Datenschutz Verstehen – Datenschutzbeauftragter Aufgabe gem. DSGVO
Einleitung
Unternehmen müssen oft einen Datenschutzbeauftragten gemäß DSGVO und BDSG-neu bestellen. Deren Rolle ist es, datenschutzrechtliche Aufgaben zu koordinieren, die Einhaltung des Datenschutzes zu überwachen und somit die Geschäftsleitung zu entlasten. Angesichts strengerer Datenschutzvorgaben und drohender Bußgelder wird die Funktion des Datenschutzbeauftragten immer wichtiger. Erfahren Sie in unserem Blogbeitrag, welche zentralen Aufgaben Datenschutzbeauftragte haben und wie sie in Unternehmen wirken.
Inhalt:
- Aufgabe des Datenschutzbeauftragten gemäß DSGVO
- Aufgabe des Datenschutzbeauftragten im Detail
- Ablauf der Aufgaben eines Datenschutzbeauftragten
- Welche Aufgaben eines Datenschutzbeauftragten fallen regelmäßig im Unternehmen an?
- Ist ein Datenschutzbeauftragter weisungsbefugt?
- Kann jeder zum Datenschutzbeauftragter werden?
- Welche Qualifikationen muss ein Datenschutzbeauftragter haben?
Aufgabe des Datenschutzbeauftragten gemäß DSGVO
Der Datenschutzbeauftragte erfüllt in erster Linie eine neutrale Kontrollfunktion für die Verarbeitung von personenbezogenen Daten durch Unternehmen im Sinne der DSGVO. Dabei sollte ein Datenschutzbeauftragter immer leicht für die relevanten Personen erreichbar sein und über genügend Ressourcen verfügen. Die wesentliche Aufgabe ist neben der Überwachung auch die Beratung des Unternehmens, welches personenbezogene Daten verarbeitet.
Liste der Aufgaben eines Datenschutzbeauftragten
Die Hauptaufgaben eines Datenschutzbeauftragten sind:
- Unterrichtung und Beratung: Der Datenschutzbeauftragte informiert und berät Unternehmen zu Datenschutzfragen und unterstützt sie dabei, ihre Pflichten zu erfüllen. Dies fördert die Vereinbarkeit von Datenschutz und Unternehmertum. Beratung umfasst den Verantwortlichen (meist der Unternehmer) und seine Mitarbeiter. Laut Art. 37 Abs. 1 DSGVO muss der Datenschutzbeauftragte frühzeitig in alle Datenschutzangelegenheiten eingebunden werden.
- Überwachung des Datenschutzes: Der Datenschutzbeauftragte sorgt dafür, dass Unternehmen die DSGVO einhalten. Wichtig sind auch die Überwachung von Zuständigkeiten und die Schulung der Mitarbeiter. Die Unternehmensführung muss den Datenschutzbeauftragten unterstützen und ihm die nötigen Mittel bereitstellen. Zudem ist der Datenschutzbeauftragte in seinen Entscheidungen unabhängig.
- Zusammenarbeit mit Aufsichtsbehörden: Der Datenschutzbeauftragte kommuniziert mit den Aufsichtsbehörden und koordiniert bei Datenschutzverstößen oder Meldepflichten. Er achtet darauf, dass die Fristen der DSGVO eingehalten werden und löst damit verbundene Probleme. Er ist für die Aufsichtsbehörde und andere Personen der Hauptansprechpartner für Fragen zum Datenschutz.
- Datenschutzfolgenabschätzung: Zusätzlich gehört auch die Beratung bei Datenschutz-Folgenabschätzungen und in diesem Zusammenhang die vorherige Konsultation gem. Art. 36 DSGVO zu den Aufgaben des Datenschutzbeauftragten. Der Datenschutzbeauftragte unterstützt den Verantwortlichen bei der richtigen Erstellung der Risikoanalyse bzw. der Risikoabschätzung, bevor die jeweilige Datenverarbeitung durchgeführt wird.
- Erstellung von Richtlinien: Um dem Prinzip der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO gerecht zu werden, hilft der Datenschutzbeauftragte dem Verantwortlichen bei der Erstellung von Datenschutzrichtlinien z.B. für die IT– und Internet-Nutzung. Durch diese soll erreicht werden, dass eine einheitliche interne Regelung zum Datenschutz im Unternehmen getroffen wird.
- Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten: Die Pflicht zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten tragen gem. Art. 30 DSGVO verantwortliche Stellen sowie Auftragsverarbeiter. Der Datenschutzbeauftragte unterstützt bei den notwendigen Angaben des VVT und hilft bei den inhaltlichen Anforderungen gem. Art. 30 Abs. 1 lit. a) bis g) DSGVO. Er kontrolliert das angefertigte VVT auf Schlüssigkeit und kann zur Verbesserung beitragen.
