WISSEN · SYSTEME · WERKZEUGE

Welche Aufgaben hat ein Datenschutzbeauftragter?

Die Aufgaben als Datenschutzbeauftragter (DSB) werden durch die Datenschutzgrundverordnung DSGVO 2018 definiert. Mit der DSGVO wurde in der gesamten EU erstmalig ein einheitlicher Umsetzungsplan für den Datenschutz geschaffen. In Deutschland wird die DSGVO durch eine Neufassung des Bundesdatenschutzgesetzes (BDSG neu) ergänzt. In Europa bilden die Rechte und Freiheiten von Betroffenen die Grundlage, in Deutschland besteht das Recht auf informationelle Selbstbestimmung, d.h. dem Recht, selbst über die Preisgabe und Verwendung eigener (personenbezogener) Daten zu bestimmen. Auch die Bestellung eines betrieblichen Datenschutzbeauftragten ist gemäß der DSGVO 2018 unter bestimmten Voraussetzungen gefordert.

Dabei üben Datenschutzbeauftragte rein beratende und kontrollierende Tätigkeiten aus und sind nicht in die operative Umsetzung der Richtlinien bzw. des Datenschutzmanagementsystems eingebunden. Dies dient dem Selbstschutz des DSB, damit er sich klar von den Verantwortlichen in der Umsetzung abgrenzt und somit nicht haftet. Er wurde bestellt, um durch Kontrollen und Schulungen der Mitarbeiter aktiv auf die Einhaltung der Datenschutzvorschriften hinzuwirken. Die Stellung des Datenschutzbeauftragten ist dabei mit einer Stabsstelle vergleichbar, sie muss unabhängig sein und darf keinem Interessenkonflikt unterliegen. Laut DSGVO Artikel 38 Abs. 6 darf der Datenschutzbeauftragte zwar zusätzlich andere Aufgaben und Pflichten im Unternehmen wahrnehmen, sie dürfen jedoch nicht mit den Aufgaben als Datenschutzbeauftragter kollidieren. Gerade bei kleineren Unternehmen ist dies oftmals der Fall.

Sonderbanner VOREST

Welche konkreten Aufgaben übernimmt ein Datenschutzbeauftragter gem. DSGVO Artikel 39?

Der Datenschutzbeauftragte hat ein vielseitiges Spektrum an Aufgaben, welches auch stark von Ihrem Unternehmen abhängt. Gemäß DSGVO Abs. 1, in dem die wesentlichen Aufgabenbereiche festgelegt sind, können die Aufgaben in beratende und überwachende Tätigkeiten gegliedert werden. Die zentrale Aufgabe ist dabei die Überwachung der datenschutzrechtlichen Regelungen, was in Art. 39 Abs. 1b geregelt wird. Hierbei gilt es, nicht nur die Regelungen der DSGVO zu beachten, sondern ebenso die weiteren nationalen (BDSG neu) und internationalen Datenschutzvorschriften.

Der DSB ist zur Unterrichtung und Beratung der Geschäftsleitung, Auftragsverarbeiter und Beschäftigter bezüglich deren Datenschutzpflichten verpflichtet und ist die erste Anlaufstelle in Datenschutzfragen. Hierzu führt der Datenschutzbeauftragte auch regelmäßige Schulungen zur Sensibilisierung der Mitarbeiter durch. Hier sind zumindest sämtliche Mitarbeiter einzubeziehen, welche mit personenbezogenen Daten zu tun haben. Auch wenn diese Aufgabe nicht explizit dem DSB zugewiesen ist, der betriebliche Datenschutzbeauftragte aber oftmals die Person sein, welche die Schulungen durchführt, da er über das größte Datenschutzfachwissen im Unternehmen verfügt.

Auch die Datenschutzfolgeabschätzung inkl. Überwachung der Durchführung gem. Art. 35 DSGVO gehört im Falle einer Anfrage zu Ihren Aufgaben. Wenn eine Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder ein sehr hohes Risiko zur Folge hat, sollte vor deren Einführung eine Datenschutz-Folgenabschätzung‎ vorzunehmen.

Schließlich fungiert der Datenschutzbeauftragte als Kontaktstelle zu Aufsichtsbehörden und arbeitet aktiv mit dieser zusammen.

Welche Aufgaben hat ein Datenschutzbeauftragter?

