31. Oktober 2016

Datenschutzbußgeld weil Unternehmen IT-Leiter zum Datenschutzbeauftragten bestellt

Der von der Aufsichtsbehörde für den Datenschutz entschiedene Fall

In einem bayerischen Unternehmen bekleidete der dortige “IT-Manager” auch die Position des betrieblichen Datenschutzbeauftragten (DSB). Das Bayerische Landesamt für Datenschutzaufsicht (LDA) beanstandete diesen Umstand. Es hielt die exponierte Position eines IT-Managers für unvereinbar mit den Aufgaben eines DSB. Dies liefe nach Auffassung des LDA letztlich auf eine Datenschutzkontrolle eines maßgeblichen Funktionsträgers im Unternehmen durch sich selbst hinaus. Eine solche Selbstkontrolle widerspreche der Funktion eines DSB. Dieser soll gerade eine unabhängige Instanz sein, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt. Diese Aufgabe könne der DSB nicht erfüllen, wenn er gleichzeitig maßgebliche operative Verantwortung für Datenverarbeitungsprogramm besitze.

Das LDA wies das Unternehmen auf diese Bedenken hin. Zudem forderte die Datenschutzbehörde das Unternehmen auf, einen DSB zu bestellen, der keine derartigen Interessenkollision unterliege. Das Unternehmen kam dieser Aufforderung über Monate hinweg nicht nach. Daraufhin verhängte das LDA gegen das Unternehmen eine Geldbuße. Die festgesetzte Geldbuße ist mittlerweile rechtskräftig. (PM v. 20.10.2016).

Die derzeitige Rechtslage

Beschäftigen Unternehmen mehr als neun Personen an Computerarbeitsplätzen oder mit anderen Formen der Datenverarbeitung, müssen Sie einen DSB bestellen. Dies kann ein Mitarbeiter oder ein externer DSB sein. Nach § 4f Abs. 2 Bundesdatenschutzgesetz (BDSG) dürfen Unternehmen nur solche Personen zum DSB bestellen, die über die für die Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit verfügen. Bestellt ein Unternehmen einen DSB der nicht den gesetzlichen Anforderungen genügt, nach Meinung der Aufsichtsbehörden für den Datenschutz umfasst die geforderte Zuverlässigkeit auch ein nicht unerhebliches Maß an Unabhängigkeit. Neben der Tätigkeit als DSB darf ein interner Mitarbeiter auch weitere Tätigkeiten ausüben. Gerade bei kleinen oder mittleren Unternehmen ist dies der Regelfall. Die sonstigen Aufgaben des DSB dürfen aber keinen Interessenkonflikt zu seiner Datenschutzfunktion darstellen. Diese Anforderung hatte das Unternehmen nach Auffassung des LDA beharrlich missachtet.

Hierzu Thomas Kranig, Präsident des LDA „Der betriebliche Datenschutzbeauftragte ist ein Erfolgsmodell und ein sehr wichtiges Element der Datenschutzorganisation in Deutschland. Die Funktion des Datenschutzbeauftragten kann aber nicht durch eine Person wahrgenommen werden, die daneben im Unternehmen noch Aufgaben innehat, die in einem Spannungsverhältnis mit einer unabhängigen, effektiven internen Aufsicht über den Datenschutz stehen. Unternehmen, die gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, können daher nur eine solche Person zum Datenschutzbeauftragten bestellen, die in der Lage ist, diese Aufgabe frei von sachfremden Zwängen auszuüben. Und wenn sie das trotz wiederholter Aufforderung nicht machen, müssen sie notfalls mit Bußgeld dazu gezwungen werden.”

Mit seiner Entscheidung geht das LDA über die bislang von der Rechtsprechung aufgestellten Anforderungen hinaus. In der Vergangenheit hatten Gerichte hier teilweise deutlich großzügiger geurteilt. Beispielsweise hatte das Bundesarbeitsgericht die Bestellung eines Betriebsratsmitglieds im Jahr 2011 nicht beanstandet (Az. 10 AZR 562/09). Zwar haben auch Betriebsräte über die Einhaltung des Datenschutzes und anderer Rechtsvorschriften zum Schutz der Arbeitnehmer zu wachen, § 80 Abs. 1 Nr. 1 Betriebsverfassungsgesetz (BetrVG). Zudem sind Betriebsräte und Arbeitgeber nach § 75 Abs. 2 BetrVG verpflichtet, die Persönlichkeitsrechte der Belegschaft zu schützen. Ihre wesentliche Aufgabe ist aber die Vertretung von Arbeitnehmerinteressen und nicht die Umsetzung des Datenschutzes im Unternehmen.

