Zum Inhalt springen Zur Navigation springen
Aufgaben eines Datenschutzbeauftragten nach DSGVO

Aufgaben eines Datenschutzbeauftragten nach DSGVO

Die Aufgaben eines Datenschutzbeauftragten sind vielfältig und umfangreich. In seinem Arbeitsalltag muss sich der Datenschutzbeauftragte nicht nur mit den Ungenauigkeiten der DSGVO herumschlagen, auch liegt seine Aufgabe in der Kommunikation von oftmals unbeliebten Datenschutzthemen. Im Folgenden soll ein Überblick über die Tätigkeitsfelder und Herausforderungen des DSB verschafft werden.

Der Verantwortliche als zentraler Adressat der Vorgaben der DSGVO

Häufig wird angenommen, dass der Datenschutzbeauftragte für den Datenschutz und dessen Einhaltung zuständig ist. Vorweggenommen soll klargestellt sein, dass der Datenschutzbeauftragte zwar die Einhaltung datenschutzrechtlicher Vorgaben überwacht, jedoch nicht für deren Einhaltung zuständig ist. Diese Zuständigkeit liegt allein beim Verantwortlichen. Das ergibt sich aus Art. 5 Abs. 2, Art. 24, Art. 12 Abs. 1 – 3 DSGVO. Schließlich ist der Verantwortliche bei Sanktionen gemäß Art. 82, Art. 83 DSGVO Adressat und nicht der Datenschutzbeauftragte selbst.

Allgemeine Aufgabenbeschreibung des Datenschutzbeauftragten

Die Aufgaben des betrieblichen Datenschutzbeauftragten sind in Art. 39 DSGVO normiert. Er analysiert und kontrolliert im Idealfall den Stand des Datenschutzniveaus im Unternehmen und macht in diesem Rahmen der Geschäftsleitung Vorschläge zur Verbesserung. Der Datenschutzbeauftragte hat demnach keine eigene Entscheidungsgewalt und untersteht lediglich der höchsten Managementebene des Unternehmens. In der Ausübung seiner Tätigkeit ist der Datenschutzbeauftragte nicht an Weisungen gebunden.

Der Datenschutzbeauftragte hat über seine Beratungs- und Kontrollfunktion keinerlei Handlungskompetenzen, die sich aus der DSGVO selbst ergeben. Ihm kommt also nur eine Nebenrolle im Unternehmen zu. Die alleinige Entscheidungsgewalt liegt beim Verantwortlichen, denn, wie oben bereits herausgestellt, auch eventuelle Sanktionen treffen.

Die Aufgaben des Datenschutzbeauftragten in Art. 39 DSGVO

Die Aufgabenbereiche des Datenschutzbeauftragten sind im Wesentlichen in Art. 39 Abs. 1 DSGVO normiert:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten
  • Überwachung der Einhaltung dieser Verordnung anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen einschließlich der vorherigen Konsultation gemäß Artikel 36 DSGVO und gegebenenfalls Beratung zu allen sonstigen Fragen.

Zu beachten ist hierbei, dass es sich dabei nicht um eine abschließende Aufzählung, sondern ausdrücklich um die „Mindestanforderungen“ an den betrieblichen Datenschutzbeauftragten handelt.

Unterrichtung und Beratung

Auf den Datenschutzbeauftragten kommt in seiner Beraterfunktion zu, die jeweiligen relevanten Tatsachen der datenschutzrechtlichen Fragestellung herauszuarbeiten und anhand dieser Darstellung Entscheidungsalternativen aufzuzeigen, um datenschutzrechtlichen Vorgaben zu entsprechen. Das „letzte Wort“ hat jedoch immer noch der Verantwortliche, der sich auch gegen die angeratenen Handlungsalternativen entscheiden kann.

Zusätzlich trifft den Datenschutzbeauftragen die manchmal etwas undankbare Aufgabe, die Mitarbeiter des Verantwortlichen, die personenbezogene Daten verarbeiten, zu unterrichten. Idealerweise folgt hieraus für das gesamte Unternehmen eine Sensibilisierung für den Datenschutz.

Überwachung der Einhaltung der Datenschutzregelungen

Besonderer Kern der Aufgaben eines DSB stellt die Überwachung der Einhaltung von Datenschutzregelungen dar. Es stellt sich die Frage, wie weitreichend eine solche Überwachung sein muss. Und was Überwachung im Einzelfall überhaupt bedeutet. Die Überwachung ist nach Art. 39 Abs. 1 lit. a DSGVO wohl als passive Kontrolle zu verstehen. Auch ein Blick auf die verschiedenen Übersetzungen ins Englische als „monitor“ und französische „controler“, lässt den Schluss zu, dass dem DSB eine passive Funktion zukommt, die sich in der unterstützenden Beaufsichtigung von datenschutzrechtlichen Organisationsstrukturen erschöpft. Diese Organisationsstrukturen, z.B. das richtige Aufbewahren von Personalakten und die Einhaltung von Löschfristen, ist letztendlich vom Verantwortlichen einzurichten. Nichts anderes ergibt sich aus dem Erwägungsgrund 97 zur DSGVO, in welchem das Überwachen eine unterstützende Aufgabe für den Verantwortlichen darstellen soll.

