Aufgaben des Datenschutzbeauftragten
Vorangehend wurde bereits eine Kernaufgabe des Datenschutzbeauftragten als "Anwalt der Betroffenen" erwähnt. Die weiteren konkreten Aufgaben ergeben sich aus Art. 39 DSGVO:
Unterrichtung und Beratung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die personenbezogene Daten verarbeiten, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie anderer Datenschutzvorschriften der Union oder der Mitgliedstaaten.
Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union oder der Mitgliedstaaten sowie der Strategien des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen.
Überwachung, dass die Datenschutz-Folgenabschätzung nach Maßgabe von Art. 35 DSGVO durchgeführt wird, sowie auf Anfrage diesbezügliche Beratung.
Zusammenarbeit mit der Datenschutzaufsichtsbehörde.
- Tätigkeit als Ansprechpartner für die Aufsichtsbehörde in mit der Verarbeitung personenbezogener Daten zusammenhängenden Fragen einschließlich der vorherigen Konsultation gemäß Art. 36 DSGVO und gegebenenfalls Beratung zu allen sonstigen Fragen.
3.1 Unterrichtung und Beratung
Der Datenschutzbeauftragte hat neben der Überwachungsfunktion insbesondere eine Beratungsfunktion. Nach Art. 39 Abs. 1 lit. a DSGVO berät und unterrichtet er die Unternehmensleitung und auch die Beschäftigten über die sich aus den datenschutzrechtlichen Vorschriften ergebenden Pflichten.
3.2 Überwachung der Einhaltung des Datenschutzes
Eine weitere Hauptaufgabe ist die Überwachung der Einhaltung der Datenschutzvorgaben (Art. 39 Abs. 1 lit. b DSGVO). Dies ist im Sinne der Compliance des Unternehmens zu verstehen. Der Datenschutzbeauftragte bezieht in die Überwachung auch die Unternehmensstrategien zum Schutz personenbezogener Daten ein. Hierunter fallen auch die organisatorischen Zuständigkeiten sowie die Vorkehrungen zur Schulung und Sensibilisierung der mit der Verarbeitung personenbezogener Daten betrauten Beschäftigten.
Die Schulung der Mitarbeiter ist keine Aufgabe des Datenschutzbeauftragten mehr. Er überwacht die Durchführung von Schulungen. Unbenommen ist natürlich die Möglichkeit, den Datenschutzbeauftragten auch mit der Durchführung dieser Maßnahmen zu beauftragen.
3.3 Beratung bei der Datenschutzfolgenabschätzung
Gemäß Art. 35 DSGVO ist vor der Datenverarbeitung eine Datenschutz-Folgenabschätzung durchzuführen, wenn eine Form der Verarbeitung – insbesondere bei Verwendung neuer Technologien – aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge hat.
Der Verantwortliche hat den Datenschutzbeauftragten im Fall der Datenschutz-Folgenabschätzung um dessen Rat zu fragen (Art. 35 Abs. 2 DSGVO). Der Datenschutzbeauftragte ist nach Art. 39 Abs. 1 lit. c DSGVO verpflichtet, auf diese Anfrage hin zu beraten und die Datenschutz-Folgenabschätzung zu überwachen.
Zur Datenschutz-Folgenabschätzung siehe auch Datenschutz-Folgenabschätzung und Konsultationspflicht.
3.4 Zusammenarbeit mit der Datenschutzaufsichtsbehörde
In Art. 39 Abs. 1 lit. d und e DSGVO wird das Verhältnis des Datenschutzbeauftragten zur Aufsichtsbehörde bestimmt. Der Datenschutzbeauftragte hat mit der Aufsichtsbehörde zusammenzuarbeiten und dient als ihr direkter Ansprechpartner in Bezug auf die Verarbeitung personenbezogener Daten.
3.5 Risikoorientierte Tätigkeit
Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt (Art. 39 Abs. 2 DSGVO). Diese Regelung bedingt die Unabhängigkeit des Datenschutzbeauftragten. Nur wenn er weisungsfrei darüber entscheiden kann, welchen Risikogehalt einzelne Verarbeitungsvorgänge haben, kann er eine optimale Prüfung und Überwachung herbeiführen.