Handlungsempfehlungen und künftige Anforderungen nach der EU-Datenschutz-Grundverordnung (DSGVO)

Mit der ab Mai 2018 geltenden DSGVO drohen Unternehmen deutlich höhere Sanktionen, wenn sie gegen die Vorgaben zur Bestellung eines Datenschutzbeauftragten verstoßen. Sofern der deutsche Gesetzgeber die derzeitige Pflicht zur Bestellung eines DSB nicht abschafft oder anders regelt, müssen Unternehmen weiterhin einen DSB bestellen, wenn sie mehr als neun Personen bei der Datenverarbeitung beschäftigen. Denn nach Art. 37 Abs. 4 DSGVO müssen Verantwortliche oder Auftragsverarbeiter stets dann einen Datenschutzbeauftragten benennen, wenn dies nach dem Recht des jeweiligen Mitgliedstaats vorgeschrieben ist.

Auch nach dem künftigen Recht kann der Datenschutzbeauftragte andere Aufgaben und Pflichten im Unternehmen wahrnehmen. Allerdings müssen verantwortliche oder Auftragsverarbeiter sicherstellen, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen, Art. 38 Abs. 6 DSGVO. Bei Verstößen gegen diese Anforderung drohen Bußgelder von bis zu EUR 10 Millionen. Im Fall eines Unternehmens können die Bußgelder sogar bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes betragen, je nachdem welcher der Beträge höher ist, Art. 83 Abs. 4 DSGVO. Vor diesem Hintergrund kann man Unternehmen nur raten, genau darauf zu achten, dass der bestellte DSB und seine Position im Unternehmen den Anforderungen der DSGVO genügen. Er muss insbesondere über eine hinreichende berufliche Qualifikation und ein entsprechendes Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis verfügen. Zudem muss er zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben des DSB in der Lage sein, Art. 37 Abs. 5 DSGVO. Ferner müssen Unternehmen sicherstellen, dass der DSB ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird, Art. 30 Abs. 1 DSGVO. Zudem müssen sie dem DSB die zur Erfüllung seiner Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen – aber auch die zur Erhaltung seines Fachwissens erforderlichen Mittel – zur Verfügung stellen, Art. 38 Abs. 2 DSGVO. Auch Verstöße gegen die in Art. 30 Abs. 3 geregelte Weisungsfreiheit und Benachteiligungsabsicht sowie die Berichtslinie unmittelbar an die höchste Managementebene des Unternehmens sind bußgeldbewehrt.

Für den BvD Blog – Stefan Bachmann

Quelle: Hogan Lovells Unternehmensblog
Einen Beitrag zu dieser Entscheidung finden Sie ebenfalls in der BvD-Mitgliederinfo Nr. 47.
BvD-Blog

Online-Seminar: Künstliche Intelligenz

Webinar – Clear Web, Deep Web, Dark Web – eine Tauchfahrt in die Tiefen des Internets

Treffen der Regionalgruppe Sachsen

Treffen Regionalgruppe Schwäbisch Gmünd

DSGVO-Evaluation 2024

Stellungnahme zum Entwurf eines ersten Gesetzes zur Änderung des Bundesdatenschutzgesetzes

Datenschutzbußgeld weil Unternehmen IT-Leiter zum Datenschutzbeauftragten bestellt

Der von der Aufsichtsbehörde für den Datenschutz entschiedene Fall

Die derzeitige Rechtslage

Handlungsempfehlungen und künftige Anforderungen nach der EU-Datenschutz-Grundverordnung (DSGVO)

Das könnte Sie auch interessieren

Online-Seminar: Künstliche Intelligenz

Webinar – Clear Web, Deep Web, Dark Web – eine Tauchfahrt in die Tiefen des Internets

Der von der Aufsichtsbehörde für den Datenschutz entschiedene Fall

Die derzeitige Rechtslage

Handlungsempfehlungen und künftige Anforderungen nach der EU-Datenschutz-Grundverordnung (DSGVO)

Das könnte Sie auch interessieren

Daten-Dienstag online am 22.09.20: Frederick Richter zu „Chancen der Anonymisierung“

Die Bürokratielüge – wie die Reduzierung der Benennungspflicht die Bürokratie erhöht

BvD-Verbandstage 2019