Kategorien
Neueste Beiträge
Weisungsungebundenheit von externen Datenschutzbeauftragten
Wenn Verantwortliche nicht einen internen Beschäftigten zum Datenschutzbeauftragten benennen, sondern einen externen ist eines der Themen, die mitunter zur Sprache kommen die Weisungsungebundenheit von externen Datenschutzbeauftragten.
Übrigens: In diesem Beitrag beschreiben wir nicht die Weisungsungebundenheit nicht in dem Sinne, dass der Kunde dem Datenschutzbeauftragten gegenüber Weisungen ausspricht. Sondern wir gehen auf die mögliche innere Schranke eines Datenschutzbeauftragten ein, es dem Verantwortlichen als seinen Auftraggeber möglichst recht zu machen.
Stellung des Datenschutzbeauftragten (Art. 38 Abs. 3 DSGVO)
Die Pflicht zur Benennung eines Datenschutzbeauftragten (Art. 37 DSGVO, § 38 BDSG), dessen Aufgaben (Art. 39 DSGVO) und dessen Stellung innerhalb der Organisation des Verantwortlichen (Art. 38 DSGVO, § 6 BDSG) sind im Wesentlichen im Datenschutzrecht festgelegt. Wenn wir uns die Regelungen zur Stellung des Datenschutzbeauftragten in Art. 38 DSGVO ansehen, finden wir in Abs. 3 folgende Angaben: „Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.“ Genau hier scheint es nicht nur bei internen, sondern auch bei externen Datenschutzbeauftragten so manches Mal Missverständnisse zu geben.
Möglicher Fokus auf Dienstleistung im herkömmlichen Sinne
Wir konnten im Zuge von Networking-Veranstaltungen und sonstigen Erfahrungen u. a. heraushören, dass so manch externer Datenschutzbeauftragter den Auftraggeber freundlich stimmen möchte und in Sachen Datenschutz im vermeintlichen Interesse eben dieses Verantwortlichen seine Stellungnahme abgibt. Möglicherweise möchte ein Verantwortlicher einen bestimmten Auftragsverarbeiter gemäß Art. 4 Nr. 8 DSGVO nutzen, dessen Prüfung durch den Datenschutzbeauftragten aufzeigt, dass dieser die Vorgaben der DSGVO nicht erfüllt. Um den Verantwortlichen als Auftraggeber nicht zu verlieren, sagt der Datenschutzbeauftragte nun möglicherweise, der Auftragsverarbeiter könne aus datenschutzrechtlicher Sicht unbedenklich eingesetzt werden und weist nicht auf die datenschutzrechtlichen Probleme und Risiken beim Einsatz dessen hin. Dies dann eventuell aus Gründen, den Auftraggeber vermeintlich zu entlasten: Eventuell ist der Datenschutzbeauftragte der Annahme, er würde den Verantwortlichen entlasten, indem er sein „OK“ zu einem eigentlich aus datenschutzrechtlicher Sicht bedenklichen Dienst gibt. Dabei zu bedenken ist aber, dass der Verantwortliche weiterhin nach außen verantwortlich ist für die Einhaltung der DSGVO.
Kurz: Manche externen Datenschutzbeauftragten verlieren ihre Weisungsungebundenheit aus den Augen, während sie scheinbar die Dienstleistung in dem Sinne im Fokus haben, es „dem Kunden möglichst recht zu machen“. Während diese Herangehensweise bei Vertragsverhältnissen generell immer gewünscht ist, hält sie im Fall der Erfüllung der Aufgaben des Datenschutzbeauftragten mögliche Unannehmlichkeiten bereit.
