Datenschutzbeauftragter Aufgaben

Datenschutz VerstehenDatenschutzbeauftragter Aufgaben gem. DSGVO

Kurze Zusammenfassung

Verantwortliche Unternehmen sind in vielen Konstellationen verpflichtet, einen Datenschutzbeauftragten zu bestellen. Hierfür existieren spezielle gesetzliche Regelungen in der europäischen Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG-neu). Datenschutzbeauftragte übernehmen die gesamte Koordination von datenschutzrechtlichen Aufgaben im Unternehmen und entlasten auf diese Weise die Geschäftsführung und das Management eines Unternehmens, da grundsätzlich die höchste Management-Ebene für die Umsetzung des Datenschutzes verantwortlich ist. Es wird zudem immer deutlicher, dass die vorübergehende Schonfrist nun vorbei ist und die Umsetzung des Datenschutzes immer wichtiger wird. Besonders um empfindliche Bußgelder in den kommenden Jahren zu vermeiden, helfen Datenschutzbeauftragte den Unternehmen ungemein mit ihrer Expertise. In unserem Blogbeitrag erfahren Sie, welche zentralen Aufgaben ein Datenschutzbeauftragter nach den Vorgaben der europäischen DSGVO hat und welche Rolle Datenschutzbeauftragte in Unternehmen übernehmen.

 

Aufgaben des Datenschutzbeauftragten gemäß DSGVO

Der Datenschutzbeauftragte erfüllt in erster Linie eine neutrale Kontrollfunktion für die Verarbeitung von personenbezogenen Daten im Sinne der DSGVO. Durch die Evaluierung von relevanten Vorgängen im Unternehmen und Etablierung von Maßnahmen, soll der Datenschutz und somit die sensiblen Daten sichergestellt werden.

Die Hauptaufgaben eines Datenschutzbeauftragten sind:

  • Unterrichtung und Beratung: Der Datenschutzbeauftragte unterrichtet und berät verantwortliche Unternehmen in allen relevanten Fragen des Datenschutzes. Er hilft hierdurch dem Verantwortlichen dabei, seine Pflichten einzuhalten. Durch das lösungsorientierte Vorgehen eines Datenschutzbeauftragten können Datenschutz und Unternehmertum in Einklang gebracht werden. Zu den zu beratenden Personen zählen der Verantwortliche (zumeist Unternehmer) selbst, sowie dessen Mitarbeiter.
    Art. 37 Abs. 1 DSGVO stellt ferner klar, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden werden muss.
  • Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften: Der Datenschutzbeauftragte erfüllt seine gesetzliche Pflicht auch dadurch, dass er die Einhaltung der DSGVO überwacht. Er dient hierbei als verlängerter Arm der Aufsichtsbehörde und stellt durch ausgewählte Maßnahmen sicher, dass Verantwortliche ihren Pflichten nachkommen. Essenziell ist auch die Überwachung der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen durch den Datenschutzbeauftragten. Die Management-Ebene eines Unternehmens muss zudem den Datenschutzbeauftragten nach Art. 38 Abs. 2 DSGVO unterstützen und erforderliche Ressourcen zur Verfügung stellen. Darüber hinaus ist der Datenschutzbeauftragte an Weisungen nicht gebunden, vgl. Art. 38 Abs. 3 DSGVO.
  • Zusammenarbeit mit Aufsichtsbehörden: Eine weitere wichtige Aufgabe des Datenschutzbeauftragten ist die Korrespondenz mit Aufsichtsbehörden sowie die Koordination in bestimmten Fällen, wie Datenschutzverstößen oder Meldepflichten. Nach der DSGVO müssen zudem regelmäßig Fristen eingehalten werden. Ein Datenschutzbeauftragter weiß diese Fristen einzuhalten und die Probleme zu lösen.  Er dient dabei insbesondere der Aufsichtsbehörde gem. Art. 37 Abs. 1 DSGVO aber auch allen anderen Personen als erster Ansprechpartner für datenschutzrechtliche Fragen.
  • Datenschutzfolgenabschätzung: Zusätzlich gehört auch die Beratung bei Datenschutz-Folgenabschätzungen und in diesem Zusammenhang die vorherige Konsultation gem. Art. 36 DSGVO zu den Aufgaben des Datenschutzbeauftragten. Der Datenschutzbeauftragte unterstützt den Verantwortlichen bei der richtigen Erstellung der Risikoanalyse bzw. der Risikoabschätzung, bevor die jeweilige Datenverarbeitung durchgeführt wird.
  • Erstellung von Richtlinien: Um dem Prinzip der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO gerecht zu werden hilft der Datenschutzbeauftragte dem Verantwortlichen bei der Erstellung von Datenschutzrichtlinien z.B. für die IT– und Internet-Nutzung. Durch diese soll erreicht werden, dass eine einheitliche interne Regelung zum Datenschutz im Unternehmen getroffen wird.
  • Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten: Die Pflicht zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten tragen gem. Art. 30 DSGVO verantwortliche Stellen sowie Auftragsverarbeiter. Der Datenschutzbeauftragte unterstützt bei den notwendigen Angaben des VVT und hilft bei den inhaltlichen Anforderungen gem. Art. 30 Abs. 1 lit. a) bis g) DSGVO. Er kontrolliert das angefertigte VVT auf Schlüssigkeit und kann zur Verbesserung beitragen.

