Die Benennung eines Datenschutzbeauftragten ist für viele Unternehmen ein bekanntes Thema. Doch bestehen weiterhin Fragen zur Positionierung und Aufgaben eines Datenschutzbeauftragten. Die französische Datenschutzbehörde CNIL hat hierzu eine Handreichung veröffentlicht, um bestehende Unklarheiten zu beantworten. Was darin enthalten ist, lesen Sie hier.
Der Inhalt im Überblick
Anforderung an einen Datenschutzbeauftragten
Grundsätzlich gibt die Datenschutz-Grundverordnung keine detaillierte Auflistung an, welche Aspekte ein potenzieller Datenschutzbeauftragter zu erfüllen hat. Die CNIL benennt innerhalb ihrer Handreichung beispielhaft Anforderungen an eine rechtliche und technische Expertise hinsichtlich des Datenschutzes. Dies ist sehr grob gefasst und wird nur durch branchenspezifisches Hintergrundwissen des Verantwortlichen, organisatorische Hintergründe und Grundwissen im Aufbau und Umgang mit den Behörden, erweitert. Ein spezifischer akademischer Abschluss ist hierfür nicht unmittelbar notwendig.
Erwägungsgrund 97 der Datenschutz-Grundverordnung sieht hierbei im Kern die gleichen Anforderungen vor, sodass sich dies spiegelt.
Eine interessante Übersicht ist die Auflistung der Profile der benannten Datenschutzbeauftragten innerhalb Frankreichs. Dank einer im Auftrag der CNIL durchgeführten Studie wurde identifiziert, dass rund 28 % der Datenschutzbeauftragten in Frankreich einen IT-Hintergrund sowie ca. 28 % eine juristische Ausbildung haben. Rund 48 % kommen aus dem Bereich der Administration, Finanzen, Compliance oder aus der Auditierung. Dies ist sicherlich vergleichbar zu Deutschland.
Förderlich wäre es zudem, wenn der Datenschutzbeauftragte in der Lage ist, dieselbe Sprache der Betroffenen und der Aufsichtsbehörden zu sprechen. Sollte dies nicht unmittelbar der Fall sein, kann der Datenschutzbeauftragte von einem lokalen Team Unterstützung erhalten, um eine reibungslose Kommunikation zu ermöglichen.
Die Rolle des Datenschutzbeauftragten
Die Datenschutz-Grundverordnung platziert den Datenschutzbeauftragten als zentralen Bestandteil des Datenschutz-Management-Systems. In den Artikeln Art. 37 – 39 DSGVO werden die Anforderungen und Aufgaben an den Datenschutzbeauftragten beschrieben. Demnach bestehen folgende Pflichten des Datenschutzbeauftragten:
- Beraten der Geschäftsführung
- Entwickeln geeigneter Prozesse zur Wahrung der Betroffenenrechte und personenbezogenen Daten
- Regelmäßige Sensibilisierung der Mitarbeiter
- Überwachung der Einhaltung der Dokumentationspflicht durch Verantwortliche
- Stetige Überwachung der Prozesse
Unternehmen, die personenbezogene Daten verarbeiten, sind aus Sicht der Datenschutz-Grundverordnung Verantwortliche. In der Vergangenheit kam oft die Frage auf, inwiefern Datenschutzbeauftragte für entstehende Datenschutzverstöße verantwortlich sind oder in die Haftung geraten können. Nach Ansicht der CNIL, welche ebenfalls die herrschende deutsche Meinung widerspiegelt, ist der Datenschutzbeauftragte persönlich nicht haftbar für das bußgeldbewehrte Verhalten des Verantwortlichen.
Die Gefahr möglicher Interessenskonflikte
Externe Datenschutzbeauftragte werden i.d.R. für mehrere Verantwortliche benannt. Im Sonderfall kann derselbe Datenschutzbeauftragte für einen Verantwortlichen und zeitgleich gegenüberstehenden Auftragsverarbeiter benannt sein. Tritt dieses Szenario ein, kann es zu einem Interessenkonflikt kommen. Hierbei empfiehlt es sich, die Situation transparent zu kommunizieren. Sowohl die Datenschutz-Grundverordnung als auch die CNIL verbieten diese Art der Konstellation nicht. Die französische Aufsichtsbehörde rät zudem zur Überprüfung der Unabhängigkeit, welche im besten Fall dokumentiert werden sollte. Dadurch kann der jeweilige Datenschutzbeauftragte seine individuelle Position sichern und einen Interessenskonflikt umgehen.
Ist die Handreichung der CNIL hilfreich?
Die Handreichung stellt eine gute Übersicht von Informationen und Fragen rund um das Thema des Datenschutzbeauftragten dar. Umfangreiche neue Erkenntnisse sind nicht erkennbar. Sie sind jedoch für jeden, der sich innerhalb der Datenschutzwelt neu einfinden möchte, eine gute Einführung.
Checklisten, beispielsweise zur Ernennung eines potenziellen Datenschutzbeauftragten, sind hilfreiche Dokumente, die ebenfalls in dem Dokument aufgeführt sind. Demnach lohnt sich unserer Meinung nach der Einblick in die Übersicht der CNIL.
Ist der Art. 39 nicht eher so zu verstehen, dass der DSB die Durchführung von Sensibilisierungen und Schulungen überwachen muss und nicht selbst durchzuführen hat?
Die wörtliche Auslegung des Art. 39 Abs. 1 lit. b DSGVO lässt darauf schließen, dass der Datenschutzbeauftragte eine überwachende Funktion hat, ob geeignete Schulungen zur Sensibilisierung durchgeführt werden. Die Praxis zeigt jedoch, dass oftmals der Datenschutzbeauftragte ebenfalls Schulungen durchführt und sich die Aufgabe zuweist, da dieser zumal die größte fachliche Kompetenz innerhalb der Organisation des Verantwortlichen besitzt.
Es ist nicht auszuschließen, dass zur Erfüllung der Schulung ebenfalls Dienstleister oder anderweitige Experten hinzugezogen werden können.
Gibt es denn irgend eine Richtlinie oder Urteile, die uns DSB hilft, die Häufigkeit und Dauer der Schulungen festzustellen?
Hierzu gibt es keinen unmittelbar definierten Zeitraum. Die Datenschutz-Grundverordnung sieht lediglich vor, dass der Datenschutzbeauftragte eine regelmäßige Überwachung vornimmt. Demnach sollte die Schulung in regelmäßigen Zeiträumen erfolgen. Innerhalb der Praxis haben sich Zeiträume von 2 bis 3 Jahren etabliert. In Sonderfällen einer sensiblen Branche oder häufiger Umgang mit besonderen personenbezogenen Daten kann eine jährliche Schulung ebenfalls erfolgen. Hierzu empfiehlt man die direkte Ansprache und Kommunikation mit Ihren Datenschutzbeauftragten.