Datenschutzbeauftragter Aufgaben: Datenschutz im Fokus
Die meisten Unternehmen müssen einen Datenschutzbeauftragten bestellen. Der Datenschutzbeauftragte ist verantwortlich für eine vielfältige Palette von Aufgaben. Dabei steht der Schutz personenbezogener Daten im Fokus.
Aber was genau macht ein Datenschutzbeauftragter?
Wir zeigen Ihnen, was zu den alltäglichen Aufgaben eines Datenschutzbeauftragten gehört – von der Festlegung von Richtlinien für die Einhaltung der gesetzlichen Datenschutzvorschriften über die Schulung von Mitarbeitern bis hin zur Zusammenarbeit mit der Aufsichtsbehörde.
Datenschutzbeauftragter: Aufgaben nach Art. 39 DSGVO
Der Datenschutzbeauftragte agiert als eine Art Kontrollinstanz in einem Unternehmen, wenn es um die Einhaltung der DSGVO geht. Somit hat der Datenschutzbeauftragte verschiedene Aufgaben zu erfüllen, wobei er die Art und Weise, wie der die Einhaltung des Datenschutzes sicherstellt, selbst bestimmten kann.
Je größer das Unternehmen, desto umfangreicher sind in der Regel die Aufgaben eines Datenschutzbeauftragten. Die Verantwortung für die Einhaltung der datenschutzrechtlichen Pflichten liegt jedoch weiterhin beim Verantwortlichen selbst, das heißt dem jeweiligen Unternehmen, der Institution oder Organisation.
Überwachung der Einhaltung der DSGVO
Der erste große Bestandteil der Aufgaben des Datenschutzbeauftragten ist die Überwachung der Einhaltung der DSGVO, die dem Schutz personenbezogener Daten dient. Der Datenschutzbeauftragte stellt zusammen mit der Aufsichtsbehörde sicher, dass eine Organisation oder ein Unternehmen die datenschutzrechtlichen Vorschriften einhält.
Zu den Überwachungsaufgaben gehören
- die Zuweisung von Zuständigkeiten,
- die Sensibilisierung der Mitarbeiter und
- die Durchführung von Kontrollen.
Der Aufwand dafür hängt mit der Menge an personenbezogenen Daten ab, die das jeweilige Unternehmen verarbeitet. Die Erfassung personenbezogener Daten umfasst zum Beispiel die Anmeldung von Kunden zum Newsletter oder eine Online-Bestellung und intern die Zeiterfassung bei Mitarbeitern.
Der Datenschutzbeauftragte kümmert sich außerdem um
- die rechtmäßige Datenerhebung,
- eine sichere Datenverarbeitung,
- die Datenaufbewahrung und
- die fristgerechte Löschung personenbezogener Daten.
Viele dieser Aufgaben kann ein externer Datenschutzbeauftragter remote erledigen, doch auch regelmäßige Vor-Ort-Kontrollen sind möglich, um sicherzustellen, dass die Mitarbeiter sich an die DSGVO halten.
Der Datenschutzbeauftragte sollte alle diese Aktivitäten sorgfältig dokumentieren, um nachzuweisen, dass er seine Überwachungspflichten ordnungsgemäß erfüllt hat.
Beratungstätigkeiten
Die Beratung von Mitarbeitern und Unternehmen ist der zweite große Bestandteil der Aufgaben des Datenschutzbeauftragten.
Der Datenschutzbeauftragte ist verpflichtet, alle Beteiligten im Unternehmen über ihre datenschutzrechtlichen Pflichten zu informieren. Damit sollen die Verantwortlichen und Beschäftigten für das Thema sensibilisiert werden.
Der Datenschutzbeauftragte trägt also dazu bei, dass die mit Verarbeitungsvorgängen beteiligten Mitarbeiter dazu in der Lage sind, im Arbeitsalltag auch ohne Überwachung DSGVO-konform handeln.
Bei konkreten Problemen und Fragen im Zusammenhang mit Datenschutz steht der Datenschutzbeauftragte als kompetenter Ansprechpartner bereit. Er beantwortet konkrete Fragen und unterstützt bei der Lösungsfindung.
Die vielfältigen Aufgaben eines Datenschutzbeauftragten
So viel zu den hauptsächlichen Verantwortlichkeiten des Datenschutzbeauftragten. Doch welche konkreten Aufgaben fallen im Rahmen der Überwachung der Einhaltung von Datenschutzvorschriften an?
Erstellung von Richtlinien
Der Datenschutzbeauftragte berät bei der Konzipierung von Richtlinien für die Einhaltung der DSGVO. Konkret können etwa interne Regelungen zum Umgang mit E-Mails oder eine allgemeine Datenschutzrichtlinie sein. Die Richtlinien sind relevant für alle Mitarbeiter, die personenbezogene Daten verarbeiten.