Aufgabe des Datenschutzbeauftragten im Detail
Schwerpunkt der Tätigkeit eines Datenschutzbeauftragten ist die Beratung. Dies betrifft alle Fragen rund um das Thema Datenschutz. Die Beratung erfolgt dabei vor Ort, telefonisch und per E-Mail. Daneben ist gerade die Erstellung von gesetzlich erforderlichen Dokumentationen essenziell: In der DSGVO wurde nämlich erst eine sog. Beweislastumkehr in Art. 5 Abs. 2 DSGVO geregelt. Das bedeutet, dass Unternehmen den Nachweis für die Einhaltung der datenschutzrechtlichen Vorgaben erbringen müssen. Das ist einer der Gründe, warum nahezu alle datenschutzrechtlichen Aufgaben dokumentiert werden müssen. Um Unternehmen von dieser zeitaufwendigen Dokumentationspflicht zu entlasten, übernimmt der Datenschutzbeauftragte die Anfertigung der Dokumentationen. Dies gilt insbesondere für das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO oder für die Niederschrift von eingerichteten technisch-organisatorischen Maßnahmen i.S.v. Art. 32 DSGVO. Die Schulung der Mitarbeiter und die Zusammenarbeit mit den Aufsichtsbehörden sind ebenfalls ein wichtiger Aufgabenbereich des Datenschutzbeauftragten. Die beratende und teilweise auch federführende Tätigkeit im Bereich von Datenschutz-Folgenabschätzungen gem. Art. 35 DSGVO, ist eine weitere Tätigkeit des Datenschutzbeauftragten, durch welche verantwortliche Unternehmen ungemein entlastet werden.
Zusätzlich kann der Datenschutzbeauftragte gem. Art. 37 bis Art. 39 DSGVO u.a. folgende Aufgaben übernehmen:
- Kommunikation mit Auftragsverarbeitern und Dienstleistern
- Erstellung von Auftragsverarbeitungsverträgen (AVV)
- Koordination der Abschlüsse von Auftragsverarbeitungsverträgen
- Prüfung und Erstellung von Datenschutzerklärungen
- Erstellung und Prüfung von Einwilligungserklärungen
- Entwicklung eines Verfahrens für die Bearbeitung von Betroffenenrechten
- Prüfung von technisch-organisatorischen Maßnahmen
- Empfehlungen für gesetzlich erforderliche technisch-organisatorische Maßnahmen
- Entwurf von Berechtigungs– und Löschkonzepten
- Prüfung und Niederschrift von Informationsschreiben für betroffene Personen
- Erstellung von Vertragswerken, wie z.B. EU-Standard-Datenschutzklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO für den Transfer von personenbezogenen Daten in Drittländer oder der Entwurf eines Vertrages zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO
Ablauf der Aufgaben eines Datenschutzbeauftragten
Datenschutzbeauftragte befolgen bei der Erfüllung ihrer Aufgaben in der Regel einen bestimmten idealtypischen Ablauf: Zunächst werden im Rahmen einer Prozessanalyse bzw. Bestandsaufnahme alle derzeit stattfindenden Verarbeitungen von personenbezogenen Daten und der aktuelle Stand im Datenschutz aufgenommen, anschließend werden gesetzlich erforderliche Dokumentationen angefertigt. Datenschutzrechtlich erforderliche Maßnahmen werden im nächsten Schritt in Absprache mit dem verantwortlichen Unternehmen umgesetzt und weitere erforderliche Handlungsbedarfe festgehalten. Gleichzeitig wird von Beginn an ein Datenschutz-Management-System etabliert, um die komplexen Aufgaben im Datenschutz übersichtlich, agil und dynamisch zu lösen.
Welche Aufgaben eines Datenschutzbeauftragten fallen regelmäßig im Unternehmen an?
Datenschutzbeauftragte fertigen in der Regel im ersten Schritt nach der Auditierung bzw. Bestandsaufnahme die gesetzlich erforderlichen Dokumentationen an. Hierzu gehören beispielsweise das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO, Einwilligungserklärungen nach Art. 7, 8 DSGVO, Informationsschreiben gem. Art. 12 ff. DSGVO oder die Erstellung von Berichten, beispielsweise im Anschluss an eine Auditierung.
Die erforderlichen Schulungen von Mitarbeitern im Datenschutz können persönlich von dem Datenschutzbeauftragten durchgeführt werden oder mittels einer E-Learning-Plattform koordiniert werden. Die Beratung von verantwortlichen Unternehmen in allen datenschutzrechtlichen Fragen beansprucht den größten Teil im Aufgabenbereich eines Datenschutzbeauftragten. Auch die Bearbeitung von Betroffenenrechten, wie z.B. im Fall der Geltendmachung eines Auskunftsrechts gem. Art. 15 DSGVO, kann an den Datenschutzbeauftragten delegiert werden.
Mehr zu den Kosten von Datenschutzbeauftragten erfahren Sie hier.
Ist ein Datenschutzbeauftragter weisungsbefugt?