Datenschutzmanagementsystem

Damit alle Beschäftigten auch wissen, wie sie sich verhalten müssen, gehört weiterhin zu den Aufgaben als betrieblicher Datenschutzbeauftragter, die Erstellung der entsprechenden Strategien bzw. Richtlinien sowie die damit einhergehende Unterrichtung der Mitarbeiter. All dies sollen Sie mit Ihrem betriebsinternen Kontrollsystem des Datenschutzes (Datenschutzmanagementsystem) überwachen und begleiten.

Hierfür werden zudem Verzeichnisse der Verarbeitungsvorgänge angelegt und geführt. Der DSB ist dabei unterstützend tätig, indem er bei der Erstellung des Verzeichnisses berät und dieses ggf. auf Schlüssigkeit überprüft. Die Erstellung selbst wird vom Verantwortlichen vorgenommen und fällt somit nicht in den eigentlichen Aufgabenbereich des Datenschutzbeauftragten.

Gerade dann, wenn Sie weitere Tätigkeiten im Unternehmen wahrnehmen, ist es oft schwierig, die Balance zwischen Beratung und Umsetzung zu halten. Hierbei gilt es besonders vorsichtig vorzugehen, da Sie im Haftungsfall einen Teil der Haftung auf sich nehmen, sollten Sie in diesem Zusammenhang Teil der operativen Umsetzung sein.

Datenschutzvorfälle & technisches Verständnis

Gemäß DSGVO sollen Datenschutzvorfälle (Verletzung des Schutzes personenbezogener Daten) innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde mitgeteilt werden. Dies gilt, wenn ein Risiko für die Rechte und Freiheiten der betroffenen Person(en) besteht (Art. 33 Abs. 1 DSGVO). Daher soll der Datenschutzbeauftragte ein effektives internes Konzept erarbeiten, damit die Mitarbeiter einen Datenschutzvorfall erkennen und diesen unverzüglich dem Datenschutzbeauftragten melden können. Dieser prüft den Vorfall und wird dem Verantwortlichen eine Rückmeldung dahingehend geben, ob seiner Ansicht nach eine Meldung an die Datenschutzbehörde erfolgen sollte.

Vorrangiges Ziel des DSB ist es, Datenschutzvorfälle schon im Vorfeld zu vermeiden. Daher soll der Datenschutzbeauftragte bereits vor Beginn einer neuen Verarbeitung informieren werden. Dies kann etwa bei Einführung einer neuen Software notwendig sein. Die entsprechende Regelung hierzu befindet sich in Art. 38 Abs. 1 DSGVO. Es ist daher unbedingt erforderlich, dass der Datenschutzbeauftragte einen Einblick in die technische Umsetzung erhält.

Damit die Datenverarbeitung rechtmäßig erfolgt, hat das Unternehmen nun geeignete technische und organisatorische Maßnahmen zu treffen. Dabei sind vor allem Art, Umfang und Zweck der Datenverarbeitung sowie die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen umfassend zu berücksichtigen. Der Datenschutzbeauftragte hat die Aufgabe, die Implementierung der im Einzelfall erforderlichen Maßnahmen zu überwachen und ggf. seine fachliche Stellungnahme abzugeben. Somit benötigt der DSB neben seinen fachlichen Kenntnissen im Datenschutz auch ein Mindestmaß an technischem Verständnis.

Wie können die Aufgaben des DSB dem PDCA Zyklus zugeordnet werden?

Wie bei modernen Managementsystemen üblich, folgen auch die Aufgaben als Datenschutzbeauftragter dem PDCA Zyklus. Der PDCA Kreislauf sieht dabei den Problemlösungsprozess in den vier Schritten „Plan – Do – Check – Act“ vor. Wie dies im Falle des DSB aussehen kann, sehen Sie in dem nachfolgenden Bild grafisch dargestellt.

Welche Aufgaben hat ein Datenschutzbeauftragter nach dem PDCA Zyklus?

