Frank­reich, Luxem­burg und Bel­gi­en: Die­se Anfor­de­run­gen gel­ten für Datenschutzbeauftragte

In den letz­ten Wochen haben sich sowohl die fran­zö­si­sche Daten­schutz­auf­sichts­be­hör­de Com­mis­si­on Natio­na­le de l’Informatique et des Liber­tés (CNIL) (PDF) als auch die luxem­bur­gi­sche Daten­schutz­auf­sichts­be­hör­de Com­mis­si­on natio­na­le pour la pro­tec­tion des don­nées (CNPD) (PDF) zu Anfor­de­run­gen an betrieb­li­che Daten­schutz­be­auf­trag­te geäu­ßert. Zuvor hat­te sich bereits die bel­gi­sche Daten­schutz­auf­sichts­be­hör­de, die Auto­ri­té de pro­tec­tion des don­nées (APD) (PDF) hier­zu geäu­ßert. Die­se Stel­lung­nah­men und Ent­schei­dun­gen neh­men wir zum Anlass, in die­sem Bei­trag die Anfor­de­run­gen an die Qua­li­fi­ka­ti­on eines Daten­schutz­be­auf­trag­ten dar­zu­stel­len und die Beson­der­hei­ten in Frank­reich, Luxem­burg und Bel­gi­en näher zu beleuchten.

Beruf­li­che Qua­li­fi­ka­ti­on und Fach­wis­sen des Datenschutzbeauftragten

Gem. Art. 37 Abs. 5 DSGVO wird der Daten­schutz­be­auf­trag­te auf­grund sei­ner beruf­li­chen Qua­li­fi­ka­ti­on und sei­nes Fach­wis­sens auf dem Gebiet des Daten­schutz­rechts und der Daten­schutz­pra­xis sowie sei­ner Fähig­keit, die Auf­ga­ben gem. Art. 39 DSGVO zu erfül­len, benannt.

Die beruf­li­che Qua­li­fi­ka­ti­on und das Fach­wis­sen des Daten­schutz­be­auf­trag­ten sind im Fal­le einer Über­prü­fung durch die Daten­schutz­auf­sichts­be­hör­de, auch im euro­päi­schen Aus­land, immer wie­der ein Streit­the­ma. Auch wenn ein Daten­schutz­be­auf­trag­ter kei­ne bestimm­te Berufs­aus­bil­dung durch­lau­fen haben muss, um die Funk­ti­on aus­üben zu kön­nen, ach­ten die Auf­sichts­be­hör­den streng dar­auf, dass der Beauf­trag­te die ihm nach der DSGVO über­tra­ge­nen Auf­ga­ben auch erfül­len kann.

So ver­häng­te die bel­gi­sche Daten­schutz­auf­sichts­be­hör­de APD ein Buß­geld gegen eine Gemein­de (PDF), weil die­se nicht aus­rei­chend dar­le­gen konn­te, wes­halb der benann­te Daten­schutz­be­auf­tra­ge für die Aus­übung sei­ner Funk­ti­on geeig­net sei. Im Zuge der Unter­su­chung ließ die APD ins­be­son­de­re das Argu­ment nicht gel­ten, dass die Gemein­de den “geeig­nets­ten” Bewer­ber aus­ge­wählt habe: Nur weil eine bestimm­te Per­son die geeig­nets­te unter meh­re­ren Kan­di­da­ten oder Bewer­bern sei, bedeu­te dies nicht, dass sie tat­säch­lich auch geeig­net sei. In ihrer Ent­schei­dung betont die APD, dass es wich­tig sei, sowohl auf die juris­ti­schen wie auch auf die tech­ni­schen Kom­pe­ten­zen des DSB zu achten.

Einen ande­ren Ansatz ver­folg­te erst kürz­lich die luxem­bur­gi­sche Daten­schutz­auf­sichts­be­hör­de CNPD: In einer Ent­schei­dung vom 13. Okto­ber 2021 ver­häng­te sie ein Buß­geld gegen ein Unter­neh­men, da der Daten­schutz­be­auf­trag­te des Unter­neh­mens nicht über min­des­tens drei Jah­re Berufs­er­fah­rung im Bereich des Daten­schut­zes (PDF) ver­füg­te. Eine sol­che Berufs­er­fah­rung sei jedoch erfor­der­lich, um die not­wen­di­ge Qua­li­fi­ka­ti­on nachzuweisen.

Weder die deut­schen Auf­sichts­be­hör­den (PDF) noch die fran­zö­si­sche CNIL in ihrem neu erschie­ne­nen Leit­fa­den für Daten­schutz­be­auf­trag­te (PDF) set­zen eine der­ar­ti­ge zeit­li­che Berufs­er­fah­rung für die kor­rek­te Benen­nung des Daten­schutz­be­auf­trag­ten vor­aus. Die Anfor­de­run­gen an die Qua­li­fi­ka­ti­on und Eig­nung des DSB müs­sen aber auch hier im Zwei­fel detail­liert nach­ge­wie­sen werden.

Zum Nach­weis eines hin­rei­chen­den daten­schutz­recht­li­chen Fach­wis­sens ist erfor­der­lich, dass die zum Daten­schutz­be­auf­trag­ten ernann­te Per­son sämt­li­che Daten­schutz­vor­schrif­ten kennt, die für die Ver­ar­bei­tun­gen der jewei­li­gen Stel­le rele­vant sind, und die­se auch anwen­den kann. Dies umfasst ins­be­son­de­re auch bereichs­spe­zi­fi­sche Datenschutzvorschriften.

