Der Datenschutzbeauftragte (auf Englisch „Data Protection Officer“ oder „DPO“) nimmt einen wichtigen Platz in dem neuen, durch die Datenschutz-Grundverordnung (DSGVO) geschaffenen, Rechtsrahmen ein.
Artikel 37 bis 39 DSGVO regeln die Benennung, Stellung und Aufgaben des DPO.
Des Weiteren hat die ehemalige Artikel-29-Datenschutzgruppe am 5. April 2017 Leitlinien in Bezug auf Datenschutzbeauftragte erstellt, die vom Europäischen Datenschutzausschuss (auf Englisch „European Data Protection Board“ oder „EDPB“) gebilligt wurden. Diese Leitlinien enthalten Empfehlungen, die sich an Verantwortliche, Auftragsverarbeiter und DPOs richten und denen sich die CNPD anschließt.
1. Wann ist die Benennung eines DPO vorgeschrieben?
Die Benennung eines DPO ist in den folgenden drei Fällen vorgeschrieben:
- die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln;
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen; oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO.
Es wird empfohlen, die innerhalb einer Einrichtung durchgeführte Analyse zur Klärung der Frage, ob ein DPO benannt werden muss, zu dokumentieren (es sei denn, eine Einrichtung ist offenkundig nicht verpflichtet, einen DPO zu benennen).
2. Was versteht man unter „Kerntätigkeit“?
Die Kerntätigkeit bezieht sich auf die Haupttätigkeit des Verantwortlichen oder Auftragsverarbeiters und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit. Als „Kerntätigkeit“ lassen sich die wichtigsten Arbeitsabläufe betrachten, die zur Erreichung der Ziele des Verantwortlichen oder des Auftragsverarbeiters erforderlich sind.
Zum Beispiel: Ein Geldinstitut verarbeitet die finanziellen Daten seiner Kunden im Rahmen seiner Kerntätigkeit. Das Geldinstitut verarbeitet auch personenbezogene Daten seiner Angestellten für personalwirtschaftliche (HR) Zwecke, doch dies geschieht im Rahmen einer Nebentätigkeit.
3. Was versteht man unter „umfangreicher Verarbeitung“?
Die DSGVO legt nicht fest, was unter „umfangreich“ zu verstehen ist. Es wird empfohlen, insbesondere folgende Faktoren zu berücksichtigen:
- die Zahl der betroffenen Personen (entweder als bestimmte Zahl oder als Anteil an der maßgeblichen Bevölkerung);
- das Datenvolumen und/oder das Spektrum an in Bearbeitung befindlichen Daten;
- die Dauer oder Permanenz der Datenverarbeitungstätigkeit:
- die geografische Ausdehnung der Verarbeitungstätigkeit.
Beispiel für eine umfangreiche Verarbeitung: Die Verarbeitung von Patientendaten durch ein Krankenhaus (im Gegensatz zur Verarbeitung von Patientendaten durch einen einzelnen Arzt).
4. Was versteht man unter „regelmäßiger und systematischer Überwachung“?
Dieser Begriff wird nicht in der DSGVO definiert, doch er schließt eindeutig jede Form der Verfolgung und Profilerstellung im Internet ein, darunter auch zu Zwecken der verhaltensbasierten Werbung. Der Begriff „Überwachung“ beschränkt sich jedoch nicht auf die Online-Umgebung.
Die Überwachung ist regelmäßig, wenn sie mit einer gewissen Wiederholung, Periodizität oder Beständigkeit ausgeführt wird.
Die Überwachung ist systematisch, wenn sie methodisch organisiert ist, vorher festgelegt ist oder im Rahmen einer Strategie erfolgt.
Beispiel: Ein Geldinstitut, das regelmäßig und systematisch die Entwicklung der Konten sowie die Finanztransaktionen seiner Kunden überwacht, insbesondere im Rahmen seiner Verpflichtungen in Bezug auf die Verhinderung von betrügerischen Handlungen, von Geldwäsche und von Terrorismusfinanzierung.
5. Ist es möglich, einen DPO auf freiwilliger Basis zu benenne
Ja, es ist möglich, einen DPO auf freiwilliger Basis zu benennen. In diesem Fall unterliegen die Benennung, Stellung und Aufgaben des DPO den gleichen Bestimmungen (Artikel 37 bis 39 DSGVO) wie bei einer obligatorischen Benennung. Es gibt somit keinen Statusunterschied zwischen DPOs, die auf freiwilliger oder obligatorischer Basis benannt worden sind.
