Was macht ein Datenschutzbeauftragter?
Die Stellung eines Datenschutzbeauftragten ergibt sich aus Art. 38, 39 der Datenschutzgrundverordnung (DSGVO). Zusammenfassend gilt, der Datenschutzbeauftragte spielt eine entscheidende Rolle bei der Sicherstellung des Schutzes personenbezogener Daten, der Einhaltung von Datenschutzbestimmungen und der Förderung eines datenschutzorientierten Bewusstseins innerhalb des Unternehmens. Die Stellung eines Datenschutzbeauftragten ergibt sich aus Art. 38, 39 der DSGVO. Im Einzelnen ergeben sich daraus folgende Kerntätigkeiten:
- Frühzeitige Einbindung (Privacy by Design): Gemäß Artikel 38 Absatz 1 DSGVO besteht die Verpflichtung zur frühzeitigen Einbindung des Datenschutzbeauftragten. Dies bedeutet, dass der Datenschutzbeauftragte rechtzeitig und systematisch in alle datenschutzrelevanten Angelegenheiten einbezogen werden muss. Die frühzeitige Einbindung gem. Art. 38 Absatz 1 DSGVO stellt sicher, dass der Datenschutzbeauftragte in die Entscheidungsprozesse eingebunden wird, die potenzielle Auswirkungen auf den Schutz personenbezogener Daten haben. Dies trägt dazu bei, Datenschutzrisiken zu minimieren, die Einhaltung der DSGVO sicherzustellen und das Vertrauen der Betroffenen zu gewinnen.
- Erhaltung seines Fachwissens gem. Art. 38 Abs. 2 DSGVO: Der Datenschutzbeauftragte ist verpflichtet, sein Fachwissen auf dem Gebiet des Datenschutzrechts aufrechtzuerhalten. Dies bedeutet, dass der Datenschutzbeauftragte seine Kenntnisse und Fähigkeiten auf dem Gebiet des Datenschutzes ständig aktualisieren und erweitern muss.
- Ansprechpartner für betroffene Personen gemäß Art. 38 Abs. 4 DSGVO: Der Datenschutzbeauftragte fungiert als Ansprechpartner für betroffene Personen. Diese Bestimmung bedeutet, dass der Datenschutzbeauftragte eine zentrale Rolle in der Kommunikation mit Personen spielt, deren personenbezogene Daten verarbeitet werden. Der Datenschutzbeauftragte informiert die betroffenen Personen über ihre Datenschutzrechte. Dazu gehört die Erklärung, wie ihre Daten verarbeitet werden, zu welchem Zweck dies geschieht und welche Rechte sie in Bezug auf ihre Daten haben. Der Datenschutzbeauftragte unterstützt die betroffenen Personen bei der Ausübung ihrer Datenschutzrechte, wie dem Recht auf Auskunft, Berichtigung, Löschung oder Widerspruch. Er kann über die Verfahren zur Ausübung dieser Rechte informieren und bei Bedarf weitere Unterstützung leisten. Er unterstützt nicht nur bei der Ausübung dieser Rechte, sondern auch im gesamten Prozess des Beschwerdemanagements.
- Unterrichtung und Beratung des Verantwortlichen oder Auftragsverarbeiters gem. Art. 39 Abs. 1 a DSGVO: Der Datenschutzbeauftragte überwacht die Einhaltung der Datenschutzbestimmungen durch den Verantwortlichen oder Auftragsverarbeiter. Er prüft, ob angemessene technische und organisatorische Maßnahmen getroffen wurden, um den Schutz personenbezogener Daten zu gewährleisten, und bietet bei Bedarf Unterstützung zur Verbesserung der Datenschutzstandards.
- Beratung und Schulung Art. 39 Abs. 1 b DSGVO: Der Datenschutzbeauftragte informiert und berät das Unternehmen über die geltenden Datenschutzgesetze und -vorschriften. Er unterstützt bei der Entwicklung und Umsetzung von Datenschutzrichtlinien und -verfahren und schult die Beschäftigten im Umgang mit personenbezogenen Daten.