Eine sol­che Kennt­nis lässt sich in der Regel jedoch nur durch regel­mä­ßi­ge Fort­bil­dung und Schu­lung des Daten­schutz­be­auf­trag­ten errei­chen, da ste­tig neue Tech­no­lo­gien und ver­än­der­te Geset­zes­an­for­de­run­gen zu berück­sich­ti­gen sind. Zur Ermög­li­chung die­ser Fort­bil­dung sowie zur Bereit­stel­lung der fach­li­chen und per­so­nel­len Res­sour­cen ist der Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter ab Benen­nung des Daten­schutz­be­auf­trag­ten gemäß Art. 38 Abs. 2 DSGVO auch ver­pflich­tet: “Der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter unter­stüt­zen den Daten­schutz­be­auf­trag­ten bei der Erfül­lung sei­ner Auf­ga­ben gemäß Arti­kel 39, indem sie die für die Erfül­lung die­ser Auf­ga­ben erfor­der­li­chen Res­sour­cen und den Zugang zu per­so­nen­be­zo­ge­nen Daten und Ver­ar­bei­tungs­vor­gän­gen sowie die zur Erhal­tung sei­nes Fach­wis­sens erfor­der­li­chen Res­sour­cen zur Ver­fü­gung stellen.”

Eine Alter­na­ti­ve zur voll­um­fäng­li­chen Qua­li­fi­ka­ti­on des Daten­schutz­be­auf­trag­ten kann im Ein­zel­fall auch die Hin­zu­zie­hung von exter­nen Exper­ten zur Ergän­zung des eige­nen Fach­wis­sens sein. Dass eine sol­che Vor­ge­hens­wei­se den recht­li­chen Anfor­de­run­gen genügt, hat bereits das LAG Mecklenburg-Vorpommern in sei­nem Urteil vom 25.02.2020 (Az. 5 Sa 108/19) bestä­tigt: “Ver­fügt der Daten­schutz­be­auf­trag­te nur in einem Teil­be­reich über eine eige­ne Qua­li­fi­ka­ti­on, genügt es, wenn er im Übri­gen auf fach­kun­di­ge Mit­ar­bei­ter zurück­grei­fen kann.”

Dass sich der Daten­schutz­be­auf­trag­te “ggf. durch Juris­ten und Daten­si­cher­heits­ex­per­ten bera­ten las­sen” soll­te (Taeger/Gabel/Scheja, 3. Aufl. 2019, DS-GVO Art. 37 Rn. 65) und “die – jeder­zeit bestehen­de, nicht durch vor­he­ri­ge Frei­ga­beer­for­der­nis­se im Ein­zel­fall, son­dern allen­falls durch ein ange­mes­se­nes Gesamt­bud­get beschränk­te – Mög­lich­keit, bei kom­pli­zier­te­ren Pro­ble­men exter­nen Rechts­rat ein­zu­ho­len oder IT-Fachleute hin­zu­zu­zie­hen” eine gerin­ge­re eige­ne Qua­li­fi­ka­ti­on des Daten­schutz­be­auf­trag­ten aus­glei­chen kann (Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 37 Rn. 34), ist auch in der wis­sen­schaft­li­chen Lite­ra­tur nahe­zu ein­hel­li­ge Meinung.

Eine sol­che Vor­ge­hens­wei­se hat neben der Scho­nung der eige­nen per­so­nel­len Res­sour­cen und Kapa­zi­tä­ten auch zum Vor­teil, dass die zum Daten­schutz­be­auf­trag­ten ernann­te Per­son nicht in allen Berei­chen des Daten­schutz­rechts glei­cher­ma­ßen qua­li­fi­ziert sein muss. Die punk­tu­el­le Hin­zu­zie­hung exter­ner Exper­ten im Bedarfs­fall ist daher in der Pra­xis häu­fig die geeig­ne­te­re Opti­on und ist ins­be­son­de­re auch geeig­net, Last­spit­zen abzufangen.

Fazit

Zahl­rei­che bereits ergan­ge­ne Ent­schei­dun­gen und ver­häng­te Buß­gel­der gegen Unter­neh­men auf­grund der feh­len­den oder feh­ler­haf­ten Benen­nung eines Daten­schutz­be­auf­trag­ten zei­gen, dass die­ses Erfor­der­nis der DSGVO und des BDSG höchs­te Rele­vanz hat. Auch bei der Wahr­neh­mung der Auf­ga­ben durch den Daten­schutz­be­auf­trag­ten unter­lau­fen hier auf­grund der Kom­ple­xi­tät der Vor­ga­ben und der recht­li­chen Anfor­de­run­gen regel­mä­ßig ver­meid­ba­re Fehler.

Unter­neh­men soll­ten daher neben der ord­nungs­ge­mä­ßen Benen­nung und der Qua­li­fi­ka­ti­on des Daten­schutz­be­auf­trag­ten zur Ver­mei­dung von Buß­gel­dern – ins­be­son­de­re bei kom­ple­xen Fra­ge­stel­lun­gen – auf exter­ne und spe­zia­li­sier­te Rechts­be­ra­tung zurückzugreifen.

Haus­nach­richt

Für den 23. und 24. Juni 2022 laden wir Sie ein, auf unse­rer Hybrid-Veranstaltung Digi­tal Busi­ness Con­fe­rence über aktu­el­le Ent­wick­lun­gen im Daten­schutz­recht, Updatever­pflich­tun­gen für Her­stel­ler und Ver­käu­fer von digi­ta­len Pro­duk­ten, neue regu­la­to­ri­sche Vor­ga­ben für Cyber­si­cher­heit sowie zahl­rei­che wei­te­re brand­ak­tu­el­le The­men rund um digi­ta­le Ser­vices und Pro­duk­te zu diskutieren.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.