Datenschutzbeauftragter Aufgaben und Pflichten

Datenschutzbeauftragter Aufgaben und Pflichten

Dieser Text informiert ausführlich über die Aufgaben, die ein Datenschutzbeauftragter nach der Verabschiedung der Datenschutz-Grundverordnung (Art. 37 Abs. 1 DSGVO) von Seiten der Europäischen Union (EU) innerhalb von Unternehmen wahrnimmt. Der Grund liegt in der Änderung der Aufgabenschwerpunkte von Datenschutzbeauftragten, die sich aus der DSGVO ergeben und gekannt werden sollten.

Datenschutzbeauftragter nach DSGVO

Die DSGVO legt für bestimmte Konstellationen unmittelbar die Pflicht fest, einen DSB zu benennen (Art. 37 Abs. 1 DSGVO). Mitgliedstaaten haben darüber hinaus auch die Befugnis, die Benennung eines DSB vorzuschreiben (Art. 37 Abs. 4 DSGVO). Vorgabe im BDSG-alt § 4f BDSG und BDSG-neu § 38.

Jeder Datenschutzbeauftragte hat, völlig unabhängig von der Regelung, nach der dieser bestellt wurde, identische Aufgaben zu erledigen. Diese ergeben sich nach der aktuellen DSGVO, sodass der nationale Gesetzgeber keinerlei Befugnis hat, dem Datenschutzbeauftragten in Eigenregie Aufgaben zuzuteilen.

 

DSB muss Interessenskonflikte meiden

Die DSGVO legt fest, dass es bei den dort geregelten Aufgaben und Pflichten des DSB, sowie der weiteren Aufgaben und Pflichten, die der Datenschutzbeauftragte ebenfalls wahrnimmt, wichtig ist, dass folglich dabei keine Interessenkonflikte entstehen dürfen.

  • Artikel 38 Abs. 6 Satz 1 DSGVO:

„Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen.“

  • Artikel 38 Abs. 6 Satz 2 DSGVO:

„Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“

 

Die zu berücksichtigenden Leitlinien Artikel 29 DSGVO

Grundsätzlich wird sich in Zukunft vor allem an den Leitlinien für Datenschutzbeauftragte der Gruppe nach dem Artikel 29 DSGVO richten. Darin steht, unter anderem, dass:

  • Der Datenschutzbeauftragte keine Position im Unternehmen haben darf, die diesen dazu bevollmächtigt, die Zwecke und/oder Mittel der Verarbeitung von personenbezogenen Daten festzulegen

 

  • Eine Einzelfallbetrachtung immer dann erforderlich ist, wenn es die organisatorischen Strukturen verlangen

 

  • Bei internen und externen Datenschutzbeauftragten ist zu berücksichtigen, dass Interessenkonflikte unterschiedliche Aspekte aufweisen können

 

  • Beispiel nicht miteinander vereinbare Aufgaben: Eine Stelle als leitende Funktion im Unternehmen wie beispielsweise im Personalwesen oder Marketing. In dieser Position wird auch über Zwecke und Mittel der Verarbeitung personenbezogener Daten festgelegt.

 

  • Empfohlen wird, die Ausschreibung für die Stelle als Datenbeauftragter so zu formulieren, dass auf mögliche Interessenkonflikte hingewiesen wird

Was hat sich geändert:  Betrachtung von Einzelfällen möglich?

Im Vergleich zu der bisherigen Regelung gibt es deutliche Unterschiede, vor allem im Hinblick auf die Frage, welche Aufgaben explizit einen Interessenkonflikt mit der Arbeit des Datenschutzbeauftragten darstellen.

Neu angefügt wurde der Hinweis, dass es zunächst auf den Einzelfall und von der Situation im konkreten Unternehmen ankomme. Empfehlung ist jedoch nichtsdestotrotz immer die vorherige Prüfung und Entscheidung, welche Funktionen allgemein nicht mit der Arbeit beziehungsweise den Tätigkeiten des Datenschutzbeauftragten vereinbar oder nicht vereinbar sind.

 

Risikoeinschätzung durch DSB

Artikel 38 Abs. 3 Satz 1 DSGVO: Festgelegt ist, dass der Datenschutzbeauftragte bezüglich der Ausübung seiner Aufgaben keine Anweisungen erhalten darf.

