Seit einigen Wochen ist das SDM in der V2.0 verfügbar. In diesem Kontext ist im BSI-Grundschutz über den Baustein CON.2 ein expliziter Teil für den Datenschutz eingeflossen. Anstoß nahm unter Datenschutzexperten besonderes folgende Formulierung:
Es heißt hier, dass der DSB „zuständig“ für die Einhaltung der Anforderungen der DSGVO ist. Daraus ergeben sich die Fragen:
- ist der DSB als Zuständiger auf Verantwortlich(er) und somit im Haftungsrisiko? ODER
- handelt hier nur um eine Delegation der Pflichten des Verantwortlichen im Rahmen einer fachlichen Aufgabe, wobei die letztendliche Zuständigkeit für die Einhaltung der DSGVO beim Verantwortlichen bleibt?
Die Frage habe ich an unsere Aufsichtsbehörde in Sachsen-Anhalt gestellt, da ich dort mit jemandem im Kontakt bin, der u. a. auch am SDM mitgearbeitet hat.
Hier die Antwort der Behörde, die ich Rücksprache mit der Behörde veröffentlichen darf.
Abs. 1 lit. b) DS-GVO dem Datenschutzbeauftragten für sein Unternehmen
bzw. seine Behörde die Aufgabe der Überwachung der Einhaltung der DS-GVO
überträgt. Die Überwachung ist, wie auch die Beratung eine ihm von der
DS-GVO übertragene Aufgabe, die sich aus seiner Bestellung als
Datenschutzbeauftragter ergibt. Stellt er Defizite fest, informiert er
den Verantwortlichen (Unternehmensleitung oder Hausspitze bei einer
Behörde). Die Verantwortlichkeit für die Einhaltung bzw. Umsetzung der
DS-GVO wird nicht verschoben, sie verbleibt beim Verantwortlichen. Die
Haftung für die Rechtmäßigkeit der Verarbeitung trifft den Verantwortlichen.Die Formulierung begründet daher auch keine Delegation von Aufgabe oder
Verantwortung. Der Datenschutzbeauftragte kann aber neben den nach Art.
39 Abs. 1 DS-GVO gesetzlich zugewiesenen Aufgaben auch andere
individuell vom Verantwortlichen zugewiesenen Aufgaben wahrnehmen. Bei
der individuellen Zuweisung ist im Blick zu behalten, dass durch den
Zuschnitt von gesetzlichen Überwachungsaufgaben und individuell vom
Verantwortlichen zugewiesenen einzelnen Aufgaben keine
Interessenkollisionen entstehen.
Ich interpretiere die Antwort so, dass es die Verantwortung für die Einhaltung der DSGVO weiter beim Verantwortlichen bleibt und nicht auf den DSB übertragen werden kann. Dieses flankiert auch die jüngste Aussagen der Aufsichtsbehörde Niedersachsen (wenn ich mich recht erinnere), dass Bußgelder auf den Verantwortliche und nicht auf den (externen) DSB abzielen.
Allerdings finde ich den Begriff „Zuständigkeit“ im CON.2 sehr eher unglücklich gewählt. Besser wäre der alte Begriff des BDSG: der DSB „wirkt auf die Einhaltung der Datenschutzgesetze hin“. Denn am Ende kann er nicht entscheiden, sondern nur der Verantwortliche Verarbeiter selbst.
Was meint ihr?