Die EU- Datenschutz-Grundverordnung (DSGVO) setzt nicht nur Pflichten voraus, wie Verantwortliche und Auftragsverarbeiter mit personenbezogenen Daten umzugehen haben, sondern dass sie auch ihren (externen) Datenschutzbeauftragte (kurz: DSB) in alle Belange, die mit der Verarbeitung von personenbezogenen Daten zusammenhängen, einzubinden haben (vgl. Art. 38 DSGVO).

Doch warum beschäftigen wir uns in diesem Blogbeitrag gerade mit der Aussage, dass Verantwortliche ihren DSB zu unterstützen haben?

Die Antwort liegt klar auf der Hand. Nicht nur, dass die DSGVO in Art. 38 DSGVO die Unterstützungspflichten explizit vorschreibt, nein, auch eine aktuelle Entscheidung (vgl. Entscheidung der Streitkammer in der Sache 87/2024 vom 03. Juni 2024) der belgische Datenschutzaufsichtsbehörde Autorité de protection des données (APD) hat einmal mehr gezeigt, dass der Verantwortliche seinen DSB zu unterstützen hat. Insbesondere wenn der, wie in jenem Fall, interne DSB noch weitere Aufgaben innerhalb des Unternehmens wahrzunehmen hat.

Ausgangslage

Im konkreten Fall war ein Löschbegehren eines Kunden des betroffenen Unternehmens ausschlaggebend, dass an den Unterstützungspflichten durch den Verantwortlichen an seinen DSB zweifeln, lies.

Der betroffene Kunde wollte vom Unternehmen bezüglich eines zu hohen Energiebeitrags die Differenz zurückerstattet haben, das Unternehmen jedoch behielt die Differenz ein. Daraufhin kündigte der betroffene Kunde das Vertragsverhältnis mit dem Unternehmen und begehrte die Löschung all seiner personenbezogenen Daten gem. Art. 17 DSGVO. Dieser Löschung kam der Verantwortliche nicht nach. Denn 4 Monate nach Eingang des Löschbegehrens, erhielt der betroffene Kunde immer noch Werbung in Form von Newslettern (vgl. hier). Auch ein Schlichtungsversuch blieb erfolglos. Der Kunde beschwerte sich daraufhin bei der zuständigen Aufsichtsbehörde. Das verantwortliche Unternehmen hielt bei der Prüfung der Aufsichtsbehörde dagegen, dass das Versäumnis der Reaktion auf die Betroffenenanfrage die Schuld des internen DSB sei.

Das Ende vom Lied: die Aufsichtsbehörde verhängte eine Geldbuße von 172.341€ gegen das verantwortliche Unternehmen und wies das Unternehmen zur Löschung der personenbezogenen Daten der betroffenen Person an.

Die gesetzliche Stellung des Datenschutzbeauftragten

Doch wer hat nun unternehmensintern tatsächlich Schuld? Im Ausgangsfall beschuldigte das verantwortliche Unternehmen seine internen DSB, dass dieser seiner Pflicht aus der DSGVO nicht bzw. nur eingeschränkt nachgekommen sei, weil dieser arbeitstechnisch ausgelastet gewesen wäre und daher weder die Betroffenenanfrage noch die Beschwerde der zuständigen Aufsichtsbehörde beantworten konnte, geschweige denn den Verantwortlichen in die Vorfälle involviert hätte.

Tatsächlich muss aber der Verantwortliche dafür sorgen, dass der DSB seine Aufgaben erfüllen kann.

Die gesetzliche Stellung des (externen) DSB ist in Art. 38 DSGVO definiert:

„Art. 38 DSGVO Stellung des Datenschutzbeauftragten

  1. Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
  2. Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 39, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.
  3. Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.
  4. Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.
  5. Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.
  6. Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“

Aus Art. 38 Abs. 6 DSGVO ergibt sich also, dass zwar der DSB auch noch andere Funktionen im Unternehmen wahrnehmen darf, aber der Verantwortlich sicherstellen muss, dass die Aufgaben und Pflichten als DSB nicht zu einem Interessenkonflikt innerhalb des Unternehmens führen darf. Im Hinblick auf den vorliegenden Fall, dass der DSB des verantwortlichen Unternehmens sowohl die Betroffenenanfrage selbst als auch die Fragen der APD nicht rechtzeitig beantworten konnte, kann man durchaus der Annahme sein, dass dies Aufgaben zur Erfüllung seiner Pflichten als DSB im Konflikt mit anderen Aufgaben innerhalb des Unternehmens standen, denn laut Entscheidung der APD war der interne DSB des Unternehmens maßlos mit anderen Aufgaben überlastet.

Verantwortung des für die Verarbeitung Verantwortlichen

Es ist festzuhalten, dass die Aussagen des Unternehmens, dass der Betroffenanfrage aufgrund der fehlenden Unterstützung des DSBs nicht rechtzeitig nachgekommen werden konnte, die APD kalt lies. Diese betonte in Ihrer Entscheidung in der Sache 87/2024 vom 03. Juni 2024 – Rn. 68 nochmals, dass das Unternehmen, welches verantwortlich ist, „(…) gesetzlich [dazu] verpflichtet [ist], die notwendigen Strukturen und Maßnahmen einzurichten, um die Arbeit des DSB zu erleichtern und den Schutz personenbezogener Daten zu gewährleisten. Dies bedeutet, dass dem DSB angemessene Ressourcen zur Verfügung gestellt werden müssen, die der Art der durchgeführten Datenverarbeitung und den damit verbundenen Risiken entsprechen, sowie die Bereitstellung von Zeit und Zugang, die erforderlich sind, um die Rolle innerhalb der Organisation zu erleichtern und zu unterstützen.“ (wörtliche Übersetzung)

Darüber hinaus kann auch auf das Kurzpapier Nr. 12 der DSK (vgl. S. 12) verwiesen werden. Demnach stellt „die DS-GVO (…) in Art. 24 Abs. 1 DS-GVO ausdrücklich klar, dass es die Pflicht des Verantwortlichen bzw. des Auftragsverarbeiters – und nicht die des DSB – bleibt, sicherzustellen und nachzuweisen, dass die Datenverarbeitungen im Einklang mit den Regelungen der DS-GVO stehen. Gleichwohl sollte der DSB seine Tätigkeiten in angemessener Weise dokumentieren, um ggf. nachweisen zu können, dass er seinen Aufgaben (insbesondere Unterrichtung und Beratung) ordnungsgemäß nachgekommen ist.“

Fazit

Abschließend ist festzuhalten, dass sowohl die gesetzlichen Anforderungen der DSGVO als auch die Entscheidung der APD zeigen, dass Verantwortliche stets für die Datenverarbeitungen und die Einhaltung der Anforderungen der DSGVO selbst verantwortlich sind und diese Bürde nicht vollständig und ausschließlich auf den DSB abwälzen kann. Nur weil ein DSB bestellt wurde, heißt das für Unternehmen nicht, sich zurücklehnen zu können und den DSB machen zu lassen. Der DSB berät und unterstützt Unternehmen dabei, sich im DSGVO-Dschungel zurecht zu finden, jedoch die Umsetzung der Anforderungen verbleibt stets bei den Verantwortlichen selbst.