- Überwachung der Datenschutzpraktiken: Der Datenschutzbeauftragte überwacht die Einhaltung der Datenschutzgesetze und -richtlinien innerhalb des Unternehmens. Er prüft, ob angemessene Sicherheitsmaßnahmen getroffen wurden, um die Vertraulichkeit und Integrität der Daten zu gewährleisten.
- Datenschutz-Folgenabschätzung gem. Art. 39 Abs. 1 c DSGVO: Bei der Einführung neuer Systeme, Technologien oder Prozesse, die Auswirkungen auf den Datenschutz haben könnten, führt der Datenschutzbeauftragte eine Datenschutz-Folgenabschätzung durch. Dabei werden mögliche Risiken für die Privatsphäre identifiziert und geeignete Maßnahmen zur Risikominimierung vorgeschlagen.
- Ansprechpartner für Datenschutzfragen: Der Datenschutzbeauftragte dient als Ansprechpartner für interne und externe Stakeholder, einschließlich Aufsichtsbehörden und betroffenen Personen. Er bearbeitet Datenschutzanfragen, Beschwerden und Datenpannen und unterstützt bei der Umsetzung von Maßnahmen zur Behebung von Verstößen gegen den Datenschutz.
- Zusammenarbeit mit Aufsichtsbehörden Art. 39 Abs. 1 e DSGVO: Der Datenschutzbeauftragte arbeitet eng mit den zuständigen Datenschutzbehörden zusammen, um sicherzustellen, dass das Unternehmen alle rechtlichen Anforderungen erfüllt. Er unterstützt bei der Meldung von Datenschutzverletzungen und kooperiert bei etwaigen Untersuchungen oder Audits.
Die Stellung des Datenschutzbeauftragten gem. Art. 38 DSGVO
Wie die entscheidenden o.g. Punkte sich in der Praxis auswirken und effizient umgesetzt werden können wird folgend erläutert.
Frühzeitige Einbindung (Privacy by Design)
Die effektive Integration von Privacy by Design in die Unternehmensprozesse erfordert einen ganzheitlichen Ansatz und die Einbeziehung aller relevanten Abteilungen. Es ist wichtig, den Datenschutz als grundlegende Anforderung zu betrachten und kontinuierlich daran zu arbeiten, ihn in der Unternehmenskultur zu verankern.
Privacy by Design (PbD) ist ein Ansatz, bei dem der Datenschutz bereits bei der Entwicklung von Produkten, Dienstleistungen und Geschäftsprozessen berücksichtigt wird. Ziel ist es, Datenschutzprinzipien von Anfang an zu berücksichtigen und datenschutzfreundliche Lösungen zu schaffen. Im Folgenden sind einige Schritte aufgeführt, um Privacy by Design effektiv in die Unternehmensprozesse zu integrieren, vgl. Art. 38 Abs. 1 DSGVO:
Das Projektmanagement sollte dergestalt aufgebaut sein, dass der Datenschutzbeauftragte bereits in der Envision- Phase eines einzelnen Projekts involviert wird und ein Assessment durchführen kann. Damit kann bereits bei Implementierungen von Prozessen oder neuen Tools einzelne Prozesse datenschutzkonform angepasst und mitigierende Massnahmen ergriffen werden, um Risiken zu minimieren und aufwändige Change- Requests oder Projektverzögerungen im Nachgang zu vermeiden. In der Praxis hat sich ausserdem bewährt, wenn der Datenschutzbeauftragte gem. dem Grundsatz Privacy by Design, in dem an entsprechender Stelle in dem Controlling oder auch sog. „Demand- Management Prozess“ die nötigen Einfallstore für den Datenschutzbeauftragte und dessen datenschutzrechtliches Assessement implementiert werden. Diese datenschutzrechtlichen Approval- Milestones sind in jedem Sprint oder auch in einem nach dem Wasserfall- Prinzip geplanten Projekt zu berücksichtigen. Demnach wird der Grundsatz „Privacy by Design“ am ehesten Rechnung getragen.
