Datenschutzbeauftragter oder Chief Privacy Officer?

Übersetzung einer umfassenden Analyse von Nicholai Pfeiffer, Managing Partner von White Label Consultancy.

Der Aufstieg des Datenschutzbeauftragten

Mit Einführung der DSGVO wurde Europa Zeuge der Entstehung neuer Stellenbeschreibungen. Überall in Europa wurden Datenschutzbeauftragte ernannt, um die Einhaltung der neuen Datenschutz-Grundverordnung ab 2018 sicherzustellen.

Seitdem ist einige Zeit vergangen. Die Unternehmen schufen oftmals die Möglichkeit, strukturiert mit personenbezogenen Daten zu arbeiten und lernten, was funktioniert und was verbessert werden kann.

Gleichzeitig ist der Bedarf der Unternehmen an fortschrittlicheren Datenverarbeitungsaktivitäten in diesem Zeitraum erheblich gestiegen. Während in den Jahren vor dem Inkrafttreten der DSGVO nur wenige Organisationen an fortgeschritteneren Datenverarbeitungstätigkeiten beteiligt waren, sind Technologien wie künstliche Intelligenz, maschinelles Lernen und Gesichtserkennung inzwischen übliche Technologien und werden in verschiedenen Umgebungen und für verschiedene Zwecke eingesetzt.

Im folgenden Artikel fasst Nicholai Pfeiffer die Vorteile der Rollen DSB und CPO Rollen zusammen, aber auch auf einige der Herausforderungen, die mit jeder der Rollen verbunden sind, und warum diese sowohl die Datenschutzbeauftragten als auch die Organisationen dazu veranlasst haben, sich zu fragen, was die ideale Struktur für sie ist. Am Ende dieses Artikels wird von Pfeiffer dargelegt, welcher organisatorische Aufbau für verschiedene Arten von Organisationen ideal sein könnte.

Datenschutzbeauftragter (DSB)

Bei der Ernennung eines betrieblichen Datenschutzbeauftragten müssen die Anforderungen von Art. 37-39 in Bezug auf Berichtslinien, Verhinderung von Interessenkonflikten, Qualifikationen, Beteiligung, Überwachung, Berichterstattung usw. erfüllt werden. Nicht alle Organisationen müssen einen DSB ernennen, sondern nur diejenigen, die Daten im Anwendungsbereich von Artikel 37 Absatz 1 Buchstaben a-c verarbeiten.

In der EDPB-Leitlinie wp243 wird empfohlen, dass der DSB umfassend und direkt in die Bewertung der Verarbeitungstätigkeiten der Organisation einbezogen wird. Die Entscheidung in der Rechtssache 18/2020 der belgischen APD/GBA legt fest, dass der DSB nach seiner Ernennung ordnungsgemäß und rechtzeitig in alle Angelegenheiten im Zusammenhang mit dem Schutz personenbezogener Daten einbezogen werden muss. Wird beispielsweise die Einbindung des DSB im Falle einer Verletzung des Schutzes personenbezogener Daten darauf reduziert, dass der DSB erst nach dem Vorfall über eine Entscheidung informiert wird, ist die Funktion nicht entsprechend der DSGVO Anforderungen in der Organisation verankert. In ähnlicher Weise wurde in der Rechtssache 41FR/2021 des luxemburgischen CNPD festgestellt, dass ein Verstoß gegen Artikel 38 Absatz 1 vorliegt, wenn der DSB nur ad hoc an einigen internen Sitzungen und Ausschüssen beteiligt ist, die sich mit der Verarbeitung personenbezogener Daten durch die Organisation befassen, statt dass es eine festgelegte Regel oder Sitzungshäufigkeit für die Beteiligung des DSB gibt.

Es ist unbedingt zu beachten, dass der Zweck der Rolle des DSB als solcher darin besteht, als Vertreter der betroffenen Personen, deren Daten die Organisation verarbeitet, zu handeln. Gleichzeitig kann der DSB keine Aufgaben im Zusammenhang mit der Festlegung der Zwecke oder Mittel der Verarbeitung personenbezogener Daten wahrnehmen, vgl. Beschluss 07121-1/2021/577 der slowenischen Datenschutzbehörde.

