• Mehr als 25 Jahre Erfahrung
  • Individuelle betriebswirtschaftliche Beratung
  • Praxisorientiert mit Know-how
Start » Lexikon » Aufgaben des Datenschutzbeauftragten

Wissenswertes

Lexikon

Aufgaben des Datenschutzbeauftragten

Die Aufgaben des Datenschutzbeauftragten, Artikel 39 DSGVO, sind gesetzlich definiert. Allerdings musste der Gesetzgeber diese Definitionen relativ weit fassen und wenig konkret halten, da sich die Prozesse und Strukturen in Behörden und Unternehmen verschiedener Größen und Branchen erheblich unterscheiden. Es bedarf also auch hier einer Anwendung mit Blick auf den konkreten Einzelfall.

Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters
  • Überwachung der Einhaltung der Regelungen aus der Datenschutzgrundverordnung sowie anderer Datenschutzvorschriften der Europäischen Union oder der Mitgliedsstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten
  • Zuweisen von Zuständigkeiten
  • Sensibilisierung und Schulung der an den Verarbeitungsprozessen beteiligten Mitarbeiter
  • Beratung – auf Anfrage des Verantwortlichen im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde, einschließlich der vorherigen Konsultation nach Artikel 36 DSGVO, ggf. Beratung zu allen sonstigen Fragen

Aus den vom Gesetzgeber gewählten Formulierungen lässt sich schließen, dass sich die Aufgaben des Datenschutzbeauftragten nicht nur auf die Prüfung der (korrekten) Anwendung laufender Prozesse beschränken. Vielmehr soll er auch und gerade präventiv wirken, weshalb er rechtzeitig zu informieren ist, wenn personenbezogene Verarbeitungsprozesse geändert oder neue aufgesetzt werden sollen. Hier bedarf es dann der Prüfung der Rechtmäßigkeit des Verfahrens unter Berücksichtigung des Verbotes mit Erlaubnisvorbehalt sowie der entsprechenden Erlaubnistatbestände einerseits sowie der Vereinbarkeit der verwendeten Software und deren Konfiguration mit den datenschutzrechtlichen Anforderungen andererseits. Diese wiederum orientieren sich an den Anforderungen des Art. 25 bzw. 32 DSGVO.

Kontrollen sollten regelmäßig in angemessen Intervallen vorgenommen werden. Sie können, müssen aber nicht angekündigt werden. Kontrollrechte des Datenschutzbeauftragten bestehen grundsätzlich überall dort, wo der Verantwortliche personenbezogene Daten verarbeitet. Probleme kann es aber im Verhältnis zum Betriebsrat oder auch im Falle des Homeoffice (Tele-Heimarbeit) geben. Wichtig ist die Dokumentation der durchgeführten Kontrollen, deren Gegenstand, Ergebnisse und ggf. der Geschäftsleitung vorgeschlagenen Maßnahmen zur Mängelbeseitigung, um den Nachweis der ordnungsgemäßen Ausübung der Tätigkeit führen zu können.

Ablauf, Umfang und Inhalt der Prüfung bestimmt der Datenschutzbeauftragte. Er kann unterstützend auch Software, Listen, Erfassungsbögen, etc. verwenden. Hier ist allerdings aufgrund der zwingend notwendigen unternehmensspezifischen Betrachtungsweise Vorsicht geboten, da diese, zumeist von Dritten erstellten Dokumente die besonderen Belange des Verantwortlichen zumeist nicht berücksichtigen können und somit in aller Regel ergänzungsbedürftig sind. Besteht für ein Verfahren die Pflicht zur Durchführung einer Datenschutzfolgenabschätzung gem. Art. 35 DSGVO, sind die besonderen Regelungen dieser Vorschrift zu berücksichtigen.

