Welche Rolle spielt der externe Datenschutzbeauftragte (Art. 37 DSGVO) im Verhältnis zum Verantwortlichen (Art. 4 Nr. 7 DSGVO) und Auftragsverarbeiter (Art. 4 Nr.7 DSGVO)?

Wenn es um Datenschutz im Sinne der Datenschutzgrundverordnung (DSGVO) geht, reden alle vom externen Datenschutzbeauftragten im Sinne des Art. 37 DSGVO, aber keiner redet vom sog. „Verantwortlichen“ oder dem „Auftragsverarbeiter“ als die zentralen Figuren der Europäischen Datenschutzgrundverordnung.

Dieses unterschätzte Phänomen, welches man immer wieder beim Erstkontakt mit Firmeninhabern beobachten kann, ist nicht ungefährlich. Denn es geht der Irrglaube um, dass mit der Bestellung eines Datenschutzbeauftragten oder der Benennung eines internen Datenschutzbeauftragten bzw. eines Datenschutzkoordinators die Angelegenheit weitestgehend für den Verantwortlichen erledigt ist. Dieser Annahme folgend wird häufig der externe Datenschutzbeauftragte der Landesdatenschutzbehörde gemeldet, die Website kurz überprüft und sich ein Ordner mit Formularen in den Schrank gestellt. Aber reicht das aus und ist der Verantwortliche damit vor den Maßnahmen der Aufsichtsbehörde (Art. 58 DSGVO), den Bußgeldern (Art. 83 DSGVO) und den Schadensersatzansprüchen Dritter (Art. 82 DSGVO) geschützt, keineswegs! All diese Maßnahmen richten sich einzig und allein gegen den Verantwortlichen und seinem Auftragsverarbeiter.

Wenn Sie mal in die Verlegenheit kommen, einen Blick in die DSGVO zu werfen, werden Sie feststellen, dass der Verantwortliche bereits in Art. 4 Nr. 7 DSGVO identifiziert und in Art. 24 DSGVO mit zahlreichen Verpflichtungen überzogen wird. Alles was Sie dann zwischen den Artikeln 4 und 24 DSGVO finden, ist zunächst einmal geeignet, nicht dem Datenschutzbeauftragten, sondern in erster Linie dem Verantwortlichen schlaflose Nächte zu bereiten.

Denn dort befinden sich die wesentlichen Grundsätze zur rechtmäßigen Datenverarbeitung, die schwierige Einwilligungsproblematik, die besonders schützenswerten Rechte aus Art. 9 DSGVO und natürlich die Betroffenenrechte in jedweder Vielfalt. In Art. 24 DSGVO und den Vorschriften danach wird es auch nicht unbedingt einfacher. Denn auch in den folgenden Vorschriften wird abermals der Verantwortliche und sein Auftragsverarbeiter dazu verpflichtet, geeignete technisch und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten zu ergreifen, um bei der Datenverarbeitung die Risiken für die Rechte und Freiheiten natürlicher Personen möglichst gering zu halten oder gar auszuschließen.

Wenn die ganze Last des Datenschutzes beim Verantwortlichen respektive beim Auftragsverarbeiter liegt, sollten wir zunächst klären, wer das eigentlich ist.

Die sog. Legaldefinition zum Verantwortlichen finden Sie in Art. 4 Nr. 7 DSGVO. Danach ist der Verantwortliche die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Das bedeutet, dass jeder, der eine nicht ausschließlich private Unternehmung startet, sei es in Form eines Vereins, einer BGB-Gesellschaft, als Einzelkaufmann, einer GmbH oder anderen Gesellschaftsform zum Verantwortlichen wird. In den Gesellschaften sind das die Vorstände, die vertretungsberechtigten Gesellschafter, die GmbH-Geschäftsführer usw.. Vereinfacht gesagt, trifft es immer denjenigen, der den Hut aufhat. Dies ist deshalb so, weil das Datenschutzrecht davon ausgeht, dass er derjenige ist, der darüber entscheidet, ob überhaupt personenbezogene Daten, welche Daten (was) und dann in welcher Art und Weise (wie) diese erhoben und weiterverarbeitet werden.

Sollte dieser Verantwortliche auf die Idee kommen, einen Teil seiner Datenverarbeitung an Dritte (außerhalb des eigenen Unternehmens) zu übertragen, dann steuern wir zielgerade auf den sog. Auftragsverarbeiter zu. Nach der Legaldefinition in Art. 4 Nr. 8 DSGVO ist Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Die gute Nachricht in diesem Zusammenhang ist, dass regelmäßig nicht schon die Weitergabe bspw. einer einzelnen Adresse (Name und Anschrift) diese dritte Person zum Auftragsverarbeiter macht. Zum Auftragsverarbeiter wird nur derjenige, der im Schwerpunkt seiner Beauftragung in der Datenverarbeitung von personenbezogenen Daten liegt. Ein klassisches Beispiel hierfür ist eine externe Buchhaltung, welche sowohl Beschäftigten als auch Kundendaten bearbeitet. In aller Regel sind Firmen, die eine fachfremde Leistung im Auftrag eines Verantwortlichen erbringen, wie bspw. ein Handwerker, hiervon ausgenommen.

