Ein Datenschutzbeauftragter (englisch Data Protection Officer, DPO), ist Anlaufstelle und Ansprechpartner für Datenschutzthemen, und hat vor allem auch eine beratende Rolle im Unternehmen.
Zumindest folgende Aufgaben obliegen dem Datenschutzbeauftragten nach Artikel 39 der DSGVO:
• Unterrichtung und Beratung des Unternehmens hinsichtlich geltender Datenschutzvorschriften;
• Überwachung der Einhaltung der Datenschutzvorschriften sowie der Strategien des Unternehmens für den Schutz personenbezogener Daten;
• Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung;
• Zusammenarbeit mit der und Tätigkeit als Anlaufstelle für die Aufsichtsbehörde.

Durch seine Stellung im Unternehmen können sich alle betroffenen Personen mit Fragen zur Verarbeitung ihrer Daten oder Ausübung ihrer Betroffenenrechte, direkt an den Datenschutzbeauftragten wenden. Dabei ist dieser an die Wahrung der Vertraulichkeit gebunden.

Darüber hinaus kann der DPO weitere Aufgaben und Pflichten übernehmen. Zum Beispiel das Erstellen und Führen eines Datenverarbeitungsverzeichnisses, das Schulen der Mitarbeiter, etc. Dabei muss jedoch immer darauf geachtet werden, dass „derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen“ (Art.38 Abs.6 DSGVO). Vor allem bei Tätigkeiten, die nicht in den Bereich Datenschutz fallen (zum Beispiel Vertretung vor Gericht oder Leitung einer Abteilung), muss oft eine Abschätzung dieses Konfliktpotenzials durchgeführt werden. Siehe dazu unten: Wer kann Datenschutzbeauftragter werden?

Um diese Frage zu beantworten, müssen nicht nur die DSGVO, sondern auch nationale Datenschutzgesetze beachtet werden.

Benennung nach DSGVO

Die Benennung eines DPOs ist bereits nach DSGVO verpflichtend, sollten Sie – als Kerntätigkeit –
• systematisch und in großem Umfang Einzelpersonen überwachen oder
• in großem Umfang besondere Kategorien von personenbezogenen Daten verarbeiten.

Einige der obigen Begriffe sind nach DSGVO nicht genau definiert, weshalb die Benennung eines DPOs zumeist für den Einzelfall geklärt werden muss. Die Leitlinie der Artikel-29-Datenschutzgruppe („WP29“) liefert jedoch einige gute Hilfestellungen.

So definiert die WP29 den Begriff “Kerntätigkeit” folgendermaßen:
„Als „Kerntätigkeit“ lassen sich die wichtigsten Arbeitsabläufe betrachten, die zur Erreichung der Ziele des Verantwortlichen oder des Auftragsverarbeiters erforderlich sind. Dazu gehören auch sämtliche Tätigkeiten, bei denen die Verarbeitung von Daten einen untrennbaren Bestandteil der Tätigkeit des Verantwortlichen oder Auftragsverarbeiters darstellt. So ist beispielsweise die Verarbeitung von gesundheitsbezogenen Daten, wie etwa Krankenakten von Patienten, als Kerntätigkeit eines jeden Krankenhauses anzusehen, weshalb Krankenhäuser zur Benennung eines DSB verpflichtet sind.
Andererseits führen alle Einrichtungen gewisse Tätigkeiten wie etwa die Entlohnung ihrer Mitarbeiter oder Standard-IT-Support aus. Hierbei handelt es sich um Beispiele von für die Kerntätigkeit oder das Kerngeschäft der Einrichtung notwendigen Unterstützungsfunktionen. Trotz ihrer Notwendigkeit oder Unverzichtbarkeit werden solche Tätigkeiten gemeinhin eher als Nebenfunktionen denn als Kerntätigkeit angesehen.“