Tipps & Tricks zu den Aufgaben als Datenschutzbeauftragter

Wie bereits oben aufgeführt sollten Sie Ihre konkreten Aufgaben im Tagesgeschäft in die Rollenbeschreibung des DSB aufnehmen, um schriftlich zu fixieren für welche Themen Sie verantwortlich bzw. zuständig sind. Also was gilt es konkret in den folgenden Bereichen zu tun:

  • Kontrolle der Datenverarbeitung
  • Beratung des Verantwortlichen
  • Kommunikation mit der Aufsichtsbehörde

Die Frage, die hierzu gestellt werden muss, ist also: „Wie können diese Aufgaben konkret umgesetzt werden?“ Zusätzlich müssen Sie diese Aufgaben als betrieblicher Datenschutzbeauftragter bezüglich der Risikobereitschaft des Unternehmens und die Kritikalität der Datenverarbeitung hin prüfen. Auch sollten Sie unbedingt Zeiten für die fachliche Weiterbildung sowie den fachlichen Austausch zur Verfügung stehen. Auch dies sollten Sie schriftlich fixieren.


E-Learning Kurs zum Datenschutzbeauftragten

Unser Tipp

E-Learning Kurs: In unserer Online Schulung zum Datenschutzbeauftragten vermitteln wir interaktiv, wie Sie den Aufgaben eines Datenschutzbeauftragten auf Basis der neuen DSGVO gerecht werden.

Werfen Sie hier direkt einen Blick in den kostenlosen Demokurs!


Wann benennen Sie einen Datenschutzbeauftragten im Unternehmen?

Wie eingangs bereits erwähnt, ist die Benennung eines betrieblichen Datenschutzbeauftragten gemäß der DSGVO unter bestimmten Bedingungen erforderlich. Zu finden sind die Voraussetzungen unter Art. 37 DSGVO „Benennung eines Datenschutzbeauftragten“. Demnach ist dies zwingend erforderlich, wenn:

  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
  • die verantwortliche Person eine Kerntätigkeit ausübt, die in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Datenverarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Als großes Unternehmen mit mehreren Standorten können Sie einen gemeinsamen Datenschutzbeauftragten benennen. Diesen müssen Sie jedoch von jeder Niederlassung aus leicht erreichen können. Der DSB kann dabei aus dem eigenen Unternehmen stammen oder Sie bestellen einen externen Beauftragten. Wichtig ist nur, dass sowohl der interne als auch ein externer Beauftragter des Datenschutzes die erforderlichen beruflichen Qualifikationen und das nötige Fachwissen mitbringt. Nur so kann er nämlich die Datenschutzbeauftragter Aufgaben ordnungsgemäß erfüllen.

Was müssen Sie bei der Stellung Datenschutzbeauftragter gem. DSGVO Artikel 38 beachten?

Zunächst muss die Person, wie bereits erwähnt, die die Aufgabe als Datenschutzbeauftragter im Unternehmen wahrnehmen soll, die notwendige berufliche Qualifikation mit dem entsprechenden Fachwissen vorweisen können (Art. 37 Abs. 5 DSGVO). D.h. als DSB müssen detaillierte Kenntnisse zum Datenschutzrecht und der Datenschutzpraxis vorhanden sein. Zudem bestimmt Art. 38 Abs. 6 DSGVO, dass der interne Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen kann, solange und soweit dies nicht zu einem Interessenkonflikt führt. Je größer das Unternehmen ist, desto unwahrscheinlicher ist es, dass weitere Aufgaben hinzukommen. Dabei gilt es in der Beschreibung der Stelle auch die Rechenschaftspflicht zu beachten, eine dahin gehende Argumentation fällt bei sehr großen Unternehmen eher schwer.

Als Datenschutzbeauftragter muss eine Weisungsfreiheit bezüglich der Aufgaben bestehen, d.h. die Unternehmensleitung darf nicht sagen, wie er die Erfüllung seiner Aufgaben vornimmt. Dies richtet sich nach den Vorgaben der DSGVO sowie dem Ansatz des risikoorientierten Vorgehens bzw. der Risikobetrachtung bei der Datenverarbeitung. Es besteht für den DSB ein Abberufungsschutz sowie Benachteiligungsverbot und die Berichterstattung erfolgt unmittelbar an die höchste Managementebene, also den Vorstand bzw. die Geschäftsleitung.