Eine weitere im Art. 39 der DSGVO verankerte Aufgabe des Datenschutzbeauftragten ist die Schulung und Sensibilisierung aller mit der personenbezogenen Datenverarbeitung tätigen Personen. Diese müssen durch geeignete Maßnahmen mit den für sie einschlägigen Vorschriften der DSGVO und ggf. des BDSG sowie anderer Vorschriften (Spezialgesetze, Verordnungen, aber auch tarifvertragliche und betriebliche Vereinbarungen) und den sonstigen für sie relevanten Erfordernissen des Datenschutzes vertraut gemacht werden.

Der Begriff „Mitarbeiter“ ist ebenfalls vom Gesetzgeber gezielt gewählt: Der arbeitsrechtliche Status dieser Personen (seien es Arbeitnehmerinnen und Arbeitnehmer, Vollzeit-, Teilzeit- oder geringfügig Beschäftigte, Auszubildende, Praktikanten, etc.) ist hier ohne Bedeutung.

Der Umfang der Schulungen richtet sich nach den betrieblichen Bedürfnissen. Dies bedeutet, dass nur das Notwendige geschult werden muss. So benötigen Mitarbeiterinnen und Mitarbeiter des Vertriebes keine Kenntnisse im Bereich der Personalaktenführung, während für Personaler und Betriebsräte keine Kenntnis des CRM erforderlich ist. Somit obliegt es dem im konkreten Einzelfall fachkundigen Datenschutzbeauftragten, die Schulungsinhalte und -mittel zusammenzustellen und zu entscheiden, ob alle Beschäftigten gemeinsam oder spezifische Gruppen geschult werden sollen.

Auch bei der Wahl der Schulungsmittel und -methoden hat der Datenschutzbeauftragte grundsätzlich freie Wahl. Jedoch sollte berücksichtigt werden, dass das Ziel dieser Maßnahme nicht allein in der bloßen Wissensvermittlung, sondern darüber hinaus auch in der Steigerung des Bekanntheitsgrades des Datenschutzbeauftragten sowie, günstigstenfalls, in der Begründung eines Dialoges zum Datenschutz im Unternehmen liegt. Somit sollte sich die Schulung nicht auf das bloße Verteilen von Lehrmaterialien beschränken.

Ratsam ist es ferner, eine Anwesenheitsliste zum Zwecke der Teilnahmedokumentation zu führen. Ein kurzer Test zum Abschluss der Schulung kann Klarheit darüber verschaffen, ob die wichtigsten Inhaltspunkte erfolgreich vermittelt wurden.

Schulungen müssen nicht in regelmäßigen Intervallen wiederholt werden. Änderungen in der rechtlichen oder gesellschaftlichen Situation, aber auch der innerbetrieblichen Prozesse können aber Nachschulungen erforderlich machen. Gleiches gilt, wenn Motivation und Sensibilisierung der Beschäftigten erkennbar nachlassen.

Unterstützend kann eine Informationsschrift an die Geschulten herausgegeben werden.

Selbstverständlich muss die Schulung während der Arbeitszeit erfolgen; die Beschäftigten sind dann insoweit freizustellen. Dies bedeutet in der Praxis, dass zumeist drei bis vier Schulungsdurchläufe erforderlich werden, bis alle relevanten Mitarbeiterinnen und Mitarbeiter geschult sind.

Schließlich sollte der Datenschutzbeauftragte der Geschäftsleitung in regelmäßigen Abständen einen Bericht zum Status des Datenschutzes vorlegen und sich dessen Vorlage auch bestätigen lassen. Hierbei handelt es sich um keine gesetzliche Pflicht. Eine solche hätte zu einer (weiteren) Bürokratisierung der Tätigkeiten des Datenschutzbeauftragten beigetragen. Allerdings ist es überaus ratsam, durch diese Berichte die eigene Tätigkeit zu dokumentieren und, ggf. auch wiederholt, auf Schwachstellen im Datenschutzmanagement hinzuweisen. Sollten tatsächlich Haftungsansprüche gegen den Datenschutzbeauftragten gelten gemacht werden, kann anhand dieser Dokumentation dessen Exkulpation erfolgen.