Was ist ein Datenschutzbeauftragter? – Aufgaben & Stellung nach DSGVO

Zu den Datenschutzbeauftragter Aufgaben gehören die Beratung zum Datenschutz und die Kontrolle der Einhaltung von Datenschutzvorschriften. Prinzipiell hat der Datenschutzbeauftragte ein vielseitiges Spektrum an Aufgaben, welches sich aus der Datenschutzgrundverordnung DSGVO 2018 ergibt, aber auch stark vom Unternehmen abhängt. Gemäß DSGVO Abs. 1, in dem die wesentlichen Aufgabenbereiche festgelegt sind, können diese in beratende und überwachende Tätigkeiten gegliedert werden. Die zentrale Aufgabe ist dabei die Überwachung der datenschutzrechtlichen Regelungen, was in Art. 39 Abs. 1b nachzulesen ist. Sie müssen jedoch nicht nur die Regelungen der DSGVO beachten, sondern ebenso die weiteren nationalen (BDSG neu) und internationalen Datenschutzvorschriften.

Ebenfalls zu den Datenschutzbeauftragter Aufgaben zählen die Unterrichtung und Beratung von Geschäftsleitung, Auftragsverarbeiter und Beschäftigten bezüglich deren Datenschutzpflichten. Als Datenschutzbeauftragter (DSB) sind Sie die erste Anlaufstelle in Fragen des Datenschutzes im Betrieb. Hierzu sollen auch regelmäßige Schulungen zur Sensibilisierung der Mitarbeiter durchgeführt werden, vor allem wenn diese mit personenbezogenen Daten zu tun haben. Auch das wird in der Praxis zumeist durch den/die DSB durchgeführt.

Auch die Datenschutzfolgeabschätzung inkl. Überwachung der Durchführung gem. Art. 35 DSGVO gehört im Falle einer Anfrage zu den Datenschutzbeauftragter Aufgaben. Wenn eine Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder ein sehr hohes Risiko zur Folge hat, ist vor deren Einführung eine Datenschutz-Folgenabschätzung vorzunehmen. Schließlich fungiert der Datenschutzbeauftragte noch als Kontaktstelle zu Aufsichtsbehörden und arbeitet aktiv mit dieser zusammen.

Die Stellung des Datenschutzbeauftragten ist dabei mit einer Stabsstelle vergleichbar, sie muss unabhängig sein und darf keinem Interessenkonflikt unterliegen. Laut DSGVO Artikel 38 Abs. 6 darf der DSB zwar zusätzlich andere Aufgaben und Pflichten im Unternehmen wahrnehmen, sie dürfen jedoch nicht mit den grundlegenden Datenschutzbeauftragter Aufgaben kollidieren.

Datenschutzbeauftragter Aufgaben im Unternehmen

Datenschutzbeauftragter Aufgaben - Datenschutzmanagementsystem

Damit alle Beschäftigten auch wissen, wie sie sich verhalten müssen, gehört weiterhin die Erstellung der entsprechenden Strategien bzw. Richtlinien sowie die damit einhergehende Unterrichtung der Mitarbeiter zu den Datenschutzbeauftragter Aufgaben. All dies sollen Sie mit Ihrem betriebsinternen Kontrollsystem des Datenschutzes (Datenschutzmanagementsystem) überwachen und begleiten.

Hierfür sollen alle betroffenen Mitarbeiter Verzeichnisse der Verarbeitungsvorgänge anlegen. Der DSB ist dabei unterstützend tätig, indem er bei der Erstellung des Verzeichnisses berät und dieses ggf. auf Schlüssigkeit überprüft. Die Erstellung selbst wird vom Verantwortlichen vorgenommen und fällt somit nicht in den eigentlichen Aufgabenbereich des betrieblichen Datenschutzbeauftragten.

Gerade dann, wenn Sie weitere Tätigkeiten im Unternehmen wahrnehmen, ist es oft schwierig, die Balance zwischen Beratung und Umsetzung zu halten. Hierbei gilt es besonders vorsichtig vorzugehen, da Sie im Haftungsfall einen Teil der Haftung auf sich nehmen, sollten Sie in diesem Zusammenhang Teil der operativen Umsetzung sein.


