DE 
EN Was darf der Datenschutzbeauftragte noch selbst tun?
Stellungnahme zur einschränkenden Ansicht des BfDI hinsichtlich des Erstellens von Dokumenten durch Datenschutzbeauftragte
Dr. Juliana Kliesch, Bird & Bird LLP Düsseldorf
Datenschutzbeauftragten in Unternehmen kommt nicht nur nach den Vorgaben der DSGVO, sondern vor allem aufgrund ihres Einsatzes in der Praxis ein breites Aufgabenspektrum zu. Sie nehmen eine Beratungs- und Überwachungsfunktion im Hinblick auf die Einhaltung des Datenschutzrechts wahr, sind Anlaufstelle der Datenschutz-Aufsichtsbehörde, führen Schulungen durch und erstellen Dokumente. Zu diesen Dokumenten zählen beispielsweise vielfach das Verzeichnis von Verarbeitungstätigkeiten, Auftragsverarbeitungsverträge, Datenschutzerklärungen und Einwilligungstexte. Die Zulässigkeit der Erstellung solcher Dokumente durch den Datenschutzbeauftragten ist jedoch umstritten.
Zumindest einige Datenschutzbehörden sehen eine solche Aufgabenübertragung als unzulässige Vermischung der Pflichten der Daten verarbeitenden Stelle und des Datenschutzbeauftragten als überwachende Stelle an, die zu einer In-Sich-Kontrolle des Datenschutzbeauftragten führe. Betreffend das Verfahrensverzeichnis klingt diese Auffassung bereits in einer Veröffentlichung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, BfDI, an (siehe Abschnitt 3.4). Darüber hinaus ist aus der Praxis bekannt, dass die Übertragung der Drafting-Verantwortlichkeit für das Verfahrensverzeichnis, Auftragsverarbeitungsverträge, Datenschutzerklärungen, Einwilligungstexte und andere Dokumente durch einige Datenschutzbehörden als DSGVO-Verstoß gewertet wird. Der vorliegende Beitrag befasst sich mit der Frage, wie diese restriktive Ansicht zu bewerten ist.
Aufgabenkatalog des Datenschutzbeauftragten nach der DSGVO
Die DSGVO enthält in Artikel 39 Absatz 1 einen nicht abschließenden Katalog von Aufgaben des Datenschutzbeauftragten. Danach ist dieser zusammenfassend dargestellt für „zumindest folgende Aufgaben“ zuständig:
- datenschutzrechtliche Unterrichtung und Beratung der Daten verarbeitenden Stelle
- Überwachung der Einhaltung des Datenschutzrechts und der Datenschutzstrategien der Daten verarbeitenden Stelle
- Beratung zu und Überwachung von Datenschutz-Folgenabschätzungen
- Zusammenarbeit mit der Aufsichtsbehörde und Tätigkeit als Anlaufstelle für die Aufsichtsbehörde.
Nach Artikel 38 Absatz 6 DSGVO kann der Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen. Diese dürfen jedoch nicht zu einem Interessenkonflikt mit seinen originären Aufgaben und Pflichten führen. Dies bedeutet insbesondere, dass ihre Wahrnehmung durch den Datenschutzbeauftragten keine Situation hervorrufen darf, in der er seine eigene Arbeit kontrollieren muss.
Eine Ergänzung des angeführten Aufgabenkatalogs durch nationales Recht kommt mangels entsprechender Befugnisnorm nicht in Betracht. Damit bleibt es dem Rechtsanwender überlassen, zu prüfen, welche zusätzlichen Aufgaben mit der originären Stellung des Datenschutzbeauftragten vereinbar sind. Während gemeinhin anerkannt ist, dass etwa die Schulung von Beschäftigten der Daten verarbeitenden Stelle diese Voraussetzung erfüllt, besteht im Hinblick auf die Einbindung des Datenschutzbeauftragten in die Erstellung von Dokumenten – allen vor des Verarbeitungsverzeichnisses, Datenschutzerklärungen und Einwilligungstexten – erhebliche Rechtsunsicherheit.
Argumente, die gegen das Erstellen von Dokumenten durch den Datenschutzbeauftragten vorgebracht werden
Einige Datenschutzbehörden, aber auch Teile der Literatur vertreten hierzu eine restriktive Auffassung und erachten eine entsprechende Aufgabenübertragung als unzulässig. Die Gründe dafür sind schnell ausgemacht. So weisen Artikel 30 Absatz 1 und 2 DSGVO die Zuständigkeit für das Verarbeitungsverzeichnis ausdrücklich dem Verantwortlichen und dem Auftragsverarbeiter zu. Auch Artikel 13 und 14 erlegen die Informationspflicht gegenüber betroffenen Personen dem Verantwortlichen auf. Zudem obliegt es zweifelsohne dem Verantwortlichen einer Datenverarbeitung, sicherzustellen, dass die Verarbeitung auf einer Rechtsgrundlage nach Artikel 6 Absatz 1 DSGVO basiert, also etwa eine wirksame Einwilligung der betroffenen Person vorliegt. Es lässt dich daher argumentieren, dass (1.) die betreffenden Dokumente (Verarbeitungsverzeichnis, Datenschutzerklärung und Einwilligungstext) vom Verantwortlichen bzw. Auftragsverarbeiter erstellt werden müssen und damit (2.) ihr Inhalt und ihre Verwendung der Überwachung durch den Datenschutzbeauftragten unterliegt.
