Mauß Datenschutz GmbH
  • Über uns
  • Hinweisgebersystem
  • Websitemonitoring
  • Kontakt
  • Blog
  • Newsletter
  • Impressum
  • Datenschutzhinweise
  • Click to open the search input field Click to open the search input field Suche
  • Menü Menü
auftragsverarbeitung kontrolle juristische person als datenschutzbeauftragter

Juristische Personen als Datenschutzbeauftragte – geht das?

4. August 2023/von Datenschutzbeauftragter/tma

Unternehmen müssen unter bestimmten Voraussetzungen eine*n Datenschutzbeauftragte*n benennen. Hierauf wollen wir in diesem Artikel nicht groß eingehen, die Kriterien finden sich in Art. 37 Abs. 1 DSGVO, für Deutschland wurden einige zusätzliche Kriterien in § 38 Abs. 1 BDSG festgelegt. An unterschiedlichen Stellen in DSGVO und BDSG werden die Stellung oder die Aufgaben der Datenschutzbeauftragten festgelegt. So werden hier beispielsweise die Tätigkeiten genannt, bei deren Durchführung der Datenschutzbeauftragte hinzugezogen werden muss, was unter anderem bei der Datenschutz-Folgenabschätzung (DSFA) der Fall ist. Üblicherweise wird davon ausgegangen, dass „der Datenschutzbeauftragte“ ein Mensch zu sein hat. Aber muss das wirklich immer so sein? Könnte nicht auch eine juristische Person zum Datenschutzbeauftragten benannt werden? Wir schauen uns das mal etwas genauer an.

Begriffsdefinitionen in der DSGVO

Leider gibt es in Art. 4 DSGVO keine Legaldefinition des Datenschutzbeauftragten. Was es allerdings gibt, sind Legaldefinitionen der Begriffe „Verantwortlicher“, „Auftragsverarbeiter“, „Empfänger“ und Dritter (Art. 4 Nr. 7-10 DSGVO). Darüber hinaus existiert – zumindest im Nebensatz – eine Definition für die „betroffene Person“ (enthalten in Art. 4 Nr. 1 DSGVO, eigentlich Definition „personenbezogene Daten“). Auffällig ist, dass die Definition der betroffenen Person ausdrücklich den Begriff „natürliche Person“ (also Mensch) beinhaltet. Bei den anderen genannten Definitionen wird jedoch im Gegensatz dazu in jeder einzelnen davon die Formulierung „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle“ genutzt. Hier wird also Wert darauf gelegt, klarzustellen, dass es sich bei diesen – wir nennen es mal – Rollen nicht zwingend um natürliche Personen handeln muss. Man könnte hier also zu dem Schluss kommen, dass es bei einer fiktiven Definition des Datenschutzbeauftragten in Art. 4 DSGVO, voraussichtlich auch heißen müsste: „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die […]“.

Aussagen der Art-29-Gruppe

Nach Inkrafttreten, aber noch bevor die DSGVO Wirksamkeit entfachte, hatte sich die Art-29-Gruppe (das ist sozusagen das Vorgängergremium des heutigen Europäischen Datenschutzausschusses (EDSA, engl. European Data Protection Board, EDPB)) in seinem Working Paper 243 wie folgt geäußert (s. Seite 14 unterhalb des letzten Bulletpoints):

Die Funktion eines DSB kann auch auf Grundlage eines Dienstleistungsvertrags ausgeübt werden, der mit einer natürlichen oder juristischen Person geschlossen wird, die nicht der Einrichtung des Verantwortlichen oder Auftragsverarbeiters angehört. In letzterem Falle ist es unverzichtbar, dass jedes Mitglied der Einrichtung, das die Funktionen eines DSB wahrnimmt, sämtliche in Abschnitt 4 der DS-GVO genannten Anforderungen erfüllt (sodass Interessenkonflikte ausgeschlossen werden können). Ebenso wichtig ist es, dass jedes Mitglied durch die Bestimmungen der DS-GVO geschützt ist (keine ungerechtfertigte Kündigung von Dienstleistungsverträgen in Bezug auf Tätigkeiten als DSB und keine ungerechtfertigte Entlassung einer der Einrichtung angehörigen natürlichen Person, welche die Aufgaben eines DSB wahrnimmt). Zugleich lassen sich individuelle Qualifikationen und Stärken so miteinander kombinieren, dass Einzelpersonen durch die Zusammenarbeit im Team ihren Mandanten noch wirksamere Dienste leisten könne.

