Ist der externe Datenschutzbeauftragte auch externer Empfänger im Sinne der DSGVO?
Geschrieben von Kemal Webersohn, veröffentlicht am 25.04.2024Die Datenschutz-Grundverordnung (DSGVO), die seit Mai 2018 in der gesamten Europäischen Union gilt, hat den Schutz personenbezogener Daten auf ein neues Niveau gehoben. Ein zentraler Aspekt der DSGVO ist die Rolle des Datenschutzbeauftragten (DSB). Unternehmen und öffentliche Stellen müssen unter bestimmten Umständen einen DSB benennen, der als unabhängige Überwachungsstelle für die Einhaltung der Datenschutzvorschriften fungiert. Dies wirft jedoch die Frage auf, ob der Datenschutzbeauftragte als Teil des Unternehmens betrachtet wird oder ob er in spezifischen Situationen, wie bei Auskunftsersuchen, als externer Empfänger zu behandeln ist.
Die Aufgaben des Datenschutzbeauftragten
Der Datenschutzbeauftragte hat gem. Art. 39 DSGVO die Aufgabe, die Einhaltung der DSGVO innerhalb der Organisation zu überwachen. Dazu gehören auch Beratung und Schulung der Mitarbeiter in datenschutzrechtlichen Fragen. Der DSB sollte daher Zugang zu allen Daten und Prozessen haben, die personenbezogene Daten betreffen, um seine Aufgaben effektiv erfüllen zu können.
Interner vs. externer Datenschutzbeauftragter
Ein Datenschutzbeauftragter kann entweder ein Mitarbeiter des Unternehmens sein oder als externer Dienstleister bestellt werden.
Der interne Datenschutzbeauftragte ist in der Regel ein bestehender Mitarbeiter, der zusätzlich zu seinen regulären Aufgaben die Rolle des DSB übernimmt. Hierbei können aber Interessenkonflikte entstehen, insbesondere wenn der DSB in seiner sonstigen Tätigkeit der höheren Managementebene angehört oder an der Verarbeitung personenbezogener Daten beteiligt ist. Auch ist die Arbeitskapazität (aufgrund einer häufig anderen Haupttätigkeit) eingeschränkt und die Expertise nicht immer auf dem allerneuesten Stand. Schließlich genießt ein interner Datenschutzbeauftragter einen außerordentlich hohen Kündigungsschutz (vergleichbar bzw. höher als Betriebsratsmitglieder).
Immer häufiger werden daher Dienstleister als externe Datenschutzbeauftragte beauftragt. Denn so wird Unabhängigkeit gewährleistet und Interessenskonflikte werden vermieden. Außerdem bringt ein externer Datenschutzbeauftragter meistens spezifisches und hochaktuelles Fachwissen sowie Erfahrungen aus anderen Unternehmenskontexten mit – und kann deutlich schneller Lösungsansätze erarbeiten.
Datenschutzbeauftragter als externer Empfänger
Die Frage, ob eine Stelle als „externer Empfänger“ bei Anfragen, wie bei Auskunftsersuchen gem. Art. 15 DSGVO, genannt werden muss, hängt von der organisatorischen Stellung ab.
Der Datenschutzbeauftragte handelt als Teil der verantwortlichen Stelle und nicht als externer Dritter. Das bedeutet, dass der DSB bei der Verarbeitung von Anfragen zwar eine zentrale Rolle spielt, jedoch nicht als separater „Empfänger“ der Informationen gilt. Der DSB muss somit als integraler Bestandteil der verantwortlichen Stelle angesehen werden, der dazu dient, die Einhaltung der Datenschutzvorschriften zu gewährleisten und nicht als außenstehende Entität.
Fazit
Die Rolle des Datenschutzbeauftragten ist entscheidend für die Einhaltung der DSGVO. Ob intern oder extern, der DSB muss als Teil der Organisation und nicht als externer Empfänger behandelt werden und gehört damit nicht zu den in Art. 15 Abs. 1 lit. c) DSGVO genannten Empfängern.