Neben den gesetzlich zugewiesenen Aufgaben können den Datenschutzbeauftragten auf freiwilliger Basis zusätzliche Funktionen übertragen werden. Dass das Gesetz die Übertragung von weiteren Aufgaben zulässt, lässt sich herleiten aus dem Wortlaut des Art. 39 Abs. 1 Satz 1 ("Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben") und Art. 38 Abs. 6 DSGVO ("Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.")
In Betracht für weitere Aufgaben kommen z. B. die nachfolgenden Funktionen (für die ansonsten die Unternehmens- bzw. Behördenleitung zuständig wäre).
4.1 Angestelltenschulung
Dass Angestellte in Bezug auf den Datenschutz zu schulen sind, ergibt sich nicht unmittelbar aus dem Gesetz. Beispielsweise verlangt Art. 5 DSGVO, dass nicht nur alle gesetzlichen Vorgaben einzuhalten sind, sondern auch, dass dies nachgewiesen werden muss. Die verantwortliche Einrichtung muss daher Maßnahmen treffen, die sicherstellen, dass ihre Beschäftigten über Kenntnisse im Datenschutz verfügen und wissen, was sie tun dürfen und was nicht. Typischerweise wird dieses Wissen in Form von Schulungen vermittelt.
Auch wenn die Verantwortlichkeit dafür bei der jeweiligen Leitung liegt, spricht einiges dafür, wenn Datenschutzbeauftragte die Schulungen durchführen. Sie kennen die Abläufe, Notwendigkeiten und Abhängigkeiten und sind deshalb in der Lage, gut auf die Angestellten eingehen zu können.
4.2 Verzeichnis der Verarbeitungstätigkeiten
Nach Art. 30 DSGVO muss in jedem Unternehmen, jeder Organisation und Behörde ein Verzeichnis geführt werden, das auflistet, welche personenbezogenen Daten zu welchen Zwecken und wie verarbeitet werden. Dieses Verzeichnis müssen zwar auf den ersten Blick nur Unternehmen und Einrichtungen mit mehr als 250 Beschäftigten führen. Auf den zweiten Blick aber gelten laut Art. 30 Abs. 5 DSGVO auch die eingangs im "Überblick" genannten Ausnahmen in Bezug auf die Verarbeitung von "besonderen Datenkategorien" nach Art. 9 und Art. 20 DSGVO. Soweit es sich um Gesundheitsdaten handelt, ist diese Voraussetzung erfüllt, da es sich bei Angaben zu Krankheitstagen und z. B. Schwerbehinderung um Informationen handelt, die in der Personalabteilung verarbeitet werden.
Der Hauptzweck des Verzeichnisses liegt darin, dass es auf Nachfrage der Aufsichtsbehörde für den Datenschutz vorgelegt werden kann. Aber auch für Datenschutzbeauftragte und ihre Arbeit kann dieses Verzeichnis eine wichtige Grundlage und Informationsquelle darstellen.
Es ist daher denkbar, dass Beauftragte das Verzeichnis nach Art. 30 DSGVO selber führen – oder zumindest maßgeblich bei dessen Erstellung und Pflege eingebunden ist. Und falls nicht, ist es zumindest ihre gesetzlich zugewiesenen Aufgaben zu prüfen, ob das Verzeichnis der Verarbeitungstätigkeiten grundsätzlich geführt wird (aufgrund von Art. 39 Abs. 1 Buchst. b DSGVO).
4.3 Erstellung von Tätigkeitsberichten
Es besteht keine gesetzliche Pflicht für betriebliche und behördliche Datenschutzbeauftragte, regelmäßige Berichte über ihre Tätigkeiten vorzulegen. Jedoch gilt für die gesamte Einrichtung die Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO. Es heißt, sie muss nachweisen können, ob und wie sie alle Datenschutzvorgaben einhält.
Ein sinnvoller und zweckmäßiger Baustein dazu könnte eine Übersicht darstellen, in der die/der Datenschutzbeauftragte seine Tätigkeiten dokumentiert. Dies ist nicht nur gegenüber der Aufsichtsbehörde sinnvoll, sondern sorgt auch für größere Transparenz gegenüber den eigenen Arbeitgebenden – und im besten Fall auch für eine noch größere Akzeptanz seiner Arbeiten.
Ein Tätigkeitsbericht könnte einmalig erstellt werden (z. B. als Zusammenfassung nach dem Abschluss eines größeren Projekts) oder – noch besser – in regelmäßigen Abständen, etwa alle ein bis zwei Jahre.
4.4 Meldung von Datenschutzverstößen
Wenn es zu einer Verletzung des Schutzes von personenbezogenen Daten kommt, sind i. d. R. die Aufsichtsbehörden zu unterrichten und oft auch die davon Betroffenen (Art. 33, 34 DSGVO). Die Durchführung der Meldung liegt in der Verantwortung der Unternehmens- oder Behördenleitung. Es spricht vieles dafür, dass die Datenschutzbeauftragten diese Aufgabe von vornherein übernehmen. Denn wenn die Aufsichtsbehörde Rückfragen stellt, darf sie sich an sie wenden (Art. 39 Abs. 1 Buchst. d und e DSGVO). Im Übrigen können die Beauftragten nur dann ihre gesetzlichen Pflichten (vor allem der zur Beratung und Überwachung) nachkommen, wenn sie frühzeitig über derartige Vorgänge Bescheid wissen.
4.5 Mitwirkung bei der Realisierung von Betroffenenrechten
Diejenigen, über die personenbezogene Daten gespeichert werden, also die Betroffenen, besitzen vielfältige Rechte, die sie gegenüber dem Verantwortlichen geltend machen können.
Dazu zählen vor allem
- das Recht auf Auskunft (Art. 15 DSGVO)
- das Recht auf Berichtigung (Art. 16)
- das Recht auf Löschung ("Recht auf Vergessenwerden", Art. 17)
- das Recht auf Einschränkung der Verarbeitung (Art. 18)
- das Recht auf Datenübertragbarkeit (Art. 20)
- das Widerspruchsrecht (Art. 21)
Eine gesetzliche Aufgabe der ...