Da nun feststeht, dass der Verantwortliche und sein Auftragsverarbeiter den Kopf hinhalten müssen, stellt sich die überaus berechtigte Frage, was macht eigentlich der externe Datenschutzbeauftragte und haftet er für irgendetwas?

Natürlich hat die Datenschutzgrundverordnung auch ihm eine Rolle zugewiesen. Etwas vereinfacht gesprochen, ist er der Kontrolleur des Datenschutzsystems und zugleich Berater des Verantwortlichen und des Auftragsverarbeiters. Weil aber diese vereinfachte Beschreibung nicht der wirklichen Rolle des Datenschutzbeauftragten gerecht wird, wenden wir uns mal wieder dem Gesetz zu.

Die Aufgaben des externen Datenschutzbeauftragten werden ausführlich in Art. 39 DSGVO beschrieben. Danach obliegen dem Datenschutzbeauftragten die Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters hinsichtlich ihrer Pflichten aus der Datenschutzgrundverordnung; die Überwachung und Einhaltung der DSGVO und anderer Datenschutzvorschriften; auf Anfrage die Beratung im Zusammenhang mit der Erstellung einer Datenschutzfolgeabschätzung und deren Überwachung und die Zusammenarbeit mit der Aufsichtsbehörde. Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt. Was bedeutet das?

Das bedeutet, Sie als Verantwortlicher oder als Auftragsverarbeiter bleiben selbstverständlich in der Pflicht, die personenbezogenen Daten nach den Vorschriften der DSGVO zu erheben, zu verarbeiten und auch zu schützen. Sie müssen einen System in Ihr Unternehmen implementieren, welches Ihnen erlaubt, rechtssicher mit den Daten Ihrer Mitarbeiter und Kunden umzugehen. Wenn Sie sich eines externen Datenschutzbeauftragten bedienen, unabhängig von der Frage, ob Sie einen bestellen müssen, kann und wird dieser Ihnen bei der wahrlich nicht einfachen Umsetzung der DSGVO helfen und beratend zur Seite stehen. Sollten Sie sich bei der Umsetzung der Verordnung schwer tun, weil der Datenschutz neben der eigentlichen Tätigkeit Ihnen das letzte bisschen Freizeit raubt, werden Sie mit einem Datenschutzbeauftragten einen Weg finden, das Thema nervenschonend peu a` peu umzusetzen. Er wird Ihnen auch behilflich sein, wenn Sie sich im Dschungel neuer Technologien oder Software bewegen, wie bspw. derzeit die Schulen bei Videokonferenzsystemen. Er wird Sie vertraut machen mit den Verlautbarungen Ihres Landesdatenschutzbeauftragten zu bestimmten Themen und Sie und Ihre Mitarbeiter schulen. Weniger sollten und brauchen Sie nicht erwarten. Der Datenschutzbeauftragte ist sozusagen ein Spezialist an ihrer Seite. Als Verantwortlicher und Auftragsverarbeiter sollten Sie sich darüber im Klaren sein, dass er nicht gegen Sie sondern mit Ihnen arbeitet und versucht, Sie vor irgendwelchen Datenschutzvorfällen, vor Sanktionen wie Einschränkungen der Datenverarbeitung, vor Bußgeldern der Landesdatenschutzbehörden oder auch der Inanspruchnahme von Dritten auf Schadensersatz zu schützen.

Eine gute und effiziente Arbeit des Datenschutzbeauftragten setzt allerdings voraus, dass Sie als Verantwortlicher ihm Einblicke in Ihre Systeme und Strukturen gewähren und offen über Missstände reden. Die Situation ist mit der vergleichbar, wie wenn Sie zum Arzt gehen. Wenn Sie gut beraten werden wollen, müssen Sie sich einen Facharzt suchen, offen über Ihre Beschwerden kommunizieren und dann möglichst auch seinen Empfehlungen folgen.

Falls sie einen externen Datenschutzbeauftragten bestellen, um nur formal ein Häkchen auf Ihrer langen Aufgabenliste machen zu können, haben Sie nichts erreicht. Denn eines steht fest. Die Zukunft ist digital und dies lässt sich, auch wenn sich mancher das anders wünscht, nicht mehr zurückdrehen. Unabhängig von der Frage, ob man einen Sportverein oder ein großes Unternehmen betreibt, wird man nicht mehr umhinkommen, personenbezogene Daten vor allem digital zu verarbeiten. Sobald Sie dies tun, sind Sie als Verantwortlicher verpflichtet, es richtig zu machen und dabei kann Ihnen ein externer Datenschutzbeauftragter wirklich hilfreich sein.

Sollte ein externer Datenschutzbeauftragter Sie tatsächlich fahrlässig oder vorsätzlich falsch beraten haben und Ihnen daraus ein Schaden entstanden sein, so können Sie ihn selbstverständlich in Regress nehmen. Das bedeutet, dass Sie einen bei Ihnen entstanden Schaden unter bestimmten Voraussetzungen weiterreichen können. Das vorrangige Ziel aller Beteiligten sollte allerdings darin bestehen, es nicht zu einem Schaden kommen zu lassen. Denn dem Verantwortlichen und Auftragsverarbeiter drohen zunächst alle Sanktionen, Strafen und Schadensersatzansprüche, die die Datenschutzgrundverordnung bei Datenschutzverletzungen vorsieht.