Chief Privacy Officer (CPO)

Der Hauptunterschied zwischen dem betrieblichen Datenschutzbeauftragten und dem CPO besteht in der Möglichkeit, die Datenverarbeitungsinteressen der Organisation selbst zu vertreten und aktiv an der Entwicklung von Lösungen für die Datenverarbeitungsanforderungen der Organisation mitzuwirken. In der Praxis bedeutet dies, dass der CPO die Möglichkeit hat, mit internen Interessengruppen an der Gestaltung von Lösungen mitzuwirken, als Datenschutzexperte “in der Organisation” wahrgenommen zu werden und somit eine aktive Rolle bei der Bereitstellung von Argumenten und Vorschlägen zu übernehmen, wie die Organisation Datenverarbeitungsaktivitäten rechtfertigen und erklären kann.

Die Rolle des CPO muss nicht unbedingt als CPO bezeichnet werden. Einige Organisationen verwenden andere Bezeichnungen, wie z. B. Data Protection Lead, Privacy Counsel usw. Was die verschiedenen Berufsbezeichnungen gemeinsam haben, ist, dass sie sich auf eine Rolle beziehen, die in der ersten Verteidigungslinie der Organisation organisiert ist und direkt an der Bearbeitung und Lösung von Datenschutzfragen beteiligt ist.

Beschränkungen für die Beteiligung des DSB

Vom DSB kann nicht erwartet werden, dass er die Rolle des Anwalts für das Recht der Organisation auf Datenverarbeitung bei anspruchsvolleren oder marginalen Arten der Datenverarbeitung übernimmt. Die Organisation muss die Anforderungen der Datenschutz-Grundverordnung und die sich daraus ergebenden Beschränkungen für die Rolle beachten.

In der Praxis bedeutet dies, dass der DSB von der Organisation nicht aufgefordert werden kann, Vorschläge für Datenverarbeitungspraktiken zu machen oder diese zu akzeptieren. Die Organisation bleibt für ihre Entscheidungen in Bezug auf die Datenverarbeitung verantwortlich, und der DSB kann nicht an der Entscheidung über die Annahme und Aufnahme einer bestimmten Verarbeitungstätigkeit beteiligt sein. Dies sollte jedoch nicht als generelle Einschränkung für die aktive Beteiligung des DSB an der Bewertung und Bereitstellung von Leitlinien für bestimmte Verarbeitungstätigkeiten verstanden werden. Diese Art der Beteiligung ist sowohl für ein wirksames Datenschutzmanagementprogramm als auch für die Einhaltung der Vorschriften durch die Organisation insgesamt von entscheidender Bedeutung.

Die bedeutet auch, dass hinsichtlich der Aufgaben, die der DSB im Namen der Organisation wahrnehmen kann, bestimmte Einschränkungen zu beachten sind.

Die Entscheidung über die richtige Datenschutzeinrichtung

Ob die Organisation einen betrieblichen Datenschutzbeauftragten (DSB), einen Chief Privacy Officer (DPO) oder beides braucht, hängt von der Größe Ihrer Organisation und von der Art Ihrer Verarbeitungstätigkeiten ab.

Die Datenschutz-Grundverordnung enthält unmittelbare Anhaltspunkte dafür, wann ein DSB zu bestellen ist, nennen wir diese der Einfachheit halber an dieser Stelle fortgeschrittene Datenverarbeitungstätigkeiten: Wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (z.B. Banken, Versicherungen, Kreditauskunfteien und Berufsdetektive) oder die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht (z.B. Krankenanstalten). Zur Auslegung der Bestimmungen zum obligatorischen Datenschutz­beauftragten i.S.d. DSGVO sowie zu dessen Aufgaben können die Guidelines der ehemaligen Art 29-Gruppe (seit 25.5.2018 „Europäischer Datenschutzausschuss“) zum Datenschutzbeauftragten herangezogen werden.

Für kleinerer Organisationen, die diesen Anforderungen unterliegen, kann es jedoch schwierig sein, einen Vollzeit-DSB zu bestellen. Darüber hinaus und insbesondere für kleinere Organisationen, die an fortgeschritteneren Datenverarbeitungstätigkeiten beteiligt sind, wird es oft einen gesonderten Bedarf an operativer Datenschutzunterstützung geben, z. B. Aushandlung von Datenverarbeitungsverträgen, Datenschutzberatung bei der Entwicklung neuer Dienste usw.