Artikel 39 Abs. 2 DSGVO: Es obliegt dem Datenschutzbeauftragten, welches Risiko mit den Verarbeitungsvorgängen verbunden ist und seine Tätigkeitsschwerpunkte danach auszurichten.

Folglich gesehen, hat ein DSB die Pflicht zu einem risikoorientierten Vorgehen. Wie er dies konkret umsetzt, liegt dabei in seiner eigenen Verantwortung.

 

Pflichten und Aufgaben Datenschutzbeauftragter laut DSGVO:

  1. Interne Aufgaben im Unternehmen
  • Unterrichtung sowie Beratung von den beschäftigten Personen im Unternehmen
  • Überwachung und Einhaltung der Vorgaben der DSGVO sowie genauso anderer Datenschutzvorschriften der Union und zudem auch der Datenschutzvorschriften der Mitgliedstaaten wie auch des BDSG-neu. Festgelegt in Art. 38 Abs. 1b. Zu diesen Aufgaben benennt die DSGVO die Überwachung der Einhaltung der Strategien für den Schutz personenbezogener Daten. Auch die Sensibilisierung und Schulung von Mitarbeitern und dementsprechend die damit verbundenen Überprüfungen sind hierzu die Aufgaben des DSB.

 

  1. Verhältnis zur Aufsichtsbehörde 
  • Nach der DSGVO ist der Datenschutzbeauftragter die Anlaufstelle für die Aufsichtsbehörde, sodass dieser für die Behörde zu erreichen sein muss.
  • Artikel 39 Abs. 1e DSGVO: DSB ist die Anlaufstelle für die Aufsichtsbehörde
  • Artikel 39 Abs. 1d DSGVO: DSB ist zur Zusammenarbeit mit der Aufsichtsbehörde.

 

  1. Ansprechpartner für Betroffene

Artikel 38 Abs. 4 DSGVO. Der Datenschutzbeauftragte ist die Anlaufstelle für die Betroffenen. Diese haben das Recht, den DSB „zu Rate zu ziehen“, die mit „der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte“ gemäß der DSGVO im Zusammenhang stehen.

Zu beachten ist überdies, dass die Betroffenen Zugang zu den Kontaktdaten des Datenschutzbeauftragten erhalten (Artikel 37 Abs. 7 DSGVO). Allerdings muss der Name nicht zwingend veröffentlicht werden, es reichen die Postanschrift, Telefonnummer sowie die E-Mail Kontaktdaten. Nichtsdestotrotz können Datenschutzbeauftragte nach der DSGVO auch weitere Formen der Kontaktaufnahme anbieten, wie zum Beispiel die per Kontaktformular auf der Internetseite.

 

Datenschutz-Folgenabschätzung

Auch eine Aufgabe, die der DSB auf Anfrage wahrzunehmen hat, ist die Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung (Artikel 39 Abs. 1c DSGVO). Der Verantwortliche Auftragsverarbeiter hat die Pflicht, bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten einzuholen (Artikel 35 Abs. 2 DSGVO).

Gleichzeitig ist er verpflichtet, den DSB ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen auf jeden Fall einzubinden (Art. 38 Abs. 1 DSGVO).

 

Die Neuerungen im Haftungsrisiko

Aufgabe des DSB, ist die Einhaltung der DSGVO und anderer Vorschriften „zu überwachen“ (Artikel 39 Abs. 1b). Ein DSB verfügt über keine verbindlichen Entscheidungsbefugnisse. Die Überwachung der Einhaltung ist infolgedessen nicht gleichzusetzen mit der persönlichen Verantwortung des DSB. Dies bedeutet nach Erwägungsgrund 97: Der DSB soll den Verantwortlichen bzw. den Auftragsverarbeiter lediglich „unterstützen“ (Artikel 24 DSGVO Verantwortung des für die Verarbeitung Verantwortlichen).

Abschließend hierzu sei bemerkt, dass es zwar einige Änderungen gibt, die die DSGVO mit sich bringt, jedoch keine  Neuerungen im Haftungsrisiko von Datenschutzbeauftragten entstehen.

 

2018-08-10T15:04:01+00:00

Leave A Comment

*