Die Art. 29 Datenschutzgruppe, der Zusammenschluss der nationalen Datenschutzbehörden in Europa, hat einen Leitfaden zu der Figur des Datenschutzbeauftragten in der ab Mai 2018 anwendbaren Datenschutz Grundverordnung beschlossen und veröffentlicht (pdf).
Die europäischen Datenschützer werden in Zukunft weitere Leitlinien zu verschiedenen Themen der Datenschutz-Grundverordnung (DSGVO) veröffentlichen. Bei diesen Leitlinien handelt es sich nicht um die bereits bekannten, teilweise sehr ausführlichen, Stellungnahmen der Datenschützer. Die Leitlinien sind eher als grober Überblick und Richtschnur für die Praxis zu sehen und geben einen Eindruck davon, wie die europäischen Datenschutzbehörden verschiedene Bestimmung der Datenschutz-Grundverordnung interpretieren. Aus Sicht der Praxis sind diese Leitlinien in jedem Fall ein wertvolles Instrument und sollten bei der Arbeit im Datenschutzrecht und der anstehenden Umsetzung der Vorgaben der Datenschutz-Grundverordnung zumindest zur Kenntnis genommen werden.
In ihrem Leitfaden zum Datenschutzbeauftragten stellen die Datenschützer zunächst fest, dass ihrer Auffassung nach Datenschutzbeauftragte nicht persönlich für die Nichteinhaltung der Datenschutz Grundverordnung durch den Verantwortlichen oder den Auftragsverarbeiter haftet. Nach Auffassung der Datenschützer sei es klar, dass allein der verantwortliche oder der Auftragsverarbeiter verpflichtet sind und nachweisen müssen, dass eine Datenverarbeitung den Vorgaben der Datenschutz Grundverordnung entspricht. Hierzu verweisen sie auf Art. 24 Abs. 1 DSGVO, der die allgemeine Rechenschaftspflicht etabliert.
Des Weiteren erläutern die Datenschützer in ihrem Leitfaden näher, unter welchen Voraussetzungen Datenschutzbeauftragter verpflichten zu bestellen ist, Art. 37 Abs. 1 DSGVO. Interessant ist der Hinweis, dass die Datenschützer empfehlen, die interne Vor-Prüfung, ob bei einem Verantwortlichen oder Auftragsverarbeiter ein Datenschutzbeauftragter zu bestellen ist, dokumentierbar durchgeführt werden sollte, um diese Prüfung im Zweifelsfall nachweisen zu können.
Nach Art. 37 Abs. 1 lit. b) DSGVO muss ein Verantwortliche oder ein Auftragsverarbeiter auf jeden Fall einen Datenschutzbeauftragten benennen, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Die Datenschützer interpretieren den Begriff der „Kerntätigkeit“ im Sinne des Kerngeschäfts, dessen Durchführung für den Verantwortlichen oder Auftragsverarbeiter erforderlich ist, um seine Ziele zu erreichen. Nach Auffassung der Datenschützer sollte der Begriff „Kerntätigkeit“ jedoch nicht zu eng verstanden werden und daher auch solche Aktivitäten umfassen, die untrennbar Teil der Aktivität des Verantwortlichen oder Auftragsverarbeiters sind. Hier wird die Leitlinie leider etwas unbestimmt, auch wenn die Datenschützer versuchen, mit konkreten Beispielen mehr Licht in ihre Aussagen zu bringen. Nicht als Kerntätigkeit stufen die Datenschützer richtigerweise Verarbeitungen im Zusammenhang mit der Verwaltung oder auch der Bezahlung der Mitarbeiter und auch des IT-Supports ein.
Nach Art. 37 Abs. 1 lit. b) DSGVO erfordert zudem eine „umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen“. Die Datenschützer weisen darauf hin, dass der Begriff „umfangreich“ nicht konkret mit einer Zahl hinterlegt werden könne. Die Datenschützer benennen einige Faktoren, die ihrer Ansicht nach bei der Prüfung, ob eine umfangreiche Verarbeitung gegeben ist, berücksichtigt werden sollten. Hierzu sollen unter anderem die Zahl der betroffenen Personen, der Umfang der Datensätze oder auch die Dauer der Datenverarbeitung und ihre geographische Ausdehnung Berücksichtigung finden. Zwar verweisen die Datenschützer in ihrer Leitlinie auf Erwägungsgrund 91, in dem es heißt:
Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.
Jedoch scheinen die Datenschützer die dortige Begründung nicht unbedingt auf den Themenkomplex Datenschutzbeauftragter anwenden zu wollen. Die Ablehnung der Übertragung lässt sich meines Erachtens kritisieren, da kein Grund dafür ersichtlich ist, warum die Informationen Erwägungsgrund 91, in denen es genau um die Frage geht, wann eine Verarbeitung umfangreich bzw. eben nicht umfangreich ist, nicht auch hier im Rahmen der Frage zu berücksichtigen sind, wann ein Datenschutzbeauftragter zu bestellen ist. Betrachtet man Erwägungsgrund 91, so ist auch klar, dass der von den Datenschützern benannte Faktor „Zahl der betroffenen Person“ im Ergebnis keine größere Rolle spielt, der nach Erwägungsgrund 91 genau dieser Faktor unerheblich ist, selbst wenn etwa 100.000 Patientendatensätze von einem Arzt verarbeitet werden.
Mit Blick auf den Begriff „regelmäßige und systematische Überwachung“ gehen die Datenschützer davon aus, dass dieser auf der einen Seite selbstverständlich das online Trekking oder die Profilbildung im Internet, etwa für verhaltensbasierte Werbung umfasst. Daneben sind aber auch Überwachungsmethoden umfasst, die nicht im Internet sondern in der „Offline“-Welt stattfinden.
Zu den Anforderungen an die Person des Datenschutzbeauftragten selbst (Art. 37 Abs. 5 DSGVO) halten die Datenschützer fest, dass die Begriffe „berufliche Qualifikation“ und „Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis“ in der DSGVO nicht näher umschrieben sind. Nach Auffassung der europäischen Datenschützer ist es jedoch ein maßgebliches Element, dass der Datenschutzbeauftragte Fachwissen im nationalen und europäischen Datenschutzrecht, in der Datenschutzpraxis und zusätzlich ein fundiertes Verständnis der DSGVO selbst haben muss.
Die Leitlinien der Datenschützer befassen sich noch mit vielen weiteren Themen rund um den Datenschutzbeauftragten, insbesondere auch mit seinen gesetzlich festgelegten Aufgaben und seiner Stellung beim Verantwortlichen oder Auftragsverarbeiter.