Um zu erläutern, was genau unter „großem Umfang“ zu verstehen ist, gibt die WP29 folgende Beispiele:
Umfangreiche Verarbeitung:
• die Verarbeitung von Patientendaten im gewöhnlichen Geschäftsbetrieb eines Krankenhauses
• die Verarbeitung von Reisedaten natürlicher Personen, die ein Verkehrsmittel des kommunalen ÖPNV nutzen (z. B. Nachverfolgung über Netzkarten)
• die Verarbeitung von Geolokalisierungsdaten von Kunden einer internationalen Fast-Food-Kette in Echtzeit zu statistischen Zwecken durch einen auf Dienstleistungen dieser Art spezialisierten Auftragsverarbeiter
• die Verarbeitung von Kundendaten im gewöhnlichen Geschäftsbetrieb eines Versicherungsunternehmens oder einer Bank
• die Verarbeitung personenbezogener Daten durch eine Suchmaschine zu Zwecken der verhaltensbasierten Werbung
• die Verarbeitung von Daten (Inhalte, Datenverkehrsaufkommen, Standort) durch Telefon- oder Internetdienstleister
Keine umfangreiche Verarbeitung:
• die Verarbeitung von Patientendaten durch einen einzelnen Arzt
• die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten durch einen einzelnen Rechtsanwalt

Weiters führt die WP29 Tätigkeiten an, die eine regelmäßige und systematische Überwachung von betroffenen Personen darstellen können:
• Anbieten von Telekommunikationsdienstleistungen
• verfolgende E-Mail-Werbung
• datengesteuerte Marketingtätigkeiten
• Typisierung und Scoring zu Zwecken der Risikobewertung (zum Beispiel zu Zwecken der Kreditvergabe, zur Festlegung von Versicherungsprämien, zur Verhinderung von betrügerischen Handlungen oder zur Aufdeckung von Geldwäsche)
• Standortverfolgung (beispielsweise durch Mobilfunkanwendungen)
• Treueprogramme
• verhaltensbasierte Werbung
• Überwachungskameras oder vernetzte Geräte (zum Beispiel intelligente Stromzähler, intelligente Autos, Haustechnik usw.)

Benennung nach nationalen Gesetzen

Einige nationale Gesetze verschärfen die Bestelltpflicht nochmals.
Beispielsweise müssen Firmen in Deutschland einen DPO benennen, sollten sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Weiters folgt laut deutschem Gesetzt aus der Pflicht eine Datenschutz-Folgenabschätzung durchführen zu müssen, die Pflicht einen DPO zu bennen.
Im österreichischen Gesetz wird auf die Bestellpflicht nicht nochmals genauer eingegangen.

Freiwillige Benennung

Zuletzt bleibt noch zu erwähnen, dass DPOs auch freiwillig benannt werden können. Das macht Sinn, vor allem dann, wenn die Frage nach der verpflichtenden Benennung nicht mit Sicherheit verneint werden kann. Dabei ist jedoch zu beachten, dass freiwillig benannte Datenschutzbeauftragte die gleichen Rechte und Pflichten haben, wie „regulär“ Beauftragte. Um Verwechslungsgefahren zu vermeiden, sollten Sie auch intern Zuständige für den Datenschutz nicht als Datenschutzbeauftragte bezeichnen, es sei denn, er oder sie erfüllen tatsächlich diese Rolle in vollem Umfang (inklusive Meldung bei der Datenschutzbehörde, etc.). Verwenden Sie stattdessen Begriffe wie Datenschutz-Koordinator.

Fazit

Wie Sie sehen, ist die Frage, ob in Ihrem Unternehmen ein Datenschutzbeauftragter benannt werden muss, komplex. Wir empfehlen im Zweifel Datenschutzexperten zur Entscheidungshilfe heranzuziehen. Auch die Entscheidung keinen DPO zu benennen, sollten Sie entsprechend dokumentieren.

Grundsätzlich kann jeder Datenschutzbeauftragter werden, der genug berufliche Qualifikation und Fachwissen besitzt, um den Aufgaben und Pflichten des DPO (siehe Was tut ein Datenschutzbeauftragter) gesetzeskonform nachkommen zu können (Art.37 Abs.5 DSGVO). Das heißt, es ist kein bestimmter Berufsstand allein qualifiziert, um die Rolle des DPO in einem Unternehmen einzunehmen.

Als Verantwortlicher sind Sie jedoch verpflichtet Interessenkonflikte zu vermeiden, die die Unabhängigkeit des Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben bedrohen könnten (Art.38 Abs.6 DSGVO). Die WP29 führt dazu aus, dass der DPO „innerhalb einer Einrichtung keine Position innehaben kann, welche es mit sich bringt, dass er die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.“ Das heißt also, dass Geschäftsführer und Abteilungsleiter mit höchster Wahrscheinlichkeit nicht die Rolle des Datenschutzbeauftragten einnehmen können. Es können jedoch externe Dienstleister als DPO bestellt werden, um Interessenkonflikte dieser Art zu vermeiden (Art.37 Abs.6 DSGVO).