Juristische Personen als Datenschutzbeauftragte – geht das?
Unternehmen müssen unter bestimmten Voraussetzungen eine*n Datenschutzbeauftragte*n benennen. Hierauf wollen wir in diesem Artikel nicht groß eingehen, die Kriterien finden sich in Art. 37 Abs. 1 DSGVO, für Deutschland wurden einige zusätzliche Kriterien in § 38 Abs. 1 BDSG festgelegt. An unterschiedlichen Stellen in DSGVO und BDSG werden die Stellung oder die Aufgaben der Datenschutzbeauftragten festgelegt. So werden hier beispielsweise die Tätigkeiten genannt, bei deren Durchführung der Datenschutzbeauftragte hinzugezogen werden muss, was unter anderem bei der Datenschutz-Folgenabschätzung (DSFA) der Fall ist. Üblicherweise wird davon ausgegangen, dass “der Datenschutzbeauftragte” ein Mensch zu sein hat. Aber muss das wirklich immer so sein? Könnte nicht auch eine juristische Person zum Datenschutzbeauftragten benannt werden? Wir schauen uns das mal etwas genauer an.
Begriffsdefinitionen in der DSGVO
Leider gibt es in Art. 4 DSGVO keine Legaldefinition des Datenschutzbeauftragten. Was es allerdings gibt, sind Legaldefinitionen der Begriffe “Verantwortlicher”, “Auftragsverarbeiter”, “Empfänger” und Dritter (Art. 4 Nr. 7-10 DSGVO). Darüber hinaus existiert – zumindest im Nebensatz – eine Definition für die “betroffene Person” (enthalten in Art. 4 Nr. 1 DSGVO, eigentlich Definition “personenbezogene Daten”). Auffällig ist, dass die Definition der betroffenen Person ausdrücklich den Begriff “natürliche Person” (also Mensch) beinhaltet. Bei den anderen genannten Definitionen wird jedoch im Gegensatz dazu in jeder einzelnen davon die Formulierung “natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle” genutzt. Hier wird also Wert darauf gelegt, klarzustellen, dass es sich bei diesen – wir nennen es mal – Rollen nicht zwingend um natürliche Personen handeln muss. Man könnte hier also zu dem Schluss kommen, dass es bei einer fiktiven Definition des Datenschutzbeauftragten in Art. 4 DSGVO, voraussichtlich auch heißen müsste: “eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die […]”.
Aussagen der Art-29-Gruppe
Nach Inkrafttreten, aber noch bevor die DSGVO Wirksamkeit entfachte, hatte sich die Art-29-Gruppe (das ist sozusagen das Vorgängergremium des heutigen Europäischen Datenschutzausschusses (EDSA, engl. European Data Protection Board, EDPB)) in seinem Working Paper 243 wie folgt geäußert (s. Seite 14 unterhalb des letzten Bulletpoints):
Die Funktion eines DSB kann auch auf Grundlage eines Dienstleistungsvertrags ausgeübt werden, der mit einer natürlichen oder juristischen Person geschlossen wird, die nicht der Einrichtung des Verantwortlichen oder Auftragsverarbeiters angehört. In letzterem Falle ist es unverzichtbar, dass jedes Mitglied der Einrichtung, das die Funktionen eines DSB wahrnimmt, sämtliche in Abschnitt 4 der DS-GVO genannten Anforderungen erfüllt (sodass Interessenkonflikte ausgeschlossen werden können). Ebenso wichtig ist es, dass jedes Mitglied durch die Bestimmungen der DS-GVO geschützt ist (keine ungerechtfertigte Kündigung von Dienstleistungsverträgen in Bezug auf Tätigkeiten als DSB und keine ungerechtfertigte Entlassung einer der Einrichtung angehörigen natürlichen Person, welche die Aufgaben eines DSB wahrnimmt). Zugleich lassen sich individuelle Qualifikationen und Stärken so miteinander kombinieren, dass Einzelpersonen durch die Zusammenarbeit im Team ihren Mandanten noch wirksamere Dienste leisten könne.
Bereits im Jahr 2017 ging die Art-29-Gruppe also davon aus, dass die Benennung einer juristischen Person unter bestimmten Voraussetzungen zulässig ist. Der Vollständigkeit halber müssen wir an dieser Stelle darauf hinweisen, dass das WP243 vom Nachfolgegremium, dem EDSA, nicht bestätigt wurde. Dies muss aber nicht zwingend bedeuten, dass der EDSA diese Meinung revidiert hätte, sondern lediglich, dass es zu viele Abweichungen zwischen dem Inhalt des Working Paper und der aktuellen Meinung des EDSA oder schlichtweg eine zu große Unsicherheit des EDSA bei diesem Thema gegeben haben könnte. Letztlich wurden von mehreren 100 Working Paper der Art-29-Gruppe bislang (Stand 04.08.2023) lediglich neun bestätigt.
