In den letzten Wochen haben sich sowohl die französische Datenschutzaufsichtsbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) (PDF) als auch die luxemburgische Datenschutzaufsichtsbehörde Commission nationale pour la protection des données (CNPD) (PDF) zu Anforderungen an betriebliche Datenschutzbeauftragte geäußert. Zuvor hatte sich bereits die belgische Datenschutzaufsichtsbehörde, die Autorité de protection des données (APD) (PDF) hierzu geäußert. Diese Stellungnahmen und Entscheidungen nehmen wir zum Anlass, in diesem Beitrag die Anforderungen an die Qualifikation eines Datenschutzbeauftragten darzustellen und die Besonderheiten in Frankreich, Luxemburg und Belgien näher zu beleuchten.
Berufliche Qualifikation und Fachwissen des Datenschutzbeauftragten
Gem. Art. 37 Abs. 5 DSGVO wird der Datenschutzbeauftragte aufgrund seiner beruflichen Qualifikation und seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie seiner Fähigkeit, die Aufgaben gem. Art. 39 DSGVO zu erfüllen, benannt.
Die berufliche Qualifikation und das Fachwissen des Datenschutzbeauftragten sind im Falle einer Überprüfung durch die Datenschutzaufsichtsbehörde, auch im europäischen Ausland, immer wieder ein Streitthema. Auch wenn ein Datenschutzbeauftragter keine bestimmte Berufsausbildung durchlaufen haben muss, um die Funktion ausüben zu können, achten die Aufsichtsbehörden streng darauf, dass der Beauftragte die ihm nach der DSGVO übertragenen Aufgaben auch erfüllen kann.
So verhängte die belgische Datenschutzaufsichtsbehörde APD ein Bußgeld gegen eine Gemeinde (PDF), weil diese nicht ausreichend darlegen konnte, weshalb der benannte Datenschutzbeauftrage für die Ausübung seiner Funktion geeignet sei. Im Zuge der Untersuchung ließ die APD insbesondere das Argument nicht gelten, dass die Gemeinde den “geeignetsten” Bewerber ausgewählt habe: Nur weil eine bestimmte Person die geeignetste unter mehreren Kandidaten oder Bewerbern sei, bedeute dies nicht, dass sie tatsächlich auch geeignet sei. In ihrer Entscheidung betont die APD, dass es wichtig sei, sowohl auf die juristischen wie auch auf die technischen Kompetenzen des DSB zu achten.
Einen anderen Ansatz verfolgte erst kürzlich die luxemburgische Datenschutzaufsichtsbehörde CNPD: In einer Entscheidung vom 13. Oktober 2021 verhängte sie ein Bußgeld gegen ein Unternehmen, da der Datenschutzbeauftragte des Unternehmens nicht über mindestens drei Jahre Berufserfahrung im Bereich des Datenschutzes (PDF) verfügte. Eine solche Berufserfahrung sei jedoch erforderlich, um die notwendige Qualifikation nachzuweisen.
Weder die deutschen Aufsichtsbehörden (PDF) noch die französische CNIL in ihrem neu erschienenen Leitfaden für Datenschutzbeauftragte (PDF) setzen eine derartige zeitliche Berufserfahrung für die korrekte Benennung des Datenschutzbeauftragten voraus. Die Anforderungen an die Qualifikation und Eignung des DSB müssen aber auch hier im Zweifel detailliert nachgewiesen werden.
Zum Nachweis eines hinreichenden datenschutzrechtlichen Fachwissens ist erforderlich, dass die zum Datenschutzbeauftragten ernannte Person sämtliche Datenschutzvorschriften kennt, die für die Verarbeitungen der jeweiligen Stelle relevant sind, und diese auch anwenden kann. Dies umfasst insbesondere auch bereichsspezifische Datenschutzvorschriften.
Eine solche Kenntnis lässt sich in der Regel jedoch nur durch regelmäßige Fortbildung und Schulung des Datenschutzbeauftragten erreichen, da stetig neue Technologien und veränderte Gesetzesanforderungen zu berücksichtigen sind. Zur Ermöglichung dieser Fortbildung sowie zur Bereitstellung der fachlichen und personellen Ressourcen ist der Verantwortliche oder Auftragsverarbeiter ab Benennung des Datenschutzbeauftragten gemäß Art. 38 Abs. 2 DSGVO auch verpflichtet: “Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 39, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.”
Eine Alternative zur vollumfänglichen Qualifikation des Datenschutzbeauftragten kann im Einzelfall auch die Hinzuziehung von externen Experten zur Ergänzung des eigenen Fachwissens sein. Dass eine solche Vorgehensweise den rechtlichen Anforderungen genügt, hat bereits das LAG Mecklenburg-Vorpommern in seinem Urteil vom 25.02.2020 (Az. 5 Sa 108/19) bestätigt: “Verfügt der Datenschutzbeauftragte nur in einem Teilbereich über eine eigene Qualifikation, genügt es, wenn er im Übrigen auf fachkundige Mitarbeiter zurückgreifen kann.”
Dass sich der Datenschutzbeauftragte “ggf. durch Juristen und Datensicherheitsexperten beraten lassen” sollte (Taeger/Gabel/Scheja, 3. Aufl. 2019, DS-GVO Art. 37 Rn. 65) und “die – jederzeit bestehende, nicht durch vorherige Freigabeerfordernisse im Einzelfall, sondern allenfalls durch ein angemessenes Gesamtbudget beschränkte – Möglichkeit, bei komplizierteren Problemen externen Rechtsrat einzuholen oder IT-Fachleute hinzuzuziehen” eine geringere eigene Qualifikation des Datenschutzbeauftragten ausgleichen kann (Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 37 Rn. 34), ist auch in der wissenschaftlichen Literatur nahezu einhellige Meinung.
Eine solche Vorgehensweise hat neben der Schonung der eigenen personellen Ressourcen und Kapazitäten auch zum Vorteil, dass die zum Datenschutzbeauftragten ernannte Person nicht in allen Bereichen des Datenschutzrechts gleichermaßen qualifiziert sein muss. Die punktuelle Hinzuziehung externer Experten im Bedarfsfall ist daher in der Praxis häufig die geeignetere Option und ist insbesondere auch geeignet, Lastspitzen abzufangen.
Fazit
Zahlreiche bereits ergangene Entscheidungen und verhängte Bußgelder gegen Unternehmen aufgrund der fehlenden oder fehlerhaften Benennung eines Datenschutzbeauftragten zeigen, dass dieses Erfordernis der DSGVO und des BDSG höchste Relevanz hat. Auch bei der Wahrnehmung der Aufgaben durch den Datenschutzbeauftragten unterlaufen hier aufgrund der Komplexität der Vorgaben und der rechtlichen Anforderungen regelmäßig vermeidbare Fehler.
Unternehmen sollten daher neben der ordnungsgemäßen Benennung und der Qualifikation des Datenschutzbeauftragten zur Vermeidung von Bußgeldern – insbesondere bei komplexen Fragestellungen – auf externe und spezialisierte Rechtsberatung zurückzugreifen.
zurück