Im Hinblick auf das Verfahrensverzeichnis wird zudem ein Vergleich mit der Datenschutzrichtlinie (Richtlinie 95/46/EG), die von der DSGVO „abgelöst“ worden ist, herangezogen. So haben sich die Verfasser der DSGVO dagegen entschieden, das Führen des Verarbeitungsverzeichnisses in den Katalog von Artikel 39 Absatz 1 DSGVO aufzunehmen, obgleich es in Artikel 18 Absatz 2 Spiegelstrich 2 der Datenschutzrichtlinie noch als Aufgabe des Datenschutzbeauftragten hervorgehoben war. Dies wird teilweise als Verbot einer entsprechenden Aufgabenzuweisung unter der DSGVO gewertet (so Heberlein, in: Ehmann/Selmayr (Hrsg.), Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 39 Rn. 21).
Argumente für die Erstellung von Dokumenten durch den Datenschutzbeauftragten
Jedoch gibt es gewichtige Gründe, die gegen diese strenge Auffassung und für mehr Flexibilität bei der Aufgabenzuweisung sprechen. Zunächst einmal ist die fehlende Verantwortung für die Erfüllung bestimmter DSGVO-Pflichten eben nicht gleichbedeutend mit einem Verbot, an deren Einhaltung mitzuwirken (Scheja, in: Taeger/Gabel (Hrsg.), DSGVO BDSG, Art. 38 DS-GVO, 3. Auflage 2019, Rn. 76). Anstelle einer formalen Betrachtung sollte sich die Aufgabenbegrenzung für den Datenschutzbeauftragten danach bemessen, ob ihn die Wahrnehmung einer Aufgabe dazu zwingen würde, seine eigene Arbeit inhaltlich zu kontrollieren. Letzteres wäre vor allem dann der Fall, wenn die übertragene Tätigkeit mit einer Entscheidung über die Datenschutzstrategien, also insbesondere über die Zwecke und Mittel der Datenverarbeitung, einherginge (Scheja, in: Taeger/Gabel (Hrsg.), DSGVO BDSG, 3. Auflage 2019, Art. 38 DS-GVO Rn. 76). Demgegenüber liegt keine inhaltliche Kontrolle der eigenen Arbeit vor, wenn der Datenschutzbeauftragte klar vordefinierte Tätigkeiten durchführt, bei denen sich sein Beitrag in einer „handwerklich“ sauberen Umsetzung erschöpft (vgl. Bergt, in Kühling/Buchner (Hrsg.), DS-GVO BDSG, 3. Auflage 2020, Rn. 40; Moos, in Wolff/Brink (Hrsg.), BeckOK Datenschutzrecht, 33. Edition, Stand: 01.11.2019, Artikel 38 Rn. 35). Denn hier muss der Datenschutzbeauftragte lediglich „prüfen“, dass er die ihm übertragene Aufgabe umgesetzt hat, er muss hingegen keine seiner eigenen Entscheidungen bewerten. Um einen solchen Fall der Durchführung bzw. Dokumentation fremder Entscheidungen handelt es sich beispielsweise beim Führen des Verarbeitungsverzeichnisses, da es hier darum geht, Verarbeitungsvorgänge strukturiert und nachvollziehbar aufzubereiten. Ähnliches kann im Grundsatz für das Erstellen anderer Dokumente wie Datenschutzerklärungen und Einwilligungstexte gelten.
Damit im Einklang stehend hat die Artikel-29-Datenschutzgruppe das Führen des Verarbeitungsverzeichnisses durch den Datenschutzbeauftragten ausdrücklich als mit der DSGVO vereinbar bewertet (WP 243, S. 30). Des Weiteren hat sie ausgeführt: „Ein solches Verzeichnis sollte als eines der Instrumente angesehen werden, die den DSB in die Lage versetzen, die ihm in Bezug auf die Überwachung der Vorschrifteneinhaltung und in Bezug auf die Unterrichtung und Beratung des Verantwortlichen bzw. des Auftragsverarbeiters obliegenden Aufgaben wahrzunehmen.“ Die damit angesprochenen Synergieeffekte zwischen dem Führen des Verarbeitungsverzeichnisses und der Kontrolle der Daten verarbeitenden Stelle können einen erheblichen praktischen Nutzen haben und sind wohl einer der Gründe, warum sich eine entsprechende Aufgabenübertragung auf den Datenschutzbeauftragten großer Beliebtheit erfreut.
Fazit
Nach unserer Auffassung ist das Erstellen datenschutzrechtlicher Dokumente durch den Datenschutzbeauftragten zulässig. Zumindest einige deutsche Datenschutzbehörden vertreten jedoch zurzeit eine gegenteilige Ansicht. Für die Praxis bleibt zu hoffen, dass sich die allgemeine behördliche Auffassung hin zu mehr Flexibilität und Praktikabilität entwickelt. Derzeit birgt die Übertragung von Drafting-Aufgaben auf den Datenschutzbeauftragten rechtliche Risiken.