E-Learning Kurs zum Datenschutzbeauftragten

Ihre online Ausbildung zum Datenschutzbeauftragten

E-Learning Kurs: In unserer Online Schulung zum Datenschutzbeauftragten vermitteln wir interaktiv, wie Sie den Aufgaben eines Datenschutzbeauftragten auf Basis der neuen DSGVO gerecht werden.

Werfen Sie hier direkt einen Blick in den kostenlosen Demokurs!


Datenschutzvorfälle & technisches Verständnis

Gemäß DSGVO sollen Datenschutzvorfälle (Verletzung des Schutzes personenbezogener Daten) innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde mitgeteilt werden. Dies gilt, wenn ein Risiko für die Rechte und Freiheiten der betroffenen Person(en) besteht (Art. 33 Abs. 1 DSGVO). Daher soll der Datenschutzbeauftragte ein effektives internes Konzept erarbeiten, damit die Beschäftigten einen Datenschutzvorfall erkennen und diesen unverzüglich dem Datenschutzbeauftragten melden können. Als DSB prüfen Sie den Vorfall und geben dem Verantwortlichen eine Rückmeldung dahingehend, ob Ihrer Ansicht nach eine Meldung an die Datenschutzbehörde erfolgen sollte.

Vorrangiges Ziel des DSB ist es, Datenschutzvorfälle schon im Vorfeld zu vermeiden. Daher soll der Datenschutzbeauftragte bereits vor Beginn einer neuen Verarbeitung informieren werden. Dies kann etwa bei Einführung einer neuen Software notwendig sein. Die entsprechende Regelung hierzu befindet sich in Art. 38 Abs. 1 DSGVO. Es ist daher unbedingt erforderlich, dass der Datenschutzbeauftragte einen Einblick in die technische Umsetzung erhält.

Damit die Datenverarbeitung rechtmäßig erfolgt, hat das Unternehmen nun geeignete technische und organisatorische Maßnahmen zu treffen. Dabei sind vor allem Art, Umfang und Zweck der Datenverarbeitung sowie die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen umfassend zu berücksichtigen. Die Implementierung, der im Einzelfall erforderlichen Maßnahmen, zu überwachen und ggf. eine fachliche Stellungnahme abzugeben gehört ebenfalls zu den Datenschutzbeauftragter Aufgaben. Somit benötigt der DSB neben seinen fachlichen Kenntnissen im Datenschutz auch ein Mindestmaß an technischem Verständnis.

Wie können die Datenschutzbeauftragter Aufgaben dem PDCA Zyklus zugeordnet werden?

Wie bei modernen Managementsystemen üblich, folgen auch die Datenschutzbeauftragter Aufgaben dem PDCA Zyklus. Der PDCA Kreislauf sieht dabei den Problemlösungsprozess in den vier Schritten „Plan – Do – Check – Act“ vor. Wie dies im Falle des DSB aussehen kann, sehen Sie in dem nachfolgenden Bild grafisch dargestellt.

Aufgaben des Datenschutzbeauftragten nach dem PDCA-Zyklus

Tipps & Tricks zu den Datenschutzbeauftragter Aufgaben

Wie bereits oben aufgeführt sollten Sie Ihre konkreten Aufgaben im Tagesgeschäft in die Rollenbeschreibung des DSB aufnehmen, um schriftlich zu fixieren für welche Themen Sie verantwortlich bzw. zuständig sind. Hierzu zählen:

  • Kontrolle der Datenverarbeitung
  • Beratung des Verantwortlichen
  • Kommunikation mit der Aufsichtsbehörde

Die Frage, die hierzu gestellt werden muss, ist also: „Wie können diese Datenschutzbeauftragter Aufgaben konkret umgesetzt werden?“ Zusätzlich müssen Sie diese Aufgaben bezüglich der Risikobereitschaft des Unternehmens und die Kritikalität der Datenverarbeitung hin prüfen. Auch sollten Sie unbedingt Zeiten für die fachliche Weiterbildung sowie den fachlichen Austausch zur Verfügung stehen. Auch dies sollten Sie schriftlich fixieren.