Die Problematik dabei
Dabei ergibt sich das Problem, dass genau diese Unternehmen bzw. diese externen Datenschutzbeauftragten ihre Aufgaben als eben solche nicht mehr korrekt erfüllen. In Art. 39 DSGVO finden wir in den Absätzen mehrmals die Worte „Unterrichtung“, „Beratung“ und „Überwachung“. Diese Tätigkeit bezieht sich im Überblick darauf, die Datenschutzvorschriften einzuhalten. Diese Aufgabe erfüllt ein externer Datenschutzbeauftragter nicht, wenn er dem Kunden sagt, er könne einen Auftragsverarbeitungsvertrag unterschreiben, der allerdings Art. 28 Abs. 3 DSGVO nicht erfüllt. Natürlich hat der Datenschutzbeauftragte keine Weisungsbefugnis und es steht dem Kunden immer frei, sich in eigener Verantwortung über eine Empfehlung des Datenschutzbeauftragten hinwegzusetzen. Die Kunden externer Datenschutzbeauftragter werden sich aber in der Regel auf die Empfehlung des Datenschutzbeauftragten verlassen, schon, um sich selbst intern zu entlasten und nicht die Verantwortung dafür übernehmen zu müssen, wenn das Handeln gegen die Empfehlung des Datenschutzbeauftragten negative Konsequenzen (z. B. Bußgelder) für den Verantwortlichen hat.
Mögliche Folgen
Berät der externe Datenschutzbeauftragte nicht korrekt, nimmt er es in Kauf, dass den Kunden mögliche Negativfolgen treffen können. Bemerken eventuell die Konkurrenz oder sonstige externe Personen oder Beschäftigte solches Vorgehen, kann dies zu einer zivilrechtlichen Abmahnung oder einer Beschwerde bei der Datenschutzaufsichtsbehörde führen. Führt die Datenschutzaufsichtsbehörde aufgrund dieser Meldung oder sonstiger Kontrollmaßnahmen Prüfungen durch und entdecken Mängel bei der Umsetzung der DSGVO, trifft den Kunden möglicherweise eine Warnung, Verwarnung, Anordnung oder gar ein Bußgeld. Dies dann, obwohl er einen Datenschutzbeauftragten benannt hat, dessen Aufgabe es ist, ihn zur Umsetzung der Datenschutzvorschriften zu beraten und zu unterrichten. Diese Aufgabe umfasst dann auch, dem Kunden mitzuteilen, dass ein gewünschter Geschäftspartner aus Sicht des Datenschutzes nicht alle DSGVO-Anforderungen erfüllt und sich eventuell auch nicht darum bemüht, dies zu verbessern.
Keine Nachteile zu befürchten
Erfüllt ein externer Datenschutzbeauftragter dann tatsächlich seine Pflichten und berät im Sinne des Datenschutzes, darf ihm daraus kein Nachteil entstehen. Bei externen – natürlich auch bei internen im Sinne des Arbeitsvertrages – Datenschutzbeauftragten bedeutet dies also, dass er keine außerordentliche Vertragskündigung vom Kunden befürchten müssen sollte, weil die Meinung des Datenschutzbeauftragten dem Kunden nicht gefällt.
Interner vs. externer Datenschutzbeauftragter
Wer diesen Beitrag nun als Verantwortlicher liest, denkt sich womöglich, dass es eventuell vorteilhafter ist, einen internen Beschäftigten als Datenschutzbeauftragten zu benennen. In unserem Beitrag „Benennung eines internen oder externen Datenschutzbeauftragten“ haben wir etwaige Vor- als auch Nachteile eines solchen behandelt. In diesem Beitrag haben wir u. a. auch schon eine mögliche Befangenheit eines internen Datenschutzbeauftragten angesprochen.
Fazit
Natürlich kann es auch sein, dass ein externer Datenschutzbeauftragter nicht korrekt berät und seinen sonstigen Pflichten gemäß Art. 39 DSGVO nicht vollends nachkommt, weil ihm das Wissen und die Erfahrung im Datenschutz fehlt. Dies sollte natürlich genauso wenig der Grund für eine nicht ausreichende, wenn nicht sogar falsche Beratung sein.
Wir halten unser Wissen zum Datenschutz fortlaufend auf einem aktuellen Niveau, um unsere Kunden im Sinne der Datenschutzvorschriften beraten und unterstützen zu können. In Zweifelsfragen können wir uns inhaltlich austauschen und anwaltlich beraten lassen. Wenn Sie als Verantwortlicher das Gefühl haben, bei ihrem externen Datenschutzbeauftragten gibt es eventuelle Defizite bei der Erfüllung der Pflichten eines Datenschutzbeauftragten, kontaktieren Sie uns gern.
