Anforderungen an eine wirksame Benennung eines Datenschutzbeauftragten

Fragen & Antworten

Aus dem Kreise der Datenschutz-Coaching-Mitglieder gab es diese Fragen bzw. Fragen:

  1. Welche Tatbestandsmerkmale müssen zwingend erfüllt sein, sodass eine rechtswirksame Benennung eines (e)DSB tatsächlich stattgefunden hat?
  2. Welche Voraussetzungen für das Vorliegen einer rechtswirksamen Benennung eines Konzern(e)DSB müssen erfüllt sein?

Meine Antwort

Zur ersten Frage

Das ist eine sehr gute Frage. Denn genau genommen sieht die DSGVO hier gar keine konkreten Regelungen vor.

Neulich wurde ich auch einmal gefragt, ob ein Unternehmen auch eine Person als Datenschutzbeauftragten benennen kann, die das gar nicht möchte oder dem gar nicht zugestimmt hat.

Aufgrund der Tatsache, dass ein Datenschutzbeauftragte auch einige Pflichten hat, die von ihm zu erfüllen sind, ist jedoch als rechtliche Voraussetzung für eine wirksame Benennung zu fordern, dass die Person bereits ein Vertragsverhältnis mit dem Verantwortlichen (also z.B. dem Unternehmen) hat, das diese Übernahme der Aufgaben des Datenschutzbeauftragten umfasst. Dies ist üblicherweise bei externen Datenschutzbeauftragten der Fall. Hier wird regelmäßig ein entsprechender Vertrag geschlossen.

Datenschutz-Coaching-Mitglieder finden übrigens hier einen Mustervertrag für externe Datenschutzbeauftragte.

Bei internen Datenschutzbeauftragten wird zwar der Arbeitsvertrag bei Teilzeit-DSB regelmäßig keine Regelungen zur Übernahme der Tätigkeit enthalten. Hier kann aber z.B. ein Annex zum Arbeitsvertrag genommen werden oder – was die üblichste Variante in der Praxis sein dürfte – der Arbeitnehmer erklärt sein Einverständnis, dass er künftig die Tätigkeit des Datenschutzbeauftragten im Unternehmen oder der öffentlichen Stelle übernehmen wird.

Wenn diese Voraussetzungen für ein „Grundverhältnis“ vorliegen, kann der Verantwortliche eine Benennung durchführen. Auch wenn es hierfür keine Formanforderungen gibt, macht es schon aus Gründen der Nachweisbarkeit Sinn, die Benennung schriftlich vorzunehmen.

Ein Muster für eine Benennung finden Datenschutz-Coaching-Mitglieder hier:

Zur zweiten Frage

Nach Art. 37 Abs. 2 DSGVO darf eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten ernennen, sofern dieser von jeder Niederlassung aus leicht erreicht werden kann.

Daraus ergibt sich schon einmal, dass wohl ein einziger „Benennungsakt“ ausreichend sein kann.

Davon unabhängig ist jedoch die Tatsache, dass ein interner DSB in einer Unternehmensgruppe, der z.B. in der Holding angestellt ist, im Hinblick auf die Benennung bei einer Unternehmenstochter haftungsrechtlich wohl wie ein externer Datenschutzbeauftragter zu bewerten ist. Dieses Haftungsrisiko wegen einer nicht bestehenden Privilegierung durch die Arbeitnehmerhaftung sollte also „behandelt“ werden.

Ebenso unabhängig davon ist, dass jedes Unternehmen als „Verantwortlicher“ für sich den Datenschutzbeauftragten der Aufsichtsbehörde mitzuteilen hat (Art. 37 Abs. 7 DSGVO). Das ist also jeweils von dem jeweiligen Unternehmen der Gruppe selbst zu machen sein.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.