Erstellung einer Datenschutzerklärung und Datenschutzdokumentation
Der Datenschutzbeauftragte unterstützt Unternehmen auch bei der Erstellung einer Datenschutzerklärung oder Cookie-Hinweisen für die Website, die für die Erfüllung der Informationspflichten wichtig sind. Auch die Erstellung einer Datenschutzdokumentation ist ein wichtiger Baustein bei der Erfüllung der datenschutzrechtlichen Nachweis- und Rechenschaftspflichten, wie sie die DSGVO vorgibt. So kann das Unternehmen nachweisen, dass es seinen datenschutzrechtlichen Verpflichtungen nachkommt.
Durchführung einer Datenschutzfolgenabschätzung
Der Verantwortliche hat nach der DSGVO bei bestimmten Datenverarbeitungen eine sogenanntesDatenschutzfolgenabschätzung durchzuführen. Diese dient dazu, Datenschutzrisiken zu erkennen und zu reduzieren sowie Maßnahmen für den Schutz personenbezogener Daten im Falle einer Datenschutzpanne zu planen.
Erstellung des Verzeichnisses von Verarbeitungstätigkeiten
Verantwortliche sowie Auftragsverarbeiter, also Institutionen, die Verarbeitungen durchführen, müssen ein sogenanntes Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen. Der Umfang dieses Verarbeitungsverzeichnisses variiert je nach Größe des Unternehmens. Für die eigentliche Erstellung ist der Datenschutzbeauftragte jedoch nicht verantwortlich.
Verwaltung von Datenschutzvorfällen und Betroffenenanfragen
Der Datenschutzbeauftragte ist auch ein wichtiger Ansprechpartner bei Datenschutzvorfällen, Datenschutzpannen und Anfragen von Betroffenen. Bei einem Datenschutzverstoß haben Unternehmen nur 72 Stunden Zeit, diesen an die Aufsichtsbehörde zu melden. Für die Bearbeitung von Anfragen Betroffener beträgt die Frist einen Monat. Das macht es erforderlich, effektive Prozesse einzuführen, sodass jeder Mitarbeiter sofort weiß, wann ein Datenschutzvorfall vorliegt und wie er vorzugehen hat.
Schulung von Mitarbeitern
Die Schulung der Mitarbeiter obliegt dem Unternehmen selbst. Die Sensibilisierung und Schulung der Beschäftigten sind jedoch eng miteinander verknüpft. Daher übernimmt diese Aufgaben häufig der Datenschutzbeauftragte aufgrund seiner Erfahrung und seines Fachwissens.
Selbst dann, wenn eine andere Person die Schulung durchführt, sollte man den Datenschutzbeauftragten in die Konzeption des Schulungsmaterials einbinden. Die Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter kann allgemein gehalten sein oder sich an den konkreten datenschutzrechtlichen Aufgaben und Herausforderungen einer bestimmten Branche orientieren.
Ansprechpartner für die Mitarbeiter, den Betriebsrat und Betroffene
Der Datenschutzbeauftragte dient als Ansprechpartner für Mitarbeiter, aber auch für den Betriebsrat, Lieferanten und Kunden. Deshalb sollte man sicherstellen, dass die Kontaktdaten des Datenschutzbeauftragten für Interessierte leicht zugänglich sind. Die Kontaktdaten sollten die E-Mail-Adresse und Anschrift, optional auch die Telefonnummer des Datenschutzbeauftragten enthalten.
Anlaufstelle für die Aufsichtsbehörde
Der Datenschutzbeauftragte ist zusammen mit der Aufsichtsbehörde dafür zuständig, die Einhaltung der DSGVO in Unternehmen, Organisationen und Behörden sicherzustellen. Er hat dafür Sorge zu tragen, dass er für Aufsichtsbehörden der kompetente Ansprechpartner für Anfragen und Kontrollen ist. In Zusammenarbeit mit der Aufsichtsbehörde kümmert der Datenschutzbeauftragte sich um die Bearbeitung von Datenschutzverstößen. Es ist daher auch verpflichtend für Unternehmen, der Aufsichtsbehörde die Kontaktdaten des Datenschutzbeauftragten zur Verfügung zu stellen.
Die Stellung des Datenschutzbeauftragten nach Art. 38 der DSGVO
Der Artikel 38 der Datenschutz-Grundverordnung (DSGVO) legt die Position und Bedeutung des Datenschutzbeauftragten fest. Darin ist vorgegeben, dass ein Unternehmen dem Datenschutzbeauftragten die notwendigen Befugnisse und Ressourcen zur Verfügung stellen muss, um seine Aufgaben effektiv und verantwortungsbewusst zu erfüllen. Gleichzeitig werden auch die Verantwortlichkeiten des Datenschutzbeauftragten genannt.
