Die Aufgaben, die Datenschutzbeauftragte zwingend zu beachten haben, nennt das Gesetz in Art. 39 DSGVO.
Bei all den nachfolgend dargestellten Aufgaben gilt:
- Beauftragte müssen bei ihrer Arbeit den spezifischen, datenschutzrechtlichen Risiken gebührend Rechnung tragen (Pflicht zur risikoorientierten Tätigkeit gem. Art. 39 Abs. 2 DSGVO). D.h., sie müssen risikoorientiert handeln, indem sie die besonderen Risiken beim Umgang mit personenbezogenen Daten berücksichtigen. Dabei spielen Umfang, Umstände und Zwecke der Datenverarbeitung die entscheidende Rolle. In der Praxis führt das z. B. dazu, dass sie Datenverarbeitungen, die ein höheres Datenschutz-Risiko aufweisen, vorrangig zu prüfen haben.
- Beauftragte unterliegen wie andere Angestellte, die personenbezogene Daten verarbeiten, der Dokumentations- und Rechenschaftspflicht (Art. 5 Abs. 2; Art. 24 Abs. 1 DSGVO).
3.1 Überwachung
Nach Art. 39 Abs. 1 Buchst. b DSGVO haben die Datenschutzbeauftragten die Einhaltung der Datenschutzvorschriften zu "überwachen".
Zu den zu überwachenden Datenschutzvorschriften zählen
- die DSGVO,
- andere Datenschutzvorschriften in der EU und in den Mitgliedsstaaten und
- die internen Vorgaben und die Strategie des Verantwortlichen, einschließlich der Zuweisung der Zuständigkeiten, der Sensibilisierung und Schulung der Angestellten und der diesbezüglichen Überprüfungen.
Die Überwachung kann z. B. dadurch erfolgen, dass Beauftragte
- Informationen sammeln, um Datenverarbeitungen zu erkennen,
- diese Datenverarbeitungen analysiert und auf ihre Rechtmäßigkeit hin überprüft und
- Datenverarbeitende und Auftragsverarbeitende informieren, beraten und Empfehlungen über die Umsetzung des Datenschutzes aussprechen.
Bei Verstößen gegen den Datenschutz können sowohl die Unternehmen als auch die Datenschutzbeauftragten für Pflichtverletzungen haftbar gemacht werden. Datenschutzbeauftragte besitzen einen besonderen Kündigungsschutz und Haftungsprivilegierungen. Daher können sie nur bei Vorsatz und grober Fahrlässigkeit haftbar gemacht werden. Bei externen Datenschutzbeauftragten kann die Haftung individuell vertraglich vereinbart werden.
3.2 Unterrichtung und Beratung
Eine weitere Aufgabe für Beauftragte ist die Unterrichtung und Beratung in allen datenschutzrechtlichen Fragen (Art. 39 Abs. 1 Buchst. a DSGVO). Diese Aufgabe ist nach innen gerichtet: Als interne Ansprechpartner stehen sie sowohl der Leitungsebene als auch allen Beschäftigten zur Verfügung. Dabei sollen sie über den Umgang mit personenbezogenen Daten aufklären und gesetzliche Vorgaben erläutern.
Dazu gehört, die Beschäftigten über den richtigen Umgang mit personenbezogenen Daten zu sensibilisieren und zu schulen. Jedoch sind für die Schulung nicht die Datenschutzbeauftragten zuständig, sondern die Unternehmensleitung. Das ergibt sich indirekt aus Art. 5 DSGVO Abs. 1 Buchstabe f: Personenbezogene Daten müssen "in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (...)". Um dies zu gewährleisten, müssen die Angestellten entsprechend geschult sein.
Die Datenschutzbeauftragten haben jedoch zu kontrollieren, ob Schulungen tatsächlich durchgeführt werden. Datenschutzbeauftragte schulen jedoch selbst bei einer Datenschutz-Folgenabschätzung.
3.3 Datenschutz-Folgenabschätzung
Datenschutzbeauftragte beraten auch bzgl. einer Datenschutz-Folgenabschätzung (DSFA) (Art. 39 Abs. 1 Buchst. c DSGVO). Bei der Folgenabschätzung geht es um die Abschätzung und Minimierung möglicher Folgen, wenn eine risikobehaftete Verarbeitung geplant oder geändert wird (Art. 35 DSGVO).
- Beauftragte überwachen und beraten die verantwortliche Stelle bei der Durchführung der DSFA. Dies umfasst die Beratung und Überwachung des gesamten DSFA-Prozesses.
- Sie sensibilisieren und schulen die an der Datenverarbeitung beteiligten Personen in Bezug auf die datenschutzrechtlichen Anforderungen. Dies stellt sicher, dass alle Beteiligten die Relevanz und Durchführung der DSFA verstehen.
- Sie arbeiten bei der DSFA mit der zuständigen Aufsichtsbehörde zusammen. Datenschutzbeauftragte sind die zentralen Ansprechpersonen für die Behörde in Bezug auf die DSFA.
- Sie überwachen die Umsetzung der aus der DSFA resultierenden Maßnahmen zur Risikominimierung. Sie stellen sicher, dass die identifizierten Risiken tatsächlich adressiert werden.
Datenschutzbeauftragte sind jedoch weder selbst für die Durchführung verantwortlich (denn das ist die verantwortliche Stelle, also die Leitungsebene des Unternehmens), noch muss auf ihren Rat zwingend gehört werden. Wohlgemerkt sind Datenschutzbeauftragte nicht verpflichtet, eine solche Folgenabschätzung pro-aktiv in Gang zu setzen. Sie können "auf Anfrage" in den Prozess eingebunden werden (Art. 39 Abs. 1 Buchst. c DSGVO).
Konkret könnten Beauftragte ihren Rat abgeben in Bezug auf diese Punkte:
- ob die Voraussetzungen für die Durchführung...