seine Aufgaben im Klaren sind.
Da – anders als bisher in § 4f Abs. 1 S. 2 BDSG – keine Frist geregelt ist, ist die Pflicht sofort zu erfüllen, sobald die Voraussetzungen vorliegen. Bereits erfolgte Benennungen nach dem BDSG werden vor diesem Hintergrund Bestand haben. Stellung und Aufgaben des DSB werden nun aber nach der DS-GVO auszurichten sein. Es wird jedoch eine (formale) Neubestellung zur Klarstellung unter dem Regime der neuen Rechtsordnung empfohlen.

Externer DSB

Die Benennung von externen DSB ist zulässig. Der DSB kann seine Aufgaben auch auf Grundlage eines Dienstleistungsvertrages erfüllen (Art. 37 Abs. 6 DS-GVO). Anders als bspw. bisher im Datenschutzgesetz Nordrhein-Westfalen gilt dies auch für öffentliche Stellen, d. h. es könnten auch externe DSB bzw. Datenschutz-Beratungsunternehmen den behördliche DSB stellen. Hier könnten solche Unternehmen ggfs. über eine Ausweitung des Geschäftsmodells nachdenken.

LDI NRW

Die Benennung einer juristischen Person als DSB ist derweil laut Ansicht der LDI NRW wohl leider unzulässig, da laut LDI NRW Wortlaut und Systematik der DS-GVO nur natürliche Personen als DSB vorsehen.

So heißt es in EG 97:
In Fällen, in denen die Verarbeitung (…) im privaten Sektor durch einen Verantwortlichen erfolgt, (…) sollte der Verantwortliche oder der Auftragsverarbeiter bei der Überwachung der internen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person, die über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügt, unterstützt werden. (…) Derartige DSB sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.

Des Weiteren werden nach Art. 37 Abs. 5 DS-GVO die DSB auf Grundlage ihrer beruflichen Qualifikation und ihres Fachwissens benannt. Nur natürliche Personen können die nötige „berufliche“ Fachkunde und Zuverlässigkeit aufweisen und nur zu diesen ist eine vertrauliche Beziehung der Beteiligten möglich. Die zum DSB benannten natürlichen Personen dürfen jedoch Hilfspersonal einsetzen, wie etwa Vertreter, Datenschutzansprechpartner und Koordinatoren.

Artikel-29-Gruppe

Nach Ansicht der Artikel 29 Gruppe jedoch ist auch die Benennung einer juristischen Person zum DSB zulässig. Zwingend wäre dann wohl jedenfalls, dass die für die juristische Person handelnden und die Aufgaben des DSB ausführenden Personen die Voraussetzungen des vierten Abschnitts der DS-GVO erfüllen.

Und nun?

Die LDA Hessen empfiehlt, so lange eine verbindliche Klärung durch den Europäischen Datenschutzausschuss nicht stattgefunden hat, die Benennung einer juristischen Person zum DSB vorab mit der zuständigen Datenschutzaufsichtsbehörde abzustimmen.
Das wäre dann das Henne-Ei-Problem, denn gerade die Aufsichtsbehörde die für mich zuständig ist (LDI NRW) verneint die Benennungsmöglichkeit. Wie diese Abstimmung mit der zuständigen Datenschutzaufsicht dann ausgeht kann ich ohne Blick in die Glaskugel vorhersagen, …

Sollte man die Abstimmung nicht vornehmen wird es das erst Mal spannend, wenn der zuständige DSB an die zuständige Datenschutzaufsichtsbehörde namentlich gemeldet werden muss und spätestens dann wenn eine GmbH oder UG bei der LDI NRW benannt wird. Da hätte man wohl direkt die Datenschutzaufsicht im Hause, bzw. der Verantwortliche (das Unternehmen für das man tätig ist) unangenehme Fragen zu beantworten.

Ich empfehle an dieser Stelle dann auch den DSB bis zur Klärung im europäischen Datenschutzausschuss vorerst namentlich zu benennen.

Sollte der Sachverhalt durch den europäischen Datenschutzausschuss positiv geklärt werden, so sind immer noch diverse Vorgaben zu erfüllen. Jedoch wären diese es wert, wenn man dadurch Flexibilität bei der innerbetriebliche Gestaltung des externen DSB bekommt. Jedoch scheint vorerst eine einfache Benennung einer Person zum DSB in NRW einfacher zu sein…

So schreibt die LDI NRW: „Ab dem 25. Mai 2018 sind der Aufsichtsbehörde die Kontaktdaten mitzuteilen, vorher werden Mitteilungen nicht berücksichtigt. Ab Geltung der EU-Datenschutz-Grundverordnung (25. Mai 2018) werden Verantwortliche und Auftragsverarbeiter dazu verpflichtet sein, die Kontaktdaten ihrer oder ihres Datenschutzbeauftragten der zuständigen Aufsichtsbehörde mitzuteilen. Für Stellen mit Sitz in Nordrhein-Westfalen ist die LDI NRW zuständige Aufsichtsbehörde. Vor diesem Zeitpunkt ist eine solche Mitteilung an die LDI NRW nicht erforderlich. Die deutschen Aufsichtsbehörden arbeiten an einer Lösung zur Umsetzung der Mitteilungspflicht der Kontaktdaten der oder des Datenschutzbeauftragten. Es ist beabsichtigt, eine Möglichkeit zur Online-Meldung über die Homepage der LDI NRW anzubieten, so dass die Mitteilungen auf elektronischem Wege entgegen genommen werden. Mitteilungen, die vor der Fertigstellung eingehen, können nicht berücksichtigt werden. Welche Daten konkret zu melden sind, und weitere Informationen können in den kommenden Monaten auf unserer Homepage an dieser Stelle nachgelesen werden.

Soweit so gut oder abwarten und Kaffee trinken, wie ich so schön zu sagen pflege…

Die Quellen werde ich demnächst anfügen, und auch den Text ggfs. inhaltlich überarbeiten.

Read this next

Hello world!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert