Was muss ein Datenschutzbeauftragter (DSB) können?
Vor einigen Jahren trat die Datenschutz-Grundverordnung (DSGVO) in Kraft. Im Zuge dieses Gesetzes wurden viele neue Regelungen eingeführt wie unter anderem jene, welche die Benennung eines Datenschutzbeauftragten (DSB) durch das Unternehmen verlangt.
Diese Regelung soll sicherstellen, dass ein hohes Maß an Qualität für den Schutz personenbezogener Daten durch den Verantwortlichen oder Auftragsverarbeiter erbracht wird.
Ein Unternehmen hat die Wahl einen internen oder externen Datenschutzbeauftragten zu benennen.
Der interne DSB wird seitens der Geschäftsführung ausgewählt und benannt.
Was sind die Aufgaben eines Datenschutzbeauftragten nach DSGVO?
Der Begriff „Datenschutzbeauftragter“ (DSB) ist Ihnen sicherlich bekannt oder haben Sie schon gehört. Doch welche Funktionen und Aufgaben gehen mit dieser Rolle im betrieblichen Datenschutz einher? Braucht Ihr eigenes Unternehmen überhaupt einen Datenschutzbeauftragten?
In diesem Artikel geben wir Auskunft darüber, wann Sie einen Datenschutzbeauftragten brauchen und welche Verpflichtungen und Aufgaben ein (betrieblicher) Datenschutzbeauftragter nach DSGVO hat.
Wann ist ein Datenschutzbeauftragter erforderlich?
Die DS-GVO gibt in Art. 37 die Voraussetzungen vor, wann der Verantwortliche oder der Auftragsverarbeiter die Pflicht hat, einen Datenschutzbeauftragten zu benennen. Der deutsche Gesetzgeber hat diese Pflicht in § 38 Bundesdatenschutzgesetz (BDSG) n.F. weiter konkretisiert.
So ist ein Datenschutzbeauftragter zum Beispiel grundsätzlich zu benennen, wenn in Ihrem Unternehmen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, Sie also mindestens 20 Mitarbeiter haben, die mit personenbezogenen Daten in Kontakt kommen.
Sollten Sie sich mit den Voraussetzungen der Bestellung eines Datenschutzbeauftragten noch nicht befasst haben, raten wir Ihnen dringend zu einer Überprüfung der Notwendigkeit.
Aufgaben betrieblicher Datenschutzbeauftragter nach DSGVO und BDSG im Unternehmen
Der Datenschutzbeauftragte ist eine Person, die für den Datenschutz verantwortlich ist. Er muss den Schutz personenbezogener Daten durch die Einhaltung relevanter Datenschutzvorschriften gewährleisten.
Dies bedeutet jedoch nicht, dass sich der Datenschutzbeauftragte eigenständig um den gesamten betrieblichen Datenschutz kümmern muss. Er ist berechtigt, Aufgaben zu delegieren und die Einhaltung der Datenschutzvorschriften zu überwachen. Entscheidend ist, dass er die Verantwortung für die Einhaltung der Datenschutzvorschriften übernimmt.
Der Datenschutzbeauftragte selbst muss kein Mitarbeiter des Unternehmens sein. Es besteht die Möglichkeit, sowohl einen internen betrieblichen als auch einen externen Datenschutzbeauftragten, der von einem fachkundigen Dienstleister stammt, zu benennen. Die Aufgaben externer Datenschutzbeauftragter nach DSGVO und BDSG unterscheiden sich nicht.
Was genau zu den Aufgaben eines (betrieblichen) Datenschutzbeauftragten gehört, wird in Art. 39 DS-GVO näher definiert:
- Der Datenschutzbeauftragte überwacht die Einhaltung der Datenschutzvorschriften, insbesondere die der DS-GVO und des BDSG.
Er erstellt und führt das Verarbeitungsverzeichnis, forscht nach und behebt die Ursachen für Datenschutzvorfälle und führt Datenschutz-Kontrollen durch. - Der Datenschutzbeauftragte berät den Verantwortlichen/ den Auftragsverarbeiter in allen datenschutzrechtlichen Angelegenheiten und unterstützt bei der Umsetzung der datenschutzrechtlichen Anforderungen.
So erstellt er beispielsweise Richtlinien, berät hinsichtlich Datenschutz-Folgenabschätzungen und überwacht deren Durchführung gemäß Art. 35 DS-GVO. - Der Datenschutzbeauftragte ist Ansprechpartner für alle Fragestellungen sowohl für den Arbeitgeber als auch für die Arbeitnehmer oder den Betriebsrat. Auch Externe, wie Kunden, Vertragspartner oder Lieferanten können sich mit Fragen an den Datenschutzbeauftragten wenden.
- Ebenso sensibilisiert der Datenschutzbeauftragte im Hinblick auf den Datenschutz. So wird er zum Beispiel bei Schulungen der Mitarbeiter eingebunden, um diesen den richtigen Umgang mit personenbezogenen Daten bei ihrer alltäglichen Arbeit zu vermitteln.
- Der Datenschutzbeauftragte arbeitet zudem auch mit den Aufsichtsbehörden zusammen. Er ist Anlaufstelle für die Aufsichtsbehörden im Zusammenhang mit allen datenschutzrechtlichen Fragestellungen.
Der Aufgabenbereich eines Datenschutzbeauftragten ist also vielseitig und seit der Einführung der DS-GVO gewachsen. Er sollte daher über die erforderliche fachliche Eignung verfügen, um seinen Pflichten und Aufgaben als Datenschutzbeauftragter kompetent und sachkundig nachkommen zu können.
Der Datenschutzbeauftragte ist bei seiner Arbeit nicht an Weisungen gebunden. Er ist aber auch nicht weisungsbefugt. Das heißt für die Umsetzung seiner Empfehlungen bleibt der Verantwortliche oder Auftragsverarbeiter zuständig. Eine gute Kooperation zwischen dem Datenschutzbeauftragten und der Geschäftsführung ist daher entscheidend für einen effektiven betrieblichen Datenschutz.
Aufgaben im Kündigungsschutz
Als benannter DSB verfügt der Arbeitnehmer über einen Kündigungsschutz, der eine Kündigung nur bei grobem Fehlverhalten rechtfertigt. Der Verantwortliche trägt darüber hinaus dafür Sorge, dass er dem DSB alle erforderlichen Mittel zur Verfügung stellt, damit dieser seiner Tätigkeit nachgehen kann.
Wahl des Datenschutzbeauftragten
Bei der Wahl zwischen einem internen oder externen Datenschutzbeauftragten sollte man berücksichtigen, dass ein externer Datenschutzbeauftragte keine Neigung zum eigenen Unternehmen hat und somit neutral bleibt und daher auch keine Interessenkonflikte entstehen können bei der Erfüllung der Aufgaben als Datenschutzbeauftragter.
Darüber hinaus gibt es viele weitere Vorteile die für einen externen Datenschutzbeauftragten sprechen. Diese Vorteile haben wir in unserem Blog ‘Was sind die Kosten eines externen Datenschutzbeauftragten?’ aufgelistet, indem wir unter anderem die Kosten eines externen Datenschutzbeauftragten unter die Lupe nehmen.
Erforderliche Sachkunde
Gemäß DSGVO soll nur als DSB benannt werden, wer die „erforderliche Sachkunde“ mitbringt. Sofern die erforderliche Sachkunde nicht erfüllt werden kann, sind die Aufsichtsbehörden berechtigt, den DSB abzuberufen.
Ein externer Datenschutzbeauftragter bringt die geforderten Qualifikationen in der Regel bereits mit. Die Aufgaben eines externen Datenschutzbeauftragten unterscheiden sich nicht von denen eines internen Datenschutzbeauftragten. Regelmäßig kann ein externer DSB jedoch durch umfassende Erfahrung besser die erforderliche Sachkunde gewährleisten als ein interner DSB.
Es ist von entscheidender Bedeutung das ein DSB über die notwendigen Sachkenntnisse verfügt. Vornehmlich über ein Grundwissen in Datenschutzrecht, der Datenschutzpraxis, IT-Sicherheit sowie über Softskills, um die von der DSGVO vorgeschriebenen Aufgaben und Pflichten eines Datenschutzbeauftragten zu erfüllen.
Dazu gehören Beratungen der Verantwortlichen in Datenschutzrechtlichen Fragestellungen und Unterstützung der Implementierung von Maßnahmen welche die datenschutzrechtlichen Anforderungen umsetzen. Der DSB ist Ansprechpartner für den Arbeitgeber, die Beschäftigten, den Betriebsrat und Externer, wie Vertragspartner, Kunden und Lieferanten. Ebenso ist er primärer Kontakt für Anfragen von und an die zuständigen Aufsichtsbehörden.
Der Datenschutzbeauftragte sollte ebenfalls in Schulungsmaßnahmen der Beschäftigten eingebunden werden. Ziel ist es, die in die Verarbeitung von personenbezogenen Daten involvierten Beschäftigten über allgemeine datenschutzrechtliche Anforderungen aufzuklären um auch hier den Schutz der Daten sicherzustellen.
Als zentrale Aufgabe ist der DSB damit betraut den Verantwortlichen hinsichtlich der Implementierung und Umsetzung von Maßnahmen zu beraten, welche die gesetztes konforme Verarbeitung von personenbezogenen Daten sicherstellen sollen. Anzumerken ist hier, dass der DSB lediglich eine beratende Stellung einnimmt und nicht für die tatsächliche Umsetzung verantwortlich ist.
Verantwortliche sollten hierbei darauf achten, dass die Implementierung datenschutzkonformer Prozesse kein einmaliges Projekt darstellt, sondern einer ständigen Überarbeitung bedarf. Sofern kein Konzept für die Etablierung solcher Prozesse im Rahmen einer Datenschutzorganisation bestehen, sollte der DSB in die Erstellung eines solchen eingebunden werden.
Als erster Anhaltspunkt für eine solche Organisation kann die Erhebung des Verzeichnisses von Verarbeitungstätigkeiten dienen.
Ein solches Verzeichnis hilft bei der Organisation datenschutzkonformer Prozesse und bietet eine schnell zugängliche Quelle um die nötigen Informationen über datenverarbeitende Prozesse zu erlangen.
Im Zuge der Errichtung datenschutzkonformer Prozesse sollte stets die Implementierung datenschutzfreundlicher Vor- und Grundeinstellungen (Privacy by Design/Default) berücksichtigt werden. Dies im Zusammenhang mit regelmäßigen Datenschutzaudits und Risikobewertungen stellt einen guten Weg dar um zukünftig datenschutzkonform agieren zu können und rechtliche Risiken durch fehlende Beachtung der DSGVO zu minimieren.