Liste der Aufgaben eines Datenschutzbeauftragten

Zusätzlich kann der Datenschutzbeauftragte  gem. Art. 37 bis Art. 39 DSGVO u.a. folgende Aufgaben übernehmen:

  • Kommunikation mit Auftragsverarbeitern und Dienstleistern
  • Erstellung von Auftragsverarbeitungsverträgen (AVV)
  • Koordination der Abschlüsse von Auftragsverarbeitungsverträgen
  • Prüfung und Erstellung von Datenschutzerklärungen
  • Erstellung und Prüfung von Einwilligungserklärungen
  • Entwicklung eines Verfahrens für die Bearbeitung von Betroffenenrechten
  • Prüfung von technisch-organisatorischen Maßnahmen
  • Empfehlungen für gesetzlich erforderliche technisch-organisatorische Maßnahmen
  • Entwurf von Berechtigungs– und Löschkonzepten
  • Prüfung und Niederschrift von Informationsschreiben für betroffene Personen
  • Erstellung von Vertragswerken, wie z.B. EU-Standard-Datenschutzklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO für den Transfer von personenbezogenen Daten in Drittländer oder der Entwurf eines Vertrages zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO

Doch ab wann wird die Bestellung eines Datenschutzbeauftragten benötigt? Informationen, ab wann Sie einen Datenschutzbeauftragten benötigen finden Sie hier.

Sie suchen einen Datenschutzbeauftragten?

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei und unverbindlich von Keyed ein Angebot für die Umsetzung im Datenschutz.

Slider
 

Aufgaben des Datenschutzbeauftragten im Detail

Schwerpunkt der Tätigkeit eines Datenschutzbeauftragten ist die Beratung. Dies betrifft alle Fragen rund um das Thema Datenschutz. Die Beratung erfolgt dabei vor Ort, telefonisch und per E-Mail. Daneben ist gerade die Erstellung von gesetzlich erforderlichen Dokumentationen essenziell: In der DSGVO wurde nämlich erst eine sog. Beweislastumkehr in Art. 5 Abs. 2 DSGVO geregelt. Das bedeutet, dass Unternehmen den Nachweis für die Einhaltung der datenschutzrechtlichen Vorgaben erbringen müssen. Das ist einer der Gründe, warum nahezu alle datenschutzrechtlichen Aufgaben dokumentiert werden müssen. Um Unternehmen von dieser zeitaufwendigen Dokumentationspflicht zu entlasten, übernimmt der Datenschutzbeauftragte die Anfertigung der Dokumentationen. Dies gilt insbesondere für das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO oder für die Niederschrift von eingerichteten technisch-organisatorischen Maßnahmen i.S.v. Art. 32 DSGVO. Die Schulung der Mitarbeiter und die Zusammenarbeit mit den Aufsichtsbehörden sind ebenfalls ein wichtiger Aufgabenbereich des Datenschutzbeauftragten. Die beratende und teilweise auch federführende Tätigkeit im Bereich von Datenschutz-Folgenabschätzungen gem. Art. 35 DSGVO, ist eine weitere Tätigkeit des Datenschutzbeauftragten, durch welche verantwortliche Unternehmen ungemein entlastet werden.

