aufgabendsb

Die Aufgaben des Datenschutzbeauftragten

Rechtliche Anforderungen

Die datenschutzrechtlichen Regelungen, die sich mit dem Einsatz von betrieblichen Datenschutzbeauftragten in Unternehmen befassen, sind die Artikel 37 bis 39 der EU-Datenschutz-Grundverordnung und der § 38 des Bundesdatenschutzgesetzes.

Benennung eines Datenschutzbeauftragten

Art. 37 DSGVO legt fest, in welchen Fällen von nicht-öffentlichen Stellen grundsätzlich ein betrieblicher Datenschutzbeauftragter zu benennen ist, und zwar wenn
a) die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, für die eine umfangreiche regelmäßige und systematische Überwachung von Personen erforderlich ist (Art. 37 Abs. 1 lit. a DSGVO) oder
b) die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten gemäß den Art. 9 oder 10 DSGVO besteht (Art. 37 Abs. 1 lit. b DSGVO).

§ 38 BDSG ergänzt diese Festlegung dahingehend, dass ein betrieblicher Datenschutzbeauftragter auch dann zu benennen ist, wenn
a) das Unternehmen mindestens zehn Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt oder
b) das Unternehmen Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung unterlegen oder
c) das Unternehmen personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.

Damit folgt die neue Rechtslage im wesentlichen der Rechtslage vor dem 25.05.2018.

Stellung des Datenschutzbeauftragten

Art. 38 DSGVO legt fest, dass der betriebliche Datenschutzbeauftragte
a) ordnungsgemäß und frühzeitig in alle mit dem Schutz der personenbezogenen Daten zusammenhängenden Fragen eingebunden wird,
b) vom Unternehmen mit sämtlichen erforderlichen Mitteln ausgestattet wird,
c) in seiner Tätigkeit weisungsfrei arbeitet,
d) sämtlichen betroffenen Personen als Ansprechpartner zur Verfügung steht,
e) in seiner Tätigkeit an seine Schweigepflicht gebunden ist und,
f) sofern er für das Unternehmen weitere Aufgaben übernimmt, nicht in einen Interessenkonflikt geraten darf.

Auch damit folgt die neue Rechtslage im wesentlichen der Rechtslage vor dem 25.05.2018.

Aufgaben des Datenschutzbeauftragten

Art. 39 DSGVO legt fest, dass der betriebliche Datenschutzbeauftragte zumindest die folgenden Aufgaben hat:
a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
b) Überwachung der Einhaltung der Datenschutzvorschriften und der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
c) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
d) Zusammenarbeit mit der Aufsichtsbehörde;
e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Fazit

Nach diesen Anforderungen ist der Datenschutzbeauftragten mit folgenden Aufgaben beschäftigt:

1. Der Datenschutzbeauftragte berät das Unternehmen bei der Organisation der Mitarbeiterschulungen.

2. Der Datenschutzbeauftragte berät das Unternehmen beim Erstellen und Führen des Verzeichnisses der Verarbeitungstätigkeiten für die Verfahren des Personal- und IT-Bereichs, des Internet-Auftritts und einer eventuellen Videobeobachtung.

3. Der Datenschutzbeauftragte berät das Unternehmen beim Erstellen und Führen des Verzeichnisses der Verarbeitungstätigkeiten für die Verfahren der spezifischen Tätigkeiten des Unternehmens.

4. Der Datenschutzbeauftragte berät das Unternehmen bei der Organisation der privaten Nutzung der unternehmenseigenen ITK-Technik durch die Mitarbeiter oder der unternehmerischen Nutzung privater Geräte unter Beachtung der rechtlichen Folgen.

5. Der Datenschutzbeauftragte berät das Unternehmen bei der Festlegung der technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit.

6. Der Datenschutzbeauftragte berät das Unternehmen bei der Organisation der Verarbeitung besonderer Arten personenbezogener Daten gemäß Art. 9 und 10 DSGVO.

7. Der Datenschutzbeauftragte berät das Unternehmen bei der Erstellung der Auftragsverarbeitungsverträge.

8. Der Datenschutzbeauftragte berät das Unternehmen bei Bedarf bei der Inkraftsetzung der Datenschutzrichtlinie.

9. Der Datenschutzbeauftragte berät das Unternehmen auf Anfrage bei der Datenschutz-Folgenabschätzung.

10. Der Datenschutzbeauftragte berät das Unternehmen bei der Organisation der Gewährleistung der Betroffenenrechte.

11. Der Datenschutzbeauftragte berät das Unternehmen bei der Organisation der Meldungen von Pannen und Fehlverhalten.

12. Der Datenschutzbeauftragte berät das Unternehmen bei Bedarf bei der Organisation des Datenverkehrs in der Unternehmensgruppe.

13. Der Datenschutzbeauftragte berät das Unternehmen bei der Erfüllung der Informationspflichten.

14. Der Datenschutzbeauftragte ist der ständige Ansprechpartner für sämtliche betroffenen Personen im Zusammenhang mit dem Unternehmen.

15. Der Datenschutzbeauftragte ist die Anlaufstelle für die zuständige Datenschutz-Aufsichtsbehörde.

Texte der Rechtsvorschriften

Erwägungsgrund 97 zur DSGVO

(97) In Fällen, in denen die Verarbeitung durch eine Behörde – mit Ausnahmen von Gerichten oder unabhängigen Justizbehörden, die im Rahmen ihrer justiziellen Tätigkeit handeln -, im privaten Sektor durch einen Verantwortlichen erfolgt, dessen Kerntätigkeit in Verarbeitungsvorgängen besteht, die eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern, oder wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten besteht, sollte der Verantwortliche oder der Auftragsverarbeiter bei der Überwachung der internen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person, die über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügt, unterstützt werden Im privaten Sektor bezieht sich die Kerntätigkeit eines Verantwortlichen auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit. Das erforderliche Niveau des Fachwissens sollte sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten. Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.

Artikel 37 DSGVO – Benennung eines Datenschutzbeauftragten

Erwägungsgrund 97

(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

(2) Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.

(3) Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann für mehrere solcher Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden.

(4) In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln.

(5) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.

(6) Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.

(7) Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.

Artikel 38 DSGVO – Stellung des Datenschutzbeauftragten

(1) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.

(2) Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 39, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.

(3) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.

(4) Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.

(5) Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.

(6) Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

Artikel 39 DSGVO – Aufgaben des Datenschutzbeauftragten

(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
c) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
d) Zusammenarbeit mit der Aufsichtsbehörde;
e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

(2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

§ 38 BDSG – Datenschutzbeauftragte nicht-öffentlicher Stellen

(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

(2) § 6 Absatz 4, Absatz 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.