Art. 38 DSGVO im genauen Wortlaut:
- Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
- Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 39, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.
- Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.
- Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.
- Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.
- Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
Interessenkonflikte erkennen und vermeiden
Die Aufgaben nach der DSGVO lassen sich nur schwer umsetzen, wenn ein Interessenkonflikt vorliegt. Das bedeutet, dass bestimmte Personen in einem Unternehmen, einer Organisation oder Behörde nicht die Funktion des Datenschutzbeauftragten ausüben dürfen. Dazu gehören:
- Personen in Leitungs-, Chef- und Inhaberpositionen, wie Inhaber, Leiter, Partner, Vorstände, Geschäftsführer, Mitglieder der Geschäftsleitung, Manager, Bürgermeister, Landräte oder andere leitende Positionen.
- Personen in Leitungs-, Chef- und Inhaberpositionen, wie Inhaber, Leiter, Partner, Vorstände, Geschäftsführer, Mitglieder der Geschäftsleitung, Manager, Bürgermeister, Landräte oder andere leitende Positionen.
- Personen in nachgeordneten Positionen mit Führungsaufgaben und Entscheidungskompetenz in Bezug auf die Festlegung von Zwecken und Mitteln der Datenverarbeitung im IT-Bereich, Marketing, Personalwesen und anderen Bereichen.
- Mitarbeiter in Bereichen mit hohem Datenvolumen, wie Personal-, Vertriebs- oder Marketingabteilungen.
- Beauftragte wie Geheimschutzbeauftragte und Geldwäschebeauftragte.
Bei der Ernennung eines Datenschutzbeauftragten im Unternehmen sollte man also sicherstellen, dass keine der oben genannten Punkte zutreffen und keine Interessenkonflikte vorhanden sind oder künftig auftreten könnten. Auch wenn ein interner Datenschutzbeauftragter offiziell dieser Aufgabe nachkommen darf, kann es aufgrund seiner Tätigkeit innerhalb des Unternehmens zu Interessenkonflikten kommen. Daher kann die Bestellung eines externen Datenschutzbeauftragten sinnvoll sein, um von Anfang an Interessenkonflikte zu vermeiden.
Welche Qualifikation muss ein Datenschutzbeauftragter haben?
Ein Datenschutzbeauftragter, egal ob intern oder extern, muss bestimmte Anforderungen erfüllen. Die Auswahl eines Datenschutzbeauftragten sollte aufgrund seines Fachwissens im Datenschutzrecht und seinen Erfahrungen in der Praxis erfolgen.
Ein interner Datenschutzbeauftragter muss sich das notwendige Fachwissen erst einmal aneignen und kann auf keinen umfangreichen Erfahrungsschatz zurückgreifen. Das kann für den internen DSB neben seinen Hauptaufgaben im Unternehmen zur Belastung werden. Zudem ist eine kontinuierliche Weiterbildung notwendig. Geeigneter ist eine Person, die bereits Fachwissen rund um die DSGVO und das BDSG mitbringt.
Ein juristischer Hintergrund ist nicht notwendig, jedoch gibt es spezielle Zertifizierungen zum Datenschutzbeauftragten. Auch bei internen Datenschutzbeauftragten ist eine entsprechende Aus- und Weiterbildung empfehlenswert, um sich mit den grundlegenden Themen und aktuellen Entwicklungen im Datenschutzrecht vertraut zu machen oder vorhandenes Wissen aufzufrischen.
Fazit: Viele Aufgaben, ein Experte
Die Expertise eines Datenschutzbeauftragten ist für viele Unternehmen nicht nur vorgeschrieben, sondern auch unverzichtbar in Hinblick auf die Unterstützung bei der Erfüllung gesetzlicher Verpflichtungen wie der Datenschutzfolgenabschätzung.
Er ist maßgeblich an der Sensibilisierung und Schulung der Mitarbeiter beteiligt, um den Schutz personenbezogener Daten zu gewährleisten.
Er steht dem Verantwortlichen und Beschäftigen bei Fragen und Problemen in Zusammenhang mit dem Schutz personenbezogener Daten jederzeit zur Seite.
In der Praxis fungiert der Datenschutzbeauftragte nicht nur als Berater des Verantwortlichen, sondern auch als Anlaufstelle für die Aufsichtsbehörde. Die Umstände im Unternehmen bestimmten den Umfang der Aufgaben des Datenschutzbeauftragten.
Bei all diesen komplexen Aufgaben wird klar: Die Beauftragung eines externen Datenschutzbeauftragten lohnt sich, denn dieser bringt die notwendige Zeit, Expertise und Erfahrung mit.