Zusammenarbeit mit der Aufsichtsbehörde

Ein gewisses Spannungsfeld liegt in der Zusammenarbeit mit der Aufsichtsbehörde. Bei internen Datenschutzbeauftragten wird diese unter dem Stichwort Kooperationspflicht besonders deutlich. Diese ergibt sich aus Art. 39 Abs. 1 lit. d DSGVO. Zwar ist der DSB weisungsungebunden, er ist jedoch trotzdem in den meisten Fällen Arbeitnehmer des Verantwortlichen.

Bei der Zusammenarbeit mit der Aufsichtsbehörde kann die Kooperationspflicht zu Ergebnissen führen, die für den Verantwortlichen ungünstig sind. Hier steht der Datenschutzbeauftragte im Extremfall zwischen den Fronten. Ihm kommt eine Vermittlungsposition zu, die keinesfalls so verstanden werden darf, dass der Datenschutzbeauftragte als Stellvertreter auftritt. Bei Problemen und Dialogen mit der Aufsichtsbehörde sollte der Datenschutzbeauftragte sich vielmehr als eine Art Moderator betrachten, der durch Fachkompetenz die Behördenseite und die Seite des Verantwortlichen möglichst effektiv auf Problemlösungen zuführt.

Die in Art 38 Abs. 5 DSGVO festgelegte Geheimhaltung- und Vertraulichkeitspflicht kann er keine Dokumente an die Behörde herausgeben und auch ein Verzeichnis über die Verarbeitungstätigkeiten sowie eigene Kontroll- und Jahresberichte dürfen nur mit Zustimmung des Verantwortlichen an die Behörden ausgegeben werden.

Welche weiteren Aufgaben kann man dem Datenschutzbeauftragten übertragen?

Gemäß Art. 38 Abs. 6 DSGVO können dem Datenschutzbeauftragen noch weite Aufgaben übertragen werden. Dies ist soweit zulässig, wie es nicht zu Interessenkonflikten mit den Tätigkeiten eines Datenschutzbeauftragten führt. Insbesondere darf der DSB nicht die Durchführungsverantwortlichkeit für Prozesse zur Einhaltung der DSGVO Vorschriften haben, da ihn bereits die Kontrollverantwortlichkeit hierfür trifft.

Bearbeitung von Betroffenenanfragen und Datenpannen

Die DSGVO sieht vor, dass die Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden muss, wenn aufgrund der Verletzung ein Risiko für die Rechte und Freiheiten der betroffenen Person(en) besteht (Art. 33 Abs. 1 DSGVO). Aufgrund dieser relativ kurzen Frist sollte unbedingt ein effektives internes Konzept erarbeitet werden, damit die Mitarbeiter einen Datenschutzvorfall erkennen und diesen unverzüglich dem Datenschutzbeauftragten melden können. Dieser prüft den Vorfall und wird dem Verantwortlichen eine Rückmeldung dahingehend geben, ob seiner Ansicht nach eine Meldung an die Datenschutzbehörde erfolgen sollte. Hierbei sollte ein Urteil des LArbG Baden-Württemberg (Az.: 4 Sa 65/21) Beachtung finden, welches entschieden hat, dass Datenschutzbeauftragte Erfüllungsgehilfen für den Arbeitgeber sein können:

„Gemäß Art. 12 Abs. 1 DSGVO muss ein Verantwortlicher aber nur „geeignete Maßnahmen“ treffen, damit die Mitteilungspflicht gemäß Art. 15 DSGVO erfüllt wird. Die Beklagte zu 1 kann sich also zur Erfüllung ihrer Verpflichtung auch Erfüllungsgehilfen bedienen. Die Datenschutzbeauftragte ist eine geeignete Erfüllungsgehilfin.“

Gemäß Art. 12 Abs. 3 S. 1 DSGVO sind Anfragen von Betroffenen grundsätzlich unverzüglich, spätestens jedoch innerhalb eines Monats zu beantworten. Diese Anfragen können ganz unterschiedlicher Natur sein und dabei von der bloßen Auskunft nach Art. 15 DSGVO zu den im Unternehmen gespeicherten personenbezogenen Daten eines Kunden bis hin zur Geltendmachung des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO) reichen.

Wenden sich Betroffene an das Unternehmen, weil sie einen Datenschutzverstoß vermuten, kann dies ein datenschutzrechtlich nicht ausreichend vorbereitetes Unternehmen in Aufruhr versetzen und den Betriebsablauf empfindlich stören. Daher ist es auch hier unerlässlich, dass die Unternehmensleitung gemeinsam mit dem Datenschutzbeauftragten ein Konzept entwickelt, damit eine gut organisierte und professionelle Prüfung der Anfrage erfolgen kann und nicht etwa vorschnell Informationen herausgegeben werden.