Zudem sind Sie als Datenschutzbeauftragter zur Verschwiegenheit verpflichtet. Bei Kontakt mit Betroffenen gilt es, deren Datenschutz zu beachten. Da es bei der Klärung einer relevanten Sachlage in kleinen Unternehmen oftmals kaum möglich ist, die Identität der Betroffenen zu wahren, muss hier eine Einverständniserklärung eingeholt werden. Um alle Aufgaben als Datenschutzbeauftragter wahrnehmen zu können, besteht außerdem die Pflicht zur Unterstützung durch das Unternehmen. Dies betrifft z.B. Ressourcen, Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie Erhalt der Fachkenntnisse. Klären Sie als verantwortliche Person zur Verfügung stehende Ressourcen im Voraus mit Ihren Vorgesetzten, damit im Nachhinein keine Budget-Diskussion entsteht! Budget besitzt dabei sowohl eine zeitliche als auch eine monetäre Komponente.

Tipps & Tricks zur Stellung des Datenschutzbeauftragten

Alles zur Stellung und den Aufgaben als Datenschutzbeauftragter sollten – so konkret wie möglich – schriftlich in einer Stellenbeschreibung festgehalten werden. Diese Rollenbeschreibung wird zudem in den Arbeitsvertrag integriert, damit kein Konflikt zu anderen Aufgaben entsteht, falls Sie nicht zu 100 % als DSB tätig sind. Ebenso sollten regelmäßige Besprechungen zwischen dem Datenschutzbeauftragten und der Geschäftsleitung stattfinden („Jour fixe“). Die Häufigkeit dieser Besprechungen hängt von der Größe des Unternehmens sowie der Kritikalität der Datenverarbeitung ab.

Welche Rechtsfolgen bzw. Haftungsrisiken bestehen als DSB?

Werden die Rechte und Pflichten von Betroffenen verletzt oder werden sonstige Vorgaben der DSGVO nicht erfüllt, kann die zu gravierenden Konsequenzen führen. Als Datenschutzbeauftragter haften Sie nach außen generell nicht gegenüber Dritten bei Datenschutzverstößen. In Art. 82 Abs. 1 DSGVO wird festgelegt, dass nur der Verantwortliche oder der Auftragsverarbeiter gegenüber dem Geschädigten haftbar gemacht werden kann.

Bußgelder in Höhe von bis zu 20 Millionen Euro bzw. 4% des weltweiten Jahresumsatzes sind theoretisch möglich. Dabei gilt jedoch die Vorgabe, dass die Verhängung von Bußgeldern verhältnismäßig erfolgen muss! Zudem sollten Sie beachten, dass die Verhängung der Bußgelder auch davon abhängt, ob das Vorgehen als risikobasiert angesehen wird.

Welche unternehmerischen Kernaufgaben gibt es zum Datenschutz?

Bindet man abschließend die Vorgaben der DSGVO in die unternehmerischen Kernaufgaben ein, ergeben folgende Aufgaben als Datenschutzbeauftragter im Unternehmen:

  • Dokumentation aller Datenverarbeitungen im Unternehmen, in denen personenbezogene Daten erhoben und bearbeitet werden
  • Prüfung der Erforderlichkeit einer Datenschutz-Folgeabschätzung sowie ggf. deren Durchführung
  • Anpassung sämtlicher datenschutzrechtlicher Rechtstexte
  • Nachprüfung aller Erlaubnistatbestände und Einwilligungsprozesse (Nachweispflicht)
  • Überprüfung und Anpassung aller Auftragsverarbeitungsverträge und sonstiger Datenschutzrechtlicher Vereinbarungen
  • Überprüfung der internen Prozesse in Bezug auf Meldepflichten und Betroffenenrechte
  • Sicherstellung der Löschung von nicht mehr erforderlichen personenbezogenen Daten
  • Überprüfung der internen Dokumentation im Hinblick auf die Nachweisführung von datenschutzrechtlichen Vorgängen
  • Sicherstellung Datenschutz "Awareness inkl. Skills" in der Belegschaft

Welche unternehmerischen Aufgaben Datenschutzbeauftragter ergeben sich aus der DSGVO?


Weitere interessante Wissens-Artikel zum Thema Datenschutz finden Sie hier: Fachwissen zum Thema Datenschutz & DSGVO.


Sie haben Fragen oder wünschen ein Angebot?
Ich helfe Ihnen gerne weiter!

Kati Schäfer
Produktmanagement Training & PRO SYS
Tel.: 07231 92 23 91 - 29
E-Mail: kschaefer@vorest-ag.de


Unsere Serviceangebote im Bereich Datenschutz & DSGVO