Aussagen der Aufsichtsbehörden
Letztlich prägen auch die Aufsichtsbehörden für den Datenschutz die Auslegung der DSGVO stark. So haben sich unterschiedliche Aufsichtsbehörden zu unserer Fragestellung in der Vergangenheit unterschiedlich geäußert. Sehr klar ist in diesem Zusammenhang die Position des Hessischen Beauftragten für den Datenschutz und die Informationsfreiheit (HBDI). Dort findet sich beispielsweise im Formular für die Meldung der Kontaktdaten benannter Datenschutzbeauftragter an die Behörde der folgende Text:
Sollten Sie eine juristische Person bzw. ein Unternehmen (GmbH, AG) als Datenschutzbeauftragten benannt haben, tragen Sie hier bitte den Namen Ihrer Kontaktperson im Unternehmen ein und vermerken unten im Feld „Funktion in der Behörde / Sonstiges“ den Namen der juristischen Person bzw des Unternehmens.
Dort geht man also ganz klar davon aus, dass auch eine juristische Person zum Datenschutzbeauftragten benannt werden kann.
Auch Ihren FAQ erläutert die Aufsichtsbehörde, dass sie grundsätzlich die Benennung einer juristischen Person für zulässig erachtet:
Unter besonderen Voraussetzungen und in engen Grenzen können auch juristische Personen als Datenschutzbeauftragte fungieren.
[…]
Bei der Meldung einer juristischen Person als Datenschutzbeauftragte beim HBDI ist auch eine konkrete, natürliche Person als Ansprechpartner innerhalb der als Datenschutzbeauftragten fungierenden juristischen Person mitzuteilen.
In Übereinstimmung mit der Aussage der Art-29-Gruppe aus dem Jahr 2017 wird aber auch hier die Angabe der Ansprechperson gefordert.
Was spricht dagegen?
Wir haben recht lange gesucht, bis wir ein Argument gefunden haben, welches gegen die Benennung juristischer Personen zum Datenschutzbeauftragten spricht. Was wir gefunden haben, ist wieder ein sprachliches Argument: In der englischen Fassung der DSGVO steht in Art. 38 Abs. 3 S. 2 DSGVO: “He or she shall not be dismissed or penalised by the controller or the processor for performing his tasks”. Das “he or she” weist durchaus darauf hin, dass man hier geschlechtergerecht formulieren wollte und damit eine natürliche Person meinte. Allerdings endet derselbe Satz auch mit “[…] for performing his tasks”. Das ist dann schon wieder nicht so geschlechtergerecht. Es kann sich hierbei um einen Fehler handeln und es ist möglich, dass man unter Umständen “[…] his or her tasks” schreiben wollte. Es ist aber ebenso möglich, dass “he or she” versehentlich im Text verblieben ist und eigentlich nur “He” dort hätte stehen sollen. In der deutschen Übersetzung ist exakt diese Formulierung enthalten.
Auch in Art. 39 Abs. 2 DSGVO ist eine solche Formulierung enthalten: “The data protection officer shall in the performance of his or her tasks have due regard to the risk associated with processing operations, taking into account the nature, scope, context and purposes of processing”. Auch hier ist “his or her” in der deutschen Fassung der DSGVO zu einem rein männlichen “wobei er […] berücksichtigt” geworden.
Wir haben also in der englischen Fassung (und ja, das is diejenige, die verhandelt wurde) zwei Mal eine geschlechtergerechte Formulierung in Bezug auf die Datenschutzbeauftragten. Das ist unseres Erachtens aber zu wenig, um daraus sicher abzuleiten, dass Datenschutzbeauftragte stets natürliche Personen sein müssten.
Fazit
Wir würden es mal mit einem “Unentschieden” zusammenfassen. Zumindest die hessische Aufsichtsbehörde wird nicht dagegen vorgehen, wenn juristische Personen als Datenschutzbeauftragte benannt werden. Wir persönlich würden eine solche Zulässigkeit durchaus für sinnvoll halten. Bei juristischen Personen kann davon ausgegangen werden, dass beispielsweise das Thema “Urlaubs- und Krankheitsvertretung” oder auch ein Wechsel der*des Datenschutzbeauftragte*n deutlich einfacher zu regeln ist, als wenn nur eine einzelne Person als Datenschutzbeauftragte*r benannt ist.