Bereits im Jahr 2017 ging die Art-29-Gruppe also davon aus, dass die Benennung einer juristischen Person unter bestimmten Voraussetzungen zulässig ist. Der Vollständigkeit halber müssen wir an dieser Stelle darauf hinweisen, dass das WP243 vom Nachfolgegremium, dem EDSA, nicht bestätigt wurde. Dies muss aber nicht zwingend bedeuten, dass der EDSA diese Meinung revidiert hätte, sondern lediglich, dass es zu viele Abweichungen zwischen dem Inhalt des Working Paper und der aktuellen Meinung des EDSA oder schlichtweg eine zu große Unsicherheit des EDSA bei diesem Thema gegeben haben könnte. Letztlich wurden von mehreren 100 Working Paper der Art-29-Gruppe bislang (Stand 04.08.2023) lediglich neun bestätigt.

Aussagen der Aufsichtsbehörden

Letztlich prägen auch die Aufsichtsbehörden für den Datenschutz die Auslegung der DSGVO stark. So haben sich unterschiedliche Aufsichtsbehörden zu unserer Fragestellung in der Vergangenheit unterschiedlich geäußert. Sehr klar ist in diesem Zusammenhang die Position des Hessischen Beauftragten für den Datenschutz und die Informationsfreiheit (HBDI). Dort findet sich beispielsweise im Formular für die Meldung der Kontaktdaten benannter Datenschutzbeauftragter an die Behörde der folgende Text:

Sollten Sie eine juristische Person bzw. ein Unternehmen (GmbH, AG) als Datenschutzbeauftragten benannt haben, tragen Sie hier bitte den Namen Ihrer Kontaktperson im Unternehmen ein und vermerken unten im Feld „Funktion in der Behörde / Sonstiges“ den Namen der juristischen Person bzw des Unternehmens.

Dort geht man also ganz klar davon aus, dass auch eine juristische Person zum Datenschutzbeauftragten benannt werden kann.

Auch Ihren FAQ erläutert die Aufsichtsbehörde, dass sie grundsätzlich die Benennung einer juristischen Person für zulässig erachtet:

Unter besonderen Voraussetzungen und in engen Grenzen können auch juristische Personen als Datenschutzbeauftragte fungieren.

[…]

Bei der Meldung einer juristischen Person als Datenschutzbeauftragte beim HBDI ist auch eine konkrete, natürliche Person als Ansprechpartner innerhalb der als Datenschutzbeauftragten fungierenden juristischen Person mitzuteilen.

In Übereinstimmung mit der Aussage der Art-29-Gruppe aus dem Jahr 2017 wird aber auch hier die Angabe der Ansprechperson gefordert.

Was spricht dagegen?

Wir haben recht lange gesucht, bis wir ein Argument gefunden haben, welches gegen die Benennung juristischer Personen zum Datenschutzbeauftragten spricht. Was wir gefunden haben, ist wieder ein sprachliches Argument: In der englischen Fassung der DSGVO steht in Art. 38 Abs. 3 S. 2 DSGVO: „He or she shall not be dismissed or penalised by the controller or the processor for performing his tasks“. Das „he or she“ weist durchaus darauf hin, dass man hier geschlechtergerecht formulieren wollte und damit eine natürliche Person meinte. Allerdings endet derselbe Satz auch mit „[…] for performing his tasks“. Das ist dann schon wieder nicht so geschlechtergerecht. Es kann sich hierbei um einen Fehler handeln und es ist möglich, dass man unter Umständen „[…] his or her tasks“ schreiben wollte. Es ist aber ebenso möglich, dass „he or she“ versehentlich im Text verblieben ist und eigentlich nur „He“ dort hätte stehen sollen. In der deutschen Übersetzung ist exakt diese Formulierung enthalten.