Schulungen der Mitarbeiter

Damit im jeweiligen Unternehmen ein effektiver Datenschutz gewährleistet werden kann, sind die Mitarbeiter zu schulen und zu sensibilisieren. Hier sind zumindest sämtliche Mitarbeiter einzubeziehen, welche mit personenbezogenen Daten zu tun haben. Diese Aufgabe ist nach der DSGVO zwar nicht ausdrücklich dem Datenschutzbeauftragten, sondern dem Verantwortlichen zugewiesen (vgl. Art. 39 Abs. 1 lit. b DSGVO). In der Praxis wird der betriebliche Datenschutzbeauftragte aber oftmals die Person sein, welche die Schulungen durchführt, da er über das größte Datenschutzfachwissen im Unternehmen verfügt. Hier ist wiederum nicht der äußere Rahmen des möglichen Interessenkonfliktes zu beachten. Schult der DSB auf der einen Seite und ist gleichzeitig für die Organisation und Verwaltung der Schulungen zuständig, so kann dies unter Umständen zu Interessenkonflikten führen. Insbesondere bezüglich der Überwachung des Erfolgs von Schulungsmaßnahmen, was in die Kontrollfunktion des DSB fällt, können Interessenkonflikte auftreten.

Durchführung der Datenschutz-Folgenabschätzung

Schwerpunkt der Tätigkeit ist auch seit Anwendbarkeit der DSGVO die Überwachung der Datenverarbeitungsvorgänge. Ziel hierbei ist es vor allem, Datenschutzvorfälle schon im Vorfeld zu vermeiden.

Aus diesem Grund ist der Datenschutzbeauftragte bereits vor Beginn einer neuen Verarbeitung zu informieren, beispielsweise bei Einführung einer neuen Software oder bei einer geplanten Videoüberwachung, damit hierzu eine Stellungnahme erfolgen und ggf. auf potenzielle Gefahren bei der Verarbeitung hingewiesen werden kann. Die entsprechende Regelung hierzu befindet sich in Art. 38 Abs. 1 DSGVO. Es ist daher unbedingt erforderlich, einen Einblick in die technische Umsetzung zu erhalten.

Damit einher geht die Durchführung einer Datenschutz-Folgenabschätzung. Der betriebliche Datenschutzbeauftragte ist insbesondere dann von der Unternehmensleitung einzubeziehen, wenn diese nicht sicher ist, ob die beabsichtigte Datenverarbeitung rechtmäßig durchgeführt werden kann. Der DSB hat dann selbst ggf. weitere rechtliche Informationen einzuholen sowie die zuständige Aufsichtsbehörde zu kontaktieren, um potenzielle Datenschutzverstöße schon im Vorfeld zu vermeiden.

Damit die Datenverarbeitung rechtmäßig erfolgt, hat das Unternehmen geeignete technische und organisatorische Maßnahmen (TOM) zu treffen. Die Voraussetzungen hierzu sind in Art. 32 DSGVO geregelt. Dabei sind insbesondere die Art, der Umfang und der Zweck der Verarbeitung einerseits sowie die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen andererseits umfassend zu berücksichtigen. Hier ist also eine Interessenabwägung zu treffen. Der Datenschutzbeauftragte hat die Aufgabe, die Implementierung der im Einzelfall erforderlichen Maßnahmen zu überwachen und ggf. seine fachliche Stellungnahme abzugeben. Somit benötigt der DSB neben seinen fachlichen Kenntnissen im Datenschutz auch ein Mindestmaß an technischem Verständnis.

Ausarbeitung der Datenschutz-Strategien

Der Datenschutzbeauftragte ist auch hier zu beteiligen. Zwar sieht die DSGVO explizit eine Beteiligung nicht vor, jedoch handelt es sich um eine „mit dem Schutz personenbezogener Daten zusammenhängende Frage“, sodass man über die Generalklausel des Art. 38 Abs. 1 DSGVO zu einer Einbindung kommt.

Der Datenschutzbeauftragte: Streitschlichter, Moderator, Berater, Lehrer

Der Datenschutzbeauftragte befindet sich noch immer in einer Position, indem ein nicht zu unterschätzender Teil seines Arbeitsalltags und Tätigkeitsprofils darin liegt, den Datenschutz in allen Bereichen eines Unternehmens schmackhaft zu machen, ohne dabei Unmögliches zu verlangen. Eine zugegeben, schwierige Aufgabe. Bei der Erfüllung seiner Aufgaben kommt es darauf an, Fachwissen dort zu vermitteln, wo es gebraucht wird und so Verarbeitungsvorgänge im Unternehmen mit der DSGVO in Einklang zu bringen. Wie an vielen Stellen jedoch erwähnt, muss er immer im Hinterkopf behalten, dass er eine unabhängige Kontrollfunktion hat und Interessenskonflikte vermeiden muss.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.