Wer ist wer im Datenschutz? Übertragung von Datenschutzaufgaben gegen den Willen?
von , veröffentlicht am 13.04.2020Verantwortlicher, Beauftragter, Manager oder ...?
Ein gut gepflegtes "Verzeichnis der Verarbeitungstätigkeiten“ ist etwas, mit dem man bei einer Kontrolle durch Aufsichtsbehörden wirklich punkten kann (für den ersten Eindruck, gibt es keine zweite Chance). Wer schon einmal ein solches Verzeichnis nach den Vorgaben von Art. 30 DSGVO geführt hat, weiß, wie freudlos das sein kann.
Aber jemand muss den Job machen und gerade in Krisenzeiten kann die Zeit fehlen für emotional schonende „Überzeugungsgespräche“ (jeden mitnehmen) oder das Warten auf den Freiwilligen. Aber wer machts bzw. wem kann diese Aufgabe übertragen werden? Und mit welcher Bezeichnung? Und da sind wir mittendrin in den Begrifflichkeiten der DSGVO bzw. des Datenschutzrechts und der Praxis: Datenschutzverantwortlicher, Datenschutzbeauftragter und Datenschutzmanager. Wer ist wer?
Für den öffentlichen Dienst hat das VG Schleswig-Holstein (12 B 79/19 vom 31.03.2020) nun in einem (nicht Corona-bedingten) Eilverfahren entschieden, dass die Führung des Verzeichnisses einem Beamten durchaus per dienstlicher Weisung (aus dem September 2019) übertragen werden kann, solange dem betroffenen Beamten ein amtsangemessener Aufgabenbereich bleibt und, dass Verwaltungsgerichte den Beurteilungsspielraum des Dienstherrn nur eingeschränkt überprüfen (insb. sachlicher Grund, Willkür). Soweit so wenig neu.
Problematisch aus datenschutzrechtlicher Sicht war aber, dass der Dienstherr den Beamten zunächst (was im Verfahren korrigiert wurde) zum „Datenschutzverantwortlichen“ machen wollte. Gem. Art. 4 Nr. 7 DSGVO ist das aber die „… Person, Behörde oder Einrichtung, die … über die Zwecke und Mittel der (Daten)Verarbeitung entscheidet.“ Für Behörden ergeben sich Zwecke und Mittel aus ihren Zuständigkeiten bzw. Aufgaben zuweilen – wie auch ihre Stellung als Verantwortlicher - aus gesetzlichen Vorschriften. Dementsprechend kann der Beamte, der nun das Verzeichnis führen soll, nicht die Aufgabe eines „Datenschutzverantwortlichen“ übernehmen, denn dies ist und bleibt die entsprechende Behörde.
„Die Letztverantwortung muss damit bei Behörde selbst als juristischer Person bleiben und kann nicht etwa zur Gänze wie die Position des Datenschutzbeauftragten i.S.v. Art. 37 DSGVO einem Beamten übertragen werden.“
Wie wäre es dann also mit „Datenschutzbeauftragter“? Der Datenschutzbeauftragte (DSB) kann intern oder extern angesiedelt sein (Art. 37 VI DSGVO), mithin auch „Beschäftigter“ sein. Der DSB ist jedoch als umfassende Beratungs- und Kontrollinstanz definiert im Hinblick auf die Vorgaben der DSGVO und anderer relevanter Datenschutzvorschriften (Art. 39 DSGVO).
In der freien Wirtschaft nennen viele Verantwortliche daher Mitarbeiter, die für die Umsetzung einzelner Datenschutzvorgaben zuständig sind „Datenschutzmanager“ oder ähnlich. Das Wort „Manager“ scheint für den behördlichen Kontext nicht ideal. Der Kreativität sind hier Tür und Tor geöffnet, falls man nicht gleich alle Aufgaben - was empfehlenswert erscheint - beim behördlichen Datenschutzbeauftragten konzentrieren möchte.
Auch dass eine Behörde konkrete, nach der DSGVO zu erfüllende Aufgaben auf seine Mitarbeiter/Beamten übertragen kann, sagt das VG zu Recht. Schließlich muss jeder Verantwortliche, auch eine Behörde, die Anwendung des Datenschutzrechts durch seine Organisation sicherstellen (compliance).
„Die Übertagung der von der Antragsgegnerin nach der DSGVO zu erfüllenden konkreten Aufgaben im Rahmen der Behördenorganisation ist dagegen zulässig.“
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