In ähnlicher Weise verarbeiten B2B-Organisationen, die nicht-digitale Produkte herstellen, möglicherweise nur in begrenztem Umfang personenbezogene Daten über ihre Mitarbeiter und einige wenige Geschäftsbeziehungen. Ebenso wie diese Arten von Organisationen nicht verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, wäre es auch aus betrieblicher Sicht wenig sinnvoll, eine Vollzeitkraft für Datenschutzfragen abzustellen.

Auf der anderen Seite des Spektrums finden sich Unternehmen, die ihre Größe, Reife und organisatorische Komplexität erhöht haben. Selbst B2B-Organisationen, die einen bestimmten Schwellenwert an Mitarbeitern überschritten haben, können feststellen, dass ihre organisatorische Komplexität und die fortschrittlicheren Maßnahmen zur Verwaltung der Mitarbeiter eine oder mehrere Vollzeit-Datenschutzressourcen rechtfertigen.

Die Frage stellt sich, wann und wen das Unternehmen zur Unterstützung der verschiedenen Funktionen in Datenschutzfragen ernennen sollte.

Wann ist welcher Ansprechpartner für den Datenschutz zu benennen?

Weniger als 250 Mitarbeiter

Im Allgemeinen ist es für kleinere Organisationen, die nicht mit fortgeschrittener Datenverarbeitung befasst sind, nicht notwendig, eine eigene Person für den Datenschutz zu benennen. Es ist nicht sinnvoll, einfach jemanden in der Organisation als “Datenschutzbeauftragten” zu nominieren, wenn diese Person weder über das Wissen noch das Interesse am Datenschutz verfügt. Stattdessen sollte diese Art von Organisation auf externe Ad-hoc-Beratung zurückgreifen, wenn sie gelegentlich auf eine Datenschutzfrage stößt.

Wenn die kleinere Organisation tatsächlich in fortgeschrittene Datenverarbeitungstätigkeiten involviert ist und daher einen obligatorischen Datenschutzbeauftragten benennen muss, wird es für die Organisation meist am sinnvollsten sein, einen externen Datenschutzbeauftragten in Teilzeit zu benennen und sich stattdessen auf die interne Rechtsabteilung zu verlassen, um die Organisation in alltäglichen operativen Datenschutzfragen zu unterstützen.

250 bis 999 Mitarbeiter

Organisationen, die eine bestimmte Größe erreicht haben und mit Standarddatenverarbeitungstätigkeiten in Bezug auf Mitarbeiter und Kunden befasst sind, werden häufig auf den Bedarf an internem Datenschutzfachwissen stoßen, um die Organisation in verschiedenen Angelegenheiten zu leiten und zu unterstützen. Der Umfang der Aufgaben wird meist so groß sein, dass keine Vollzeitstelle zur Bewältigung des Arbeitsaufkommens erforderlich ist. Daher wird die Datenschutzunterstützung oft am besten von einer Ressource im Team der Rechtsabteilung geleistet, die eine Fortbildung oder Spezialisierung im Bereich des Datenschutzes absolviert hat.

Diese Situation ändert sich, wenn die Organisation in fortgeschrittenere Datenverarbeitungstätigkeiten involviert ist. Dies wird häufig bei kleineren Organisationen der Fall sein, deren Kerndienstleistungen auf fortgeschrittenen Datenverarbeitungsfähigkeiten beruhen. In dieser Situation wird die Organisation mit einem ausgeprägten und wiederkehrenden Bedarf an interner Klärung von Datenschutzfragen konfrontiert sein. In dieser Situation rechtfertigen alle organisatorischen Umstände und Bedürfnisse die Ernennung einer Vollzeitstelle für den Datenschutz. Dies bedeutet jedoch nicht unbedingt, dass es sich bei der Vollzeitkraft um einen betrieblichen Datenschutzbeauftragten handeln muss. In den meisten Fällen stehen die zeitaufwändigen Aufgaben im Zusammenhang mit der Entwicklung, Gestaltung, Prüfung und Genehmigung neuer Dienste. Daher ist ein DSB – mit seinen Einschränkungen – möglicherweise nicht die Stelle, die die Organisation braucht. Stattdessen wird es für derartige Organisationen sinnvoll sein, einen CPO zu ernennen und sich auf die Ernennung eines internen oder externen Teilzeit-DPO zu verlassen.