Unter einer Weisung versteht man eine Anordnung, die beschreibt, das etwas zu erledigen, oder zu unterlassen ist. Eine Weisungsbefugnis wird grundsätzlich Vorgesetzten zugeschrieben. Aufgrund ihrer Fachkompetenz und Erfahrung erteilen sie Handlungsanweisungen an Weisungsgebundene. Weisungsfreiheit hingegen liegt vor, wenn jemand nicht an Weisungen gebunden ist. Diese Definitionen spielen auch für die Stellung des Datenschutzbeauftragten eine wichtige Rolle, denn er ist zwar weisungsfrei, jedoch nicht weisungsbefugt. Konkret bedeutet dies, dass er seiner Tätigkeit nachgehen muss, ohne Handlungsanweisungen von einem Vorgesetzten zu erhalten. Allerdings darf er selbst keine verpflichtenden Anweisungen geben, sondern lediglich beratend tätig werden.
Für die Beratung durch den Datenschutzbeauftragten gilt die Regelung des unmittelbaren Berichtswegs an die höchste Managementebene gem. Art. 38 Abs. 3 S. 3 DSGVO. Er hat somit die Verpflichtung direkt an den Verantwortlichen, dessen Managementebene oder an den Auftragsverarbeiter zu berichten. Die Berichtspflicht des Datenschutzbeauftragten umfasst auch die Pflicht der Regelmäßigkeit, diese kann halbjährlich oder jährlich sein. Berichte müssen also in regelmäßigen Abständen unmittelbar an die höchste Managementebene gegeben werden.
Kann jeder zum Datenschutzbeauftragten werden?
Laut Gesetz kann nicht jeder zum Datenschutzbeauftragten ernannt werden. Jede Person, die in einem Interessenkonflikt steht oder bei der die Selbstkontrolle gefährdet ist, ist hiervon explizit gem. Art. 39 Abs. 6 S. 2 DSGVO ausgeschlossen. Dieser Fall liegt vor, wenn der Datenschutzbeauftragte anderen Aufgaben nachkommt, die im Zielkonflikt mit den Grundaufgaben des Datenschutzbeauftragten gem. Art. 39 DSGVO stehen. Zum Beispiel wird die Kontrollfunktion geschwächt, wenn der Datenschutzbeauftragte gleichzeitig der Geschäftsführer oder eine dieser nahestehenden Person ist. Die Berliner Datenschutzbehörde hat hierfür bereits ein Unternehmen mit einem Bußgeld über 525.000 € bestraft. Solange die datenschutzrechtliche Beratung von einer neutralen Basis ausgeht, die Überwachung des Datenschutzes nicht beeinflusst wird und die Korrespondenz mit Aufsichtsbehörden ebenfalls datenschutzrechtlich neutral gestaltet wird, stellen andere Aufgaben keinen Interessenkonflikt dar.
Die Aufsichtsbehörden sind sich einig, dass die oberste Leistungsebene, also Personen wie der Geschäftsführer, Inhaber, leitende Angestellte, Manager oder Prokuristen, nicht als Datenschutzbeauftragte für das eigene Unternehmen ernannt werden dürfen. Die Vertretungspflicht der Person widerspricht der Kontrollfunktion aus Sicht der DSGVO.
Welche Qualifikation muss ein Datenschutzbeauftragter haben?
Um der Stellung des Datenschutzbeauftragten im Sinne der DSGVO gerecht zu werden, müssen in jedem Fall die Vorgaben des Art. 37 Abs. 5 DSGVO erfüllt sein. Abweichende nationale, z.B. deutsche Regelungen, sind von der DSGVO nicht vorgesehen und auch nicht zugelassen. Den Mitgliedstaaten steht es lediglich offen, ergänzende bzw. zusätzliche Qualifikationen vorauszusetzen. Grundsätzlich muss ein Datenschutzbeauftragter drei Hauptaufgaben erfüllen: Er muss auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens im Bereich Datenschutzrecht benannt werden. Des Weiteren muss der gleiche Qualifikationsstandard für die Datenschutzpraxis vorliegen. Für die dritte Qualifikation muss der Datenschutzbeauftragte in der Lage sein, auf Grundlage seiner Fähigkeiten, die in Art. 39 DSGVO genannten Aufgaben zu erfüllen. Diese Qualifikationen sollten bereits im Vorfeld, also vor Ernennung zum Datenschutzbeauftragten vorliegen. Die Praxis zeigt jedoch, dass dies nicht immer nahtlos möglich ist. Dennoch sollten die Qualifikationen schnellstmöglich nach Ernennung nachgeholt werden und sodann auch erhalten werden. Bedeutet, dass das Wissen stets aktuell gehalten werden muss, um die datenschutzrechtlichen Vorgaben zu erfüllen. Datenschutzbeauftragte können ihr Fachwissen mit entsprechenden Gütesiegeln wie z.B. vom TÜV oder IHK nachweisen. Dabei ist zu berücksichtigen, dass Zertifikate eine Momentaufnahme darstellen und eventuell nicht ausreichend Fachwissen vermitteln, um komplexere datenschutzrechtliche Themen zu behandeln.
Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.