Erforderliche Ressourcen und Zugang, Erhaltung des Fachwissens
Der Verantwortliche (Geschäftsleitung, Management, Prozessverantwortlicher) und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gem. Art. 39 DSGVO. Sie stellen dem Datenschutzbeauftragten die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen zur Verfügung und gewähren ihm den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen. Gleichzeitig stellen Verantwortliche und Auftragsverarbeiter dem Datenschutzbeauftragten die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung, Art. 38 Abs. 2 DSGVO.
Weisungsfreiheit
Sowohl interne als auch externe Datenschutzbeauftragte sind bei der Erfüllung ihrer Pflichten nicht an Weisungen des Verantwortlichen oder des Auftragsverarbeiters gebunden, vielmehr ist diese Weisungsunabhängigkeit nach Art. 38 Abs. 3 S. 1 DSGVO zwingender Bestandteil der Tätigkeit eines Datenschutzbeauftragten.
Schutz vor Abberufung und/oder Benachteiligung
Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden, Art. 38 Abs. 3 S. 2. DSGVO.
Berichtspflichten
Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters, Art. 38 Abs. 3 S. 3 DSGVO.
Ansprechpartner bei Fragen
Betroffene Personen können sich in allen Fragen, die die Verarbeitung ihrer personenbezogenen Daten und die Ausübung ihrer Rechte nach dieser Verordnung betreffen, an den Datenschutzbeauftragten wenden, Art. 38 Abs. 4 DSGVO.
Geheimhaltung/Vertraulichkeit
Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben nach Maßgabe des Unionsrechts oder des Rechts der Mitgliedstaaten zur Verschwiegenheit und zur Geheimhaltung verpflichtet, Art. 38 Abs. 5 DSGVO.
Interessenkonflikte vermeiden
Der Datenschutzbeauftragte kann neben seiner Tätigkeit als Datenschutzbeauftragter andere Aufgaben und Pflichten wahrnehmen. Dies ergibt sich ebenfalls aus Art. 38 Abs. 6 S. 1 DSGVO, jedoch sind Interessenkonflikte zu vermeiden.
Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen, Art. 38 Abs. 6 S.2 DSGVO.
D.h. Tätigkeiten, die dazu führen, dass der Datenschutzbeauftragte sich selbst überwachen müsste, sind ausgeschlossen, da der Datenschutzbeauftragte hier in einen Interessenkonflikt geraten würde.
Beispiele für Tätigkeitsfelder, welche zu einem Interessenkonflikt führen können:
- Leitung eines Unternehmens oder einer Behörde (z.B. Geschäftsführer)
- Leitung der IT-Abteilung
- Leitung der Personalabteilung
Beschäftigte der IT- oder Personalabteilung, wenn diese in der Lage sind, Datenverarbeitungsprozesse zu bestimmen oder wesentlich zu beeinflussen.
Der Begriff des Datenschutzbeauftragten wird in unterschiedlichen Konstellationen verwendet. Folgend eine Übersicht:
Europäischer Datenschutzausschuss gem. Art. 68 DSGVO
Der Ausschuss setzt sich aus dem Leiter einer Aufsichtsbehörde aus jedem Mitgliedstaat und dem Europäischen Datenschutzbeauftragten oder ihren jeweiligen Vertretern zusammen, Art. 68 Abs. 3 DSGVO. Der Ausschuss handelt bei der Erfüllung seiner Aufgaben unabhängig, Art. 70, 71 DSGVO, Art. 69 Abs. 1 DSGVO. Zu den Aufgaben des Europäischen Ausschusses gehört beispielsweise die Sicherstellung einer einheitlichen Anwendung der DSGVO, Art. 70 Abs. 1 DSGVO. Durch die Überwachung und Sicherstellung der ordnungsgemäßen Anwendung der DSGVO, die Beratung der Kommission in Fragen des Schutzes personenbezogener Daten, die Beratung der Kommission in Bezug auf das Format und die Verfahren für den Informationsaustausch sowie die Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren für die Löschung nach Art. 17 Abs. 2 DSGVO. Zu den Aufgaben des Europäischen Datenschutzausschusses gehören ferner die Prüfung und Bereitstellung von Leitlinien zur Sicherstellung einer einheitlichen Anwendung der DSGVO sowie die Zertifizierung, die Erarbeitung von Leitlinien für die Aufsichtsbehörden, z.B. zur Festsetzung von Geldbußen gem. Art. 83 DSGVO, und die Abgabe von Stellungnahmen für die Kommission.