1000 bis 4999 Mitarbeiter

Für größere Organisationen mit einer komplexeren Organisationsstruktur und einer größeren Anzahl von Geschäftsprozessen wird es notwendig sein, eine spezielle Datenschutzressource zu ernennen. Selbst für größere Organisationen mit begrenztem Datenverarbeitungsbedarf erfordert die obligatorische Pflege des Verarbeitungsverzeichnisses und die wiederkehrende Notwendigkeit, mit einer Reihe von externen Parteien für verschiedene Geschäftsanforderungen Datenschutzvereinbarungen abzuschließen, Expertenwissen über die Datenschutzanforderungen innerhalb der Organisation. Für größere Organisationen mit standardmäßigen Datenverarbeitungsanforderungen ist die Ernennung eines hauptamtlichen CPO, der die Organisation in alltäglichen Datenschutzfragen aktiv unterstützen kann, die richtige Wahl, um eine enge Unterstützung der Organisation zu gewährleisten.

Ist die größere Organisation an fortgeschrittenen Datenverarbeitungstätigkeiten beteiligt, z. B. in den Bereichen Telekommunikation, Banken, Versicherungen oder Pharmazeutik, ist es sinnvoll, sowohl einen Vollzeit-CPO als auch einen Vollzeit-DSB zu bestellen. Der CPO sollte immer eine interne Ressource sein, die im Tagesgeschäft eng mit den verschiedenen Geschäftsbereichen des Unternehmens zusammenarbeiten kann. Ob der DSB eine interne oder externe Ressource ist, hängt von der Häufigkeit und dem Umfang der Verarbeitungstätigkeiten ab.

>5000 Mitarbeiter

Große Organisationen werden – aufgrund ihrer schieren Größe und der Anzahl ihrer Mitarbeiter – in großem Umfang personenbezogene Daten verarbeiten. Darüber hinaus deuten alle Trends und Entwicklungen darauf hin, dass selbst weniger datenabhängige Organisationen und Branchen neue und fortschrittlichere Datenverarbeitungsfunktionen einführen müssen, um die Anforderungen von Unternehmen (z. B. Mitarbeiterverwaltung) und Kunden in Zukunft erfüllen zu können.

Für alle Arten von Organisationen in dieser Kategorie rechtfertigt dies eine spezielle Vollzeitressource, um intern das Bewusstsein für Datenschutzanforderungen und deren Einhaltung zu fördern.

Es ist von entscheidender Bedeutung, dass Organisationen die Verantwortung für die Entwicklung einer soliden Datenschutzgrundlage zuweisen und sich diese zu eigen machen. Aufgrund der Beschränkungen der Rolle des DSB kann diese Aufgabe nicht auf diese Funktion übertragen werden. Daher ist der CPO die richtige Wahl, um die Entwicklung dieser Grundlage zu übernehmen und voranzutreiben. Die Bedeutung des DSB in Organisationen sollte jedoch auch nicht unterschätzt werden. Für Organisationen dieser Größe spielt der DSB eine entscheidende Rolle, wenn es darum geht, die Effektivität der Geschäftsprozesse zu gewährleisten und Hinweise und Ratschläge zu geben, wie die Organisation die Risiken für die betroffenen Personen, die die Verarbeitungstätigkeiten der Organisation mit sich bringen können, am besten eindämmen kann.

Organisatorische Einordnung des DSB und des CPO

Ein Thema, das im Zusammenhang mit den beiden Funktionen häufig aufkommt, ist die Frage, wo die Funktionen aufbauorganisatorisch verankert werden sollten.

Es liegt auf der Hand, dass die Anforderungen der Datenschutz-Grundverordnung und die nachfolgenden Beschlüsse verschiedener Aufsichtsbehörden gewisse Beschränkungen dafür vorsehen, wie und wo der DSB organisiert werden kann.

In der Rechtssache 41FR/2021 der luxemburgischen CNPD wurde festgestellt, dass das Vorhandensein mehrerer hierarchischer Ebenen zwischen dem DSB und der höchsten Führungsebene des Unternehmens gegen Art. 38(3) verstößt. Dieser organisatorische Aufbau hatte zur Folge, dass der DSB nicht direkt der obersten Führungsebene des Unternehmens Bericht erstatten konnte und nicht über ein ausreichendes Maß an Autonomie und Unabhängigkeit verfügte, um zu entscheiden, wann und wie diese Berichterstattung erfolgen sollte.

