Aufgaben des Datenschutz Beauftragten

Grundsätzlich hat sich der Stellenwert und auch die Aufgaben des Datenschutzbeauftragten (DSB) mit der Einführung der DSGVO wesentlich verändert. Vor der Veröffentlichung der DSGVO war der Datenschutzbeauftragte als unabhängiges betriebliches Kontrollorgan anzusehen. Heute ist er eher Compliance-Organ mit Verpflichtungen als Ansprechpartner für staatliche Aufsichtsbehörden.

Wesentliche Änderungen und neue Aufgaben durch die DSGVO

  • Der Datenschutzbeauftragte darf im Zusammenhang mit der Erfüllung seiner Aufgaben weder abberufen noch benachteiligt werden. Er genießt einen besonderen Kündigungsschutz (Art. 38 Abs. 3 Satz 2)
  • Dem Datenschutzbeauftragten sind die für die Erfüllung seiner Aufgaben und zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung zu stellen (Art. 38 Abs. 2)
  • Der Datenschutzbeauftragte ist – wie bisher – der obersten Managementebene unmittelbar zu unterstellen (Art. 38, Abs. 3 Satz 3)
  • Die Weisungsfreiheit bei der Ausübung der Funktion ist (unverändert) niedergeschrieben (Art. 38 Abs. 3 Satz 1)
  • Ein einheitlicher Datenschutzbeauftragter kann bestellt werden, sofern dessen leichte Erreichbarkeit für die konzernangehörigen Unternehmen gewährleistet ist (Art. 37 Abs. 2)
  • Der Datenschutzbeauftragte kann Beschäftigter der verantwortlichen Stelle (Unternehmen oder Auftragsverarbeiter) sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen

Die 5 (Kern-) Aufgaben des Datenschutzbeauftragten

  • Überwachung und Einhaltung der DSGVO und anderer Datenschutzvorschriften
    Eine der Aufgaben des Datenschutzbeauftragten ist die Überwachung der Compliance eines Unternehmens mit den datenschutzrechtlichen Vorschriften. Hinzu kommt eine Überwachungspflicht hinsichtlich Strategien des Auftragsverarbeiters oder des Verantwortlichen für den Schutz personenbezogener Daten, Sensibilisierung und Schulung der Beschäftigten, die unmittelbar an Verarbeitungspraktiken beteiligt sind, sowie die Zuweisung von Zuständigkeiten.

    Die Konsultation der Aufsichtsbehörde als Pflicht des DSB ist nach der neuen DSGVO weggefallen.

  • Überwachung der Durchführung von Datenschutz-Folgenabschätzungen
    Besteht die Gefahr, dass Risiken aufgrund von Verarbeitungsprozessen (z.B. die Verwendung neuer Technologien) für die persönlichen Rechte und Freiheiten entstehen könnten, so ist eine Datenschutz-Folgenabschätzung durch den DSB zu veranlassen.

    Achtung: Die Datenschutzfolgenabschätzung wird durch die jeweilige Abteilung durchgeführt! Der DSB führt diese NICHT selbst durch. Er hat lediglich eine Überwachungsfunktion und muss der jeweiligen Fachabteilung mit Rat zur Verfügung stehen.

    Der Verantwortliche der Abteilung, welcher eine Datenschutz-Folgenabschätzung durchzuführen hat, hat die Pflicht den DSB um Rat zu beten.

  • Pflicht zur risikoorientierten Tätigkeit
    Dies wurde auf Initiative der europäischen Union neu eingeführt: “Der DSB trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsprozessen verbundenen Risiko gebührend Rechnung. Die Art, die Umstände, die Zwecke und der Umfang der Verarbeitung müssen hierbei berücksichtigt werden” (Art. 39 Abs. 2).
    Da die Unabhängigkeit des DSB stets gewährleistet werden muss, ist eine Bewertung der Verarbeitungsvorgänge in Bezug auf die Risiken auch durch ihn durchzuführen. Weiterhin obliegt es ihm selbst abzuwägen und zu entscheiden, ob und wie bestimmte Verarbeitungspraktiken einer Prüfung unterzogen werden sollen.

Es ist nicht ausgeschlossen, dass dem DSB Prüfaufträge behördlich aufgetragen werden. Jedoch dürfen solche Erteilungen ihn nicht daran hindern, aus seiner Sicht priorisierten datenschutzrechtlichen Angelegenheiten nachzugehen.

  • Unterrichtung und Beratung von Verantwortlichen, die personenbezogene Daten verarbeiten (Beschäftigte bzw. Auftragsverarbeiter)
    Neben seiner Überwachungsfunktion übernimmt der DSB auch Tätigkeiten im Bereich der Beratung – dies sind ebenfalls wesentliche Aufgaben des Datenschutzbeauftragten. Nicht nur das Unternehmen, sondern auch die Beschäftigten eines Unternehmens werden hinsichtlich ihrer Pflichten durch ihn geschult und belehrt.
    Im Rahmen der Datenschutz-Folgenabschätzung ist der Beratungsauftrag noch einmal gesondert normiert (vgl. Art. 39 Abs. 1)

    Die Schulung der Mitarbeiter kann Aufgabe des DSB sein, ist jedoch gesetzlich nicht verankert!

  • Ansprechpartner für die zuständige Aufsichtsbehörde und Kooperation
    Anders als nach bisherigem Recht wird der DSB nun zentraler Ansprechpartner der Aufsichtsbehörden. Er hat die Aufgabe mit der Behörde eng zusammenzuarbeiten. Gegebenenfalls hat der DSB von sich aus diese zu konsultieren. Die Funktion als eines seiner Aufgabenbereiche stärkt seine Position, da ihm die verantwortliche Wahrnehmung von Außenkontakten zugewiesen wird. Ist sich der DSB in bestimmten Datenschutzmaßnahmen, Verarbeitungsprozessen oder der Auslegung einschlägiger Gesetze im Unklaren, so kann er ebenfalls die zuständige Aufsichtsbehörde zu Rate ziehen („Anrufung der Aufsichtsbehörde“).

Fazit

Die Aufgaben des Datenschutzbeauftragten – betrieblicher DSB bzw. behördlicher DSB – sind weitestgehend identisch. Es ist jedoch anzumerken, dass der DSB eher als Compliance-Organ fungiert. Er hat in erster Linie eine Überwachungsfunktion und gilt als erster Ansprechpartner für Datenschutzbehörden.

Sie sind Unternehmer und fragen sich, ob Sie einen DSB bestellen müssen? Sollen Sie lieber einen Externen oder einen internen Mitarbeiter dafür beauftragen?
Entscheidungshilfen, Tipps, Vor- und Nachteile und vieles mehr können Sie in unserem Artikel “Der Datenschutzbeauftragte im Unternehmen” nachlesen.