 

Ablauf der Aufgaben eines Datenschutzbeauftragten

Datenschutzbeauftragte befolgen bei der Erfüllung ihrer Aufgaben in der Regel einen bestimmten idealtypischen Ablauf: Zunächst werden im Rahmen einer Prozessanalyse bzw. Bestandsaufnahme alle derzeit stattfindenden Verarbeitungen von personenbezogenen Daten und der aktuelle Stand im Datenschutz aufgenommen, anschließend werden gesetzlich erforderliche Dokumentationen angefertigt. Datenschutzrechtlich erforderliche Maßnahmen werden im nächsten Schritt in Absprache mit dem verantwortlichen Unternehmen umgesetzt und weitere erforderliche Handlungsbedarfe festgehalten. Gleichzeitig wird von Beginn an ein Datenschutz-Management-System etabliert, um die komplexen Aufgaben im Datenschutz übersichtlich, agil und dynamisch zu lösen. 

 

Welche Aufgaben eines Datenschutzbeauftragten fallen regelmäßig im Unternehmen an?

Datenschutzbeauftragte fertigen in der Regel im ersten Schritt nach der Auditierung bzw. Bestandsaufnahme die gesetzlich erforderlichen Dokumentationen an. Hierzu gehören beispielsweise das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO, Einwilligungserklärungen nach Art. 7, 8 DSGVO, Informationsschreiben gem. Art. 12 ff. DSGVO oder die Erstellung von Berichten, beispielsweise im Anschluss an eine Auditierung.

Die erforderlichen Schulungen von Mitarbeitern im Datenschutz können persönlich von dem Datenschutzbeauftragten durchgeführt werden oder mittels einer E-Learning-Plattform koordiniert werden. Die Beratung von verantwortlichen Unternehmen in allen datenschutzrechtlichen Fragen beansprucht den größten Teil im Aufgabenbereich eines Datenschutzbeauftragten. Auch die Bearbeitung von Betroffenenrechten, wie z.B. im Fall der Geltendmachung eines Auskunftsrechts gem. Art. 15 DSGVO, kann an den Datenschutzbeauftragten delegiert werden. 

Mehr zu den Kosten von Datenschutzbeauftragten erfahren Sie hier.

Sie möchten mehr zu dem Thema Datenschutz erfahren?

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Slider
 

Ist ein Datenschutzbeauftragter weisungsbefugt?

Unter einer Weisung versteht man eine Anordnung, die beschreibt, das etwas zu erledigen, oder zu unterlassen ist. Eine Weisungsbefugnis wird grundsätzlich Vorgesetzten zugeschrieben. Aufgrund ihrer Fachkompetenz und Erfahrung erteilen sie Handlungsanweisungen an Weisungsgebundene. Weisungsfreiheit hingegen liegt vor, wenn jemand nicht an Weisungen gebunden ist. Diese Definitionen spielen auch für die Stellung des Datenschutzbeauftragten eine wichtige Rolle, denn er ist zwar weisungsfrei, jedoch nicht weisungsbefugt. Konkret bedeutet dies, dass er seiner Tätigkeit nachgehen muss, ohne Handlungsanweisungen von einem Vorgesetzten zu erhalten. Allerdings darf er selbst keine verpflichtenden Anweisungen geben, sondern lediglich beratend tätig werden.