Für kleinere und die meisten mittelgroßen Organisationen ist es oft schwierig, einen unabhängigen Datenschutzbeauftragten einzurichten, der direkt an die Unternehmensleitung berichtet. Andererseits werden größere Organisationen oft die Notwendigkeit sehen, andere ähnliche Funktionen einzurichten, z. B. Compliance und Interne Revision, welche direkt der Geschäftsleitung oder dem Vorstand unterstellt sind. Wenn interne Ausschüsse eingerichtet wurden, die regelmäßig Berichte von anderen Funktionen als dem DSB erhalten, ist es in der Regel einfacher, eine direkte Berichtslinie für den DSB einzurichten.

Es ist jedoch möglich, die Anforderung der Datenschutz-Grundverordnung bezüglich der Berichtslinie auf andere Weise zu erfüllen. Der DSB kann innerhalb verschiedener organisatorischer Funktionen wie der Rechtsabteilung, der Compliance-Abteilung und sogar der Sicherheitsabteilung angesiedelt werden, sofern es ein klares Mandat gibt, in dem die Rechte und die Unabhängigkeit des DSB festgelegt sind, und der DSB – wie oben erwähnt – nicht an Aufgaben im Zusammenhang mit der Festlegung der Zwecke oder Mittel der Verarbeitung personenbezogener Daten beteiligt ist. Siehe zum Beispiel Fall 56/2021 der belgischen APD/GBA, in dem die Aufsichtsbehörde entschied, dass kein Interessenkonflikt zwischen der Funktion des DSB und der eines nicht-operativen Chief Information Security Officer besteht.

Was den CPO betrifft, so hat die Organisation viel mehr Spielraum, um zu entscheiden, wie die Rolle organisiert werden soll. Da die Rolle eher operativ ausgerichtet ist, wird der Chief Privacy Officer häufig dem Leiter der Rechtsabteilung, dem Leiter der Compliance-Abteilung oder dem CEO direkt unterstellt sein. Wo die Rolle am besten organisiert ist, hängt von der bestehenden organisatorischen Aufteilung der Verantwortung von Unternehmen zu Unternehmen und den Aufgaben ab, die die Hauptbestandteile der Rolle des CPO ausmachen.

Wird erwartet, dass die Rolle hauptsächlich in der täglichen Beratung und Betreuung von betrieblichen Datenschutzangelegenheiten liegt, kann es am sinnvollsten sein, die Rolle in der Rechtsabteilung zu organisieren. Wenn von der Rolle erwartet wird, dass sie eine wichtigere Rolle bei der Awarenessbildung, der Schulung der Mitarbeitenden und der Entwicklung der Governance spielt, kann es sinnvoller sein, die Rolle im Bereich der Compliance zu platzieren. Wenn die Datenverarbeitung ein grundlegender Bestandteil der Kernaktivitäten des Unternehmens ist und das Vertrauen der Kunden in die Datenverarbeitung des Unternehmens für den langfristigen Erfolg des Unternehmens entscheidend ist, kann es sinnvoll sein, dass der CPO dem CEO unterstellt ist. Der IAPP-Jahresbericht 2021 zur Datenschutz-Governance zeigt, dass 30 % der “Privacy Leaders” an den General Counsel, 18 % an den CEO und 16 % an den Chief Compliance Officer berichten.

Nicholai Pfeiffer geht davon aus, dass die neuen Anforderungen, die sich aus den zukünftigen gesetzlichen Initiativen auf europäischer Ebene ergeben werden, die Notwendigkeit, den Datenschutz in einer Reihe von Organisationen zu überdenken, noch verstärken werden. Da die Anforderungen immer spezifischer und komplexer werden, wird der Bedarf an einem engen Austausch mit den Datenschutzexperten der Organisation steigen. Während die Beteiligung des CPO und des DSB an diesen künftigen Diskussionen von entscheidender Bedeutung sein wird, müssen die Organisationen bedenken, dass der CPO und der DSB zwei wichtige, aber auch sehr unterschiedliche Rollen erfüllen.