Die Bundesbeauftragte für Datenschutz und Informationssicherheit
Jeder kann sich an die Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI) wenden, wenn er der Ansicht ist, dass er durch öffentliche Stellen des Bundes in seinen Rechten - bezogen auf eine Verarbeitung von personenbezogenen Daten - verletzt worden ist.
Das BfDI berät und überwacht die Daten- und Informationsverarbeitung aller öffentlichen Stellen des Bundes. Daneben hat die BfDI auch bestimmte nicht-öffentliche Stellen zu beraten und zu kontrollieren z.B. Telekommunikations- und die Postdienstunternehmen sowie private Unternehmen, die unter das Sicherheitsüberprüfungsgesetz fallen. Die BfDI ist auch zuständige Aufsichtsbehörde für die "gemeinsamen Einrichtungen" gem. § 50 Abs. 2 SGB II (Jobcenter).
Darüber hinaus obliegt der BfDI die gesetzliche Aufgabe, den Deutschen Bundestag und die Öffentlichkeit über wesentliche datenschutzrelevante Entwicklungen im privatwirtschaftlichen Bereich zu unterrichten.
Landesdatenschutzbeauftragter
Jedes Bundesland hat eine Landesdatenschutzbehörde eingerichtet und einen Landesdatenschutzbeauftragten (LfD) bestellt. Dieser berät und kontrolliert die öffentlichen Stellen des Landes in Fragen des Datenschutzes. In den meisten Bundesländern ist die Landesdatenschutzbehörde auch die zuständige Aufsichtsbehörde nach § 38 Abs. 6 BDSG.
Behördlicher Datenschutzbeauftragter
Für die Bestellung des behördlichen Datenschutzbeauftragten gelten nach Art. 37 Abs. 1 a DSGVO die gleichen Voraussetzungen wie für die Bestellung eines betrieblichen Datenschutzbeauftragten. Soweit der Verantwortliche oder Auftraggeber eine Behörde oder öffentliche Stelle ist, kann für diese unter Berücksichtigung der Organisationsstruktur ein gemeinsamer Datenschutzbeauftragter bestellt werden, vgl. Art. 37 Abs. 3 DSGVO.
Betrieblicher Datenschutzbeauftragter
Unternehmen müssen unter bestimmten Voraussetzungen einen betrieblichen Datenschutzbeauftragten bestellen. Der betriebliche Datenschutzbeauftragte überwacht und berät das Unternehmen (verantwortliche Stelle) bei der Einhaltung der datenschutzrechtlichen Vorschriften.
Die DSGVO etabliert den Datenschutzbeauftragten auf europäischer Ebene. Die Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich aus Art. 37 DSGVO.
Darüber hinaus enthält die Verpflichtung zur Bestellung eines Datenschutzbeauftragten auch eine Spezifizierungsklausel für die Mitgliedstaaten. Diesen steht es frei zu entscheiden, ob Unternehmen unter engeren Voraussetzungen einen betrieblichen Datenschutzbeauftragten bestellen müssen. Besteht eine solche Verpflichtung nach der Datenschutzgrundverordnung oder einem nationalen Gesetz (z.B. BDSG), so kann auch ein gemeinsamer betrieblicher Datenschutzbeauftragter für eine Unternehmensgruppe bestellt werden. Deutschland hat die Pflicht zur Bestellung eines Datenschutzbeauftragten in § 38 BDSG weiter konkretisiert. Der Sitz des Datenschutzbeauftragten ist so zu wählen, dass er für Aufsichtsbehörden, externe Betroffene und Beschäftigte leicht erreichbar ist.
Hinweis: Zu beachten ist auch, dass nach Art. 27 DSGVO auch Verantwortliche oder Auftragsverarbeiter, die nicht in der EU niedergelassen sind, einen Vertreter in einem der Mitgliedstaaten haben müssen.