Wann benennen Sie einen Datenschutzbeauftragten im Unternehmen?

Die Benennung eines betrieblichen Datenschutzbeauftragten gemäß der DSGVO ist unter bestimmten Bedingungen erforderlich. Zu finden sind die Voraussetzungen unter Art. 37 DSGVO „Benennung eines Datenschutzbeauftragten“. Demnach ist die Bestellung bzw. Benennung zwingend erforderlich, wenn:

  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
  • die verantwortliche Person eine Kerntätigkeit ausübt, die in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Datenverarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Als großes Unternehmen mit mehreren Standorten können Sie einen gemeinsamen Datenschutzbeauftragten benennen. Diesen müssen Sie jedoch von jeder Niederlassung aus leicht erreichen können. Der DSB kann dabei aus dem eigenen Unternehmen (interner Datenschutzbeauftragter) stammen oder Sie bestellen einen externen Beauftragten. Wichtig ist nur, dass sowohl der interne als auch ein externer Beauftragter des Datenschutzes die erforderlichen beruflichen Qualifikationen und das nötige Fachwissen mitbringt. Nur so kann er nämlich die Datenschutzbeauftragter Aufgaben ordnungsgemäß erfüllen.

Was müssen Sie bei der Stellung des Datenschutzbeauftragten gem. DSGVO Artikel 38 beachten?

Zunächst muss die Person, wie bereits erwähnt, die die Datenschutzbeauftragter Aufgaben im Unternehmen wahrnehmen soll, die notwendige berufliche Qualifikation mit dem entsprechenden Fachwissen vorweisen können (Art. 37 Abs. 5 DSGVO). D.h. als DSB müssen detaillierte Kenntnisse zum Datenschutzrecht und der Datenschutzpraxis vorhanden sein. Zudem bestimmt Art. 38 Abs. 6 DSGVO, dass der interne Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen kann, solange und soweit dies nicht zu einem Interessenkonflikt führt. Je größer das Unternehmen ist, desto unwahrscheinlicher ist es, dass weitere Aufgaben hinzukommen. Dabei gilt es in der Beschreibung der Stelle auch die Rechenschaftspflicht zu beachten, eine dahin gehende Argumentation fällt bei sehr großen Unternehmen eher schwer.

Als Datenschutzbeauftragter muss eine Weisungsfreiheit bezüglich der Aufgaben bestehen, d.h. die Unternehmensleitung darf nicht sagen, wie der DSB die Erfüllung seiner Aufgaben vornimmt. Dies richtet sich nach den Vorgaben der DSGVO sowie dem Ansatz des risikoorientierten Vorgehens bzw. der Risikobetrachtung bei der Datenverarbeitung. Es besteht für den DSB ein Abberufungsschutz sowie Benachteiligungsverbot und die Berichterstattung erfolgt unmittelbar an die höchste Managementebene, also den Vorstand bzw. die Geschäftsleitung.

Zudem sind Sie als betrieblicher Datenschutzbeauftragter zur Verschwiegenheit verpflichtet. Bei Kontakt mit Betroffenen gilt es, deren Datenschutz zu beachten. Da es bei der Klärung einer relevanten Sachlage in kleinen Unternehmen oftmals kaum möglich ist, die Identität der Betroffenen zu wahren, muss hier eine Einverständniserklärung eingeholt werden. Um alle Datenschutzbeauftragter Aufgaben wahrnehmen zu können, besteht außerdem die Pflicht zur Unterstützung durch das Unternehmen. Dies betrifft z.B. Ressourcen, Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie Erhalt der Fachkenntnisse. Klären Sie als verantwortliche Person zur Verfügung stehende Ressourcen im Voraus mit Ihren Vorgesetzten, damit im Nachhinein keine Budget-Diskussion entsteht! Budget besitzt dabei sowohl eine zeitliche als auch eine monetäre Komponente.