6. Wer kann als DPO benannt werden?
Der DPO kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein (interner DPO) oder seine Aufgaben auf Grundlage eines Dienstleistungsvertrags erfüllen (externer DPO).
Der DPO muss über die erforderliche berufliche Qualifikation verfügen und seine Aufgaben in vollständiger Unabhängigkeit ausüben. Der DPO darf keine anderen Aufgaben und Pflichten wahrnehmen, die zu einem Interessenkonflikt führen könnten.
7. Über welche berufliche Qualifikation sollte der DPO verfügen?
Der DPO ist auf Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens zu benennen, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung seiner Aufgaben.
Die DSGVO legt nicht das erforderliche Niveau des Fachwissens fest, aber es sollte sich nach der Sensibilität, der Komplexität und dem Volumen der durch den Verantwortlichen oder Auftragsverarbeiter verarbeiteten Daten richten.
Die erforderliche Sachkunde und Erfahrung umfasst insbesondere Folgendes:
- Fachkompetenz auf dem Gebiet des nationales und europäischen Datenschutzrechts und der Datenschutzpraxis, einschließlich eines umfassenden Verständnisses der DSGVO;
- Verständnis der jeweils durchgeführten Verarbeitungsvorgänge;
- Verständnis der Informationstechnologien und der Datensicherheit;
- Kenntnis der jeweiligen Branche und Einrichtung;
- die Fähigkeit, eine Datenschutzkultur innerhalb der Einrichtung zu fördern.
8. Was versteht man unter „Interessenkonflikt“?
Der DPO kann andere Aufgaben und Pflichten wahrnehmen, unter der Bedingung, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Dies bringt mit sich, dass der DPO innerhalb der Einrichtung keine Funktion innehaben kann, die es dem DPO ermöglicht, über die Zwecke (warum?) und Mittel (wie?) der Verarbeitung personenbezogener Daten zu entscheiden. Dies muss von Fall zu Fall untersucht werden.
Beispiele für Positionen, die als unvereinbar mit der Funktion des DPO gelten können: Positionen innerhalb des leitenden Managements (wie etwa Leiter des Unternehmens, Leiter des operativen Geschäftsbereichs, Finanzvorstand, leitender medizinischer Direktor, Leiter der Marketingabteilung, Leiter der Personalabteilung oder Leiter der IT-Abteilung), aber auch hierarchisch untergeordnete Positionen, wenn die betreffenden Funktionen oder Aufgabenfelder die Festlegung von Zwecken und Mitteln der Datenverarbeitung mit sich bringen. Auch kann ein Interessenkonflikt auftreten, wenn eine Person als Auftragsverarbeiter einerseits und als (externer) DPO andererseits für denselben Verantwortlichen tätig ist.
9. Muss der DPO über eine Zulassung seitens der CNPD verfügen?
Nein, die nationale Datenschutzkommission (auf Französisch „Commission nationale pour la protection des données“ oder „CNPD“) erteilt den DPOs keine Zulassung. Der Verantwortliche oder der Auftragsverarbeiter muss der CNPD lediglich die Kontaktdaten des DPO mitteilen.
Die CNPD kann jedoch überprüfen, ob die in Artikel 37 bis 39 DSGVO vorgesehenen Bestimmungen, welche die Benennung, Stellung und Aufgaben des DPO regeln, eingehalten werden.
10. Was geschieht mit dem „Chargé de la protection des données“?
Das inzwischen aufgehobene Gesetz vom 2. August 2002 zum Schutz personenbezogener Daten bei der Datenverarbeitung erlaubte es dem Verantwortlichen, auf freiwilliger Basis einen „Chargé de la protection des données“ zu benennen. Der DPO ist der natürliche Nachfolger des „Chargé de la protection des données“, doch es bestehen Unterschiede im Hinblick auf die Benennung, die Stellung und die Aufgaben des DPO.
Die Funktion des „Chargé de la protection des données“ endete automatisch am 25. Mai 2018, Geltungsdatum der DSGVO. In diesem Zusammenhang sind keine weiteren Schritte gegenüber der CNPD erforderlich.
Der „Chargé de la protection des données“ übernimmt jedoch nicht automatisch die Funktion des DPO. Der Verantwortliche oder der Auftragsverarbeiter muss sich an die Bestimmungen der Artikel 37 bis 39 DSGVO halten, und insbesondere der CNPD die Kontaktdaten des DPO mitteilen.