Auch in Art. 39 Abs. 2 DSGVO ist eine solche Formulierung enthalten: „The data protection officer shall in the performance of his or her tasks have due regard to the risk associated with processing operations, taking into account the nature, scope, context and purposes of processing“. Auch hier ist „his or her“ in der deutschen Fassung der DSGVO zu einem rein männlichen „wobei er […] berücksichtigt“ geworden.

Wir haben also in der englischen Fassung (und ja, das is diejenige, die verhandelt wurde) zwei Mal eine geschlechtergerechte Formulierung in Bezug auf die Datenschutzbeauftragten. Das ist unseres Erachtens aber zu wenig, um daraus sicher abzuleiten, dass Datenschutzbeauftragte stets natürliche Personen sein müssten.

Fazit

Wir würden es mal mit einem „Unentschieden“ zusammenfassen. Zumindest die hessische Aufsichtsbehörde wird nicht dagegen vorgehen, wenn juristische Personen als Datenschutzbeauftragte benannt werden.  Wir persönlich würden eine solche Zulässigkeit durchaus für sinnvoll halten. Bei juristischen Personen kann davon ausgegangen werden, dass beispielsweise das Thema „Urlaubs- und Krankheitsvertretung“ oder auch ein Wechsel der*des Datenschutzbeauftragte*n deutlich einfacher zu regeln ist, als wenn nur eine einzelne Person als Datenschutzbeauftragte*r benannt ist.

https://datenschutzbeauftragter-hamburg.de/wp-content/uploads/2022/05/sailors-81781.jpg 1312 2000 Datenschutzbeauftragter/tma /wp-content/uploads/2016/06/datenschutz_hamburg_logo.png Datenschutzbeauftragter/tma2023-08-04 16:07:362023-08-24 11:26:27Juristische Personen als Datenschutzbeauftragte – geht das?

Bitte beachten Sie

Unsere Beiträge sind stets als allgemeine Information zu verstehen. Sie stellen die persönliche Meinung der jeweiligen Autor*innen dar und können eine professionelle Datenschutzberatung nicht ersetzen. Für die Korrektheit übernehmen wir keine Gewähr. Alle Informationen basieren auf unserem Wissensstand zum Zeitpunkt der Veröffentlichung. Sie können möglicherweise durch Rechtsprechung, Aussagen der Aufsichtsbehörden zum Datenschutz, geänderte Gesetzgebung oder ähnliches nicht mehr aktuell sein. Dies gilt insbesondere mit zunehmendem zeitlichen Abstand zum Veröffentlichungszeitpunkt.

Melden Sie sich für unseren kostenlosen Newsletter an

Abonnieren Sie unseren kostenlosen Newsletter.

Selbstverständlich können Sie sich jederzeit wieder abmelden. Für alle weiteren Details beachten Sie bitte unsere Datenschutzhinweise.

Sie erhalten in den nächsten Minuten eine E-Mail mit einem Bestätigungs-Link. Bitte prüfen Sie Ihren Posteingang und ggf. auch den Spamordner. Bitte klicken Sie den Bestätigungs-Link an, um Ihr Abonnement zu bestätigen. Erst danach ist das Abonnement aktiv. Vielen Dank für Ihr Interesse an unserem Newsletter. Mauß Datenschutz GmbH

Suchen

Search Search

Kontakt

Mauß Datenschutz GmbH

Neuer Wall 10
20354 Hamburg

Telefon:
040 / 999 99 52-0

Rechtliches

Impressum
Datenschutzhinweise

© Copyright Mauß Datenschutz GmbH | Datenschutz | Impressum | Kontakt         
Link to: Datenschutz im Beschäftigungsverhältnis – Anforderungen der Aufsichtsbehörden Link to: Datenschutz im Beschäftigungsverhältnis – Anforderungen der Aufsichtsbehörden Datenschutz im Beschäftigungsverhältnis – Anforderungen der Aufsich...rechte- und rollenkonzept einsicht personalakte beschäftigungsverhältnis Link to: Betroffenenrechte – Beginn der Frist zur Beantwortung Link to: Betroffenenrechte – Beginn der Frist zur Beantwortung schadenersatz betroffenenrechte auskunftsrecht löschrechtBetroffenenrechte – Beginn der Frist zur Beantwortung
Nach oben scrollen Nach oben scrollen Nach oben scrollen