Für die Beratung durch den Datenschutzbeauftragten gilt die Regelung des unmittelbaren Berichtswegs an die höchste Managementebene gem. Art. 38 Abs. 3 S. 3 DSGVO. Er hat somit die Verpflichtung direkt an den Verantwortlichen, dessen Managementebene oder an den Auftragsverarbeiter zu berichten. Die Berichtspflicht des Datenschutzbeauftragten umfasst auch die Pflicht der Regelmäßigkeit, diese kann halbjährlich oder jährlich sein. Berichte müssen also in regelmäßigen Abständen unmittelbar an die höchste Managementebene gegeben werden.

 

Kann jeder zum Datenschutzbeauftragten werden?

Laut Gesetz kann nicht jeder zum Datenschutzbeauftragten ernannt werden. Jede Person, die in einem Interessenkonflikt steht oder bei der die Selbstkontrolle gefährdet ist, ist hiervon explizit gem. Art. 39 Abs. 6 S. 2 DSGVO ausgeschlossen. Dieser Fall liegt vor, wenn der Datenschutzbeauftragte anderen Aufgaben nachkommt, die im Zielkonflikt mit den Grundaufgaben des Datenschutzbeauftragten gem. Art. 39 DSGVO stehen. Zum Beispiel wird die Kontrollfunktion geschwächt, wenn der Datenschutzbeauftragte gleichzeitig der Geschäftsführer oder eine dieser nahestehenden Person ist. Dennoch ist es möglich, dass der Datenschutzbeauftragte anderen Aufgaben und Pflichten nachkommen kann. Solange die datenschutzrechtliche Beratung von einer neutralen Basis ausgeht, die Überwachung des Datenschutzes nicht beeinflusst wird und die Korrespondenz mit Aufsichtsbehörden ebenfalls datenschutzrechtlich neutral gestaltet wird, stellen andere Aufgaben keinen Interessenkonflikt dar.

Die Aufsichtsbehörden sind sich einig, dass die oberste Leistungsebene, also Personen wie der Geschäftsführer, Inhaber, leitende Angestellte, Manager oder Prokuristen, nicht als Datenschutzbeauftragte für das eigene Unternehmen ernannt werden dürfen. Die Vertretungspflicht der Person widerspricht der Kontrollfunktion aus Sicht der DSGVO.

Welche Qualifikation muss ein Datenschutzbeauftragter haben?

Um der Stellung des Datenschutzbeauftragten im Sinne der DSGVO gerecht zu werden, müssen in jedem Fall die Vorgaben des Art. 37 Abs. 5 DSGVO erfüllt sein. Abweichende nationale, z.B. deutsche Regelungen, sind von der DSGVO nicht vorgesehen und auch nicht zugelassen. Den Mitgliedstaaten steht es lediglich offen, ergänzende bzw. zusätzliche Qualifikationen vorauszusetzen. Grundsätzlich muss ein Datenschutzbeauftragter drei Hauptaufgaben erfüllen: Er muss auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens im Bereich Datenschutzrecht benannt werden. Des Weiteren muss der gleiche Qualifikationsstandard für die Datenschutzpraxis vorliegen. Für die dritte Qualifikation muss der Datenschutzbeauftragte in der Lage sein, auf Grundlage seiner Fähigkeiten, die in Art. 39 DSGVO genannten Aufgaben zu erfüllen. Diese Qualifikationen sollten bereits im Vorfeld, also vor Ernennung zum Datenschutzbeauftragten vorliegen. Die Praxis zeigt jedoch, dass dies nicht immer nahtlos möglich ist. Dennoch sollten die Qualifikationen schnellstmöglich nach Ernennung nachgeholt werden und sodann auch erhalten werden. Bedeutet, dass das Wissen stets aktuell gehalten werden muss, um die datenschutzrechtlichen Vorgaben zu erfüllen. Datenschutzbeauftragte können ihr Fachwissen mit entsprechenden Gütesiegeln wie z.B. vom TÜV oder IHK nachweisen. Dabei ist zu berücksichtigen, dass Zertifikate eine Momentaufnahme darstellen und eventuell nicht ausreichend Fachwissen vermitteln, um komplexere datenschutzrechtliche Themen zu behandeln.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

    Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

    Persönliche Angaben

    Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

    Zusätzliche Informationen

    Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

     
    ANGEBOT ERHALTEN