Tipps & Tricks zur Stellung des Datenschutzbeauftragten

Alles zur Stellung und den Aufgaben als Datenschutzbeauftragter sollten – so konkret wie möglich – schriftlich in einer Stellenbeschreibung festgehalten werden. Diese Rollenbeschreibung wird zudem in den Arbeitsvertrag integriert, damit kein Konflikt zu anderen Aufgaben entsteht, falls Sie nicht zu 100 % als DSB tätig sind. Ebenso sollten regelmäßige Besprechungen zwischen dem Datenschutzbeauftragten und der Geschäftsleitung stattfinden („Jour fixe“). Die Häufigkeit dieser Besprechungen hängt von der Größe des Unternehmens sowie der Kritikalität der Datenverarbeitung ab.


Gesamtkatalog zum Download

Unser Ausbildungsprogramm für Sie

Wir vermitteln Ihnen alles Wichtige rund um die Aufgaben des Datenschutzbeauftragten, zur Norm ISO 27001 sowie zu vielen weiteren Managementsystemen und Prozessen. Laden Sie sich für eine komplette Übersicht einfach unseren Katalog kostenfrei herunter.


Welche Rechtsfolgen bzw. Haftungsrisiken bestehen als DSB?

Werden die Rechte und Pflichten von Betroffenen verletzt oder werden sonstige Vorgaben der DSGVO nicht erfüllt, kann dies zu gravierenden Konsequenzen führen. Als Datenschutzbeauftragter haften Sie nach außen generell nicht gegenüber Dritten bei Datenschutzverstößen. In Art. 82 Abs. 1 DSGVO wird festgelegt, dass nur der Verantwortliche oder der Auftragsverarbeiter gegenüber dem Geschädigten haftbar gemacht werden kann.

Bußgelder in Höhe von bis zu 20 Millionen Euro bzw. 4% des weltweiten Jahresumsatzes sind theoretisch möglich. Dabei gilt jedoch die Vorgabe, dass die Verhängung von Bußgeldern verhältnismäßig erfolgen muss! Zudem sollten Sie beachten, dass die Verhängung der Bußgelder auch davon abhängt, ob das Vorgehen als risikobasiert angesehen wird.

Welche unternehmerischen Kernaufgaben gibt es zum Datenschutz?

Bindet man abschließend die Vorgaben der DSGVO in die unternehmerischen Kernaufgaben ein, ergeben folgende Datenschutzbeauftragter Aufgaben im Unternehmen:

  • Dokumentation aller Datenverarbeitungen bzw. Verarbeitungstätigkeiten im Unternehmen, in denen personenbezogene Daten erhoben und bearbeitet werden
  • Prüfung der Erforderlichkeit einer Datenschutz-Folgenabschätzung sowie ggf. deren Durchführung
  • Anpassung sämtlicher datenschutzrechtlicher Rechtstexte
  • Nachprüfung aller Erlaubnistatbestände und Einwilligungsprozesse (Nachweispflicht)
  • Überprüfung und Anpassung aller Auftragsverarbeitungsverträge und sonstiger Datenschutzrechtlicher Vereinbarungen
  • Überprüfung der internen Prozesse in Bezug auf Vorschriften, Meldepflichten und Betroffenenrechte
  • Sicherstellung der Löschung von nicht mehr erforderlichen personenbezogenen Daten
  • Überprüfung der internen Dokumentation im Hinblick auf die Nachweisführung von datenschutzrechtlichen Vorgängen
  • Sicherstellung Datenschutz "Awareness inkl. Skills" in der Belegschaft

Welche unternehmerischen Aufgaben Datenschutzbeauftragter ergeben sich aus der DSGVO?

 

Kostenlose Vorlage -
Erstellung einer Prozessbeschreibung

 

Kostenlose Vorlage -
Erstellung einer Arbeitsanweisung

 

Kostenloser E-Kurs -
Was ist ein ISMS nach ISO 27001?


Unsere Serviceangebote im Bereich Datenschutz


Anprechpartner Kati Schaefer
Sie haben Fragen oder wünschen ein Angebot?
Ich helfe Ihnen gerne weiter!

Kati Schäfer
Produktmanagement Training & PRO SYS
Tel.: 07231 92 23 91 - 0
E-Mail: kschaefer@vorest-ag.de