Thies Petersen , Datenschutzbeauftragter, Leiter Abteilung Datenschutz, Hamburger Sparkasse
Die Aufgaben des betrieblichen Datenschutzbeauftragten (DSB) sind in Art. 39 DS-GVO beschrieben. Dabei handelt es sich zumindest (!) um folgende:
- Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Rechte und Pflichten;
- Überwachung der Einhaltung datenschutzrechtlicher Anforderungen sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
- Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DS-GVO;
- Zusammenarbeit mit der Aufsichtsbehörde;
- Tätigkeit als Anlaufstelle für die Aufsichtsbehörde;
- Der DSB trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
Darüber hinaus werden die Aufgaben des DSB in § 7 Bundesdatenschutzgesetz n. F. (BDSG n. F.) für öffentliche Stellen, ergänzt.
Es ist zu beachten, dass dem DSB weitere Aufgaben übertragen werden können (vgl. Art. 38 (6) DS-GVO). In diesem Zusammenhang ist sicherzustellen, dass derartige Aufgaben nicht zu einem Interessenkonflikt zu den sonstigen Aufgaben des DSB führen. Übertragbare Aufgaben können z .B. die Durchführung von Sensibilisierungs- bzw. Schulungsmaßnahmen zum Datenschutz sowie das organisatorische (nicht das Erstellen und inhaltliche) Führen des Verzeichnisses von Verarbeitungstätigkeiten sein.
SEMINARTIPPS
Prüfung der neuen Datenschutz-Organisation, 07.11.2018, Frankfurt/M.
Durchführung von Risikoanalysen und Datenschutz-Folgenabschätzungen, 08.11.2018, Frankfurt/M.
(Neues) Ertragsfeld Stiftungsmanagement, 29.11.2018, Frankfurt/M.
(Un-)Abgestimmte Informationssicherheits- und Datenschutz-Tätigkeiten, 21.03.2019, Frankfurt/M.
Datenschutz Kompakt, 21.11.2019, Frankfurt/M.
Auch bei entsprechenden Aufgabenzuweisungen gilt die Unabhängigkeit des DSB gem. Art. 38 (3) DS-GVO. Er unterliegt bei der Erfüllung seiner Aufgaben keinen Weisungen des Verantwortlichen. Der Verantwortliche hat sicherzustellen, dass die Unabhängigkeit des DSB gewährleistet wird.
Die Aufgabe des DSB besteht somit zusammengefasst im Beraten und Überwachen des Verantwortlichen und nicht in der operativen Umsetzung datenschutzrechtlicher Anforderungen. Die Überwachungsfunktion des DSB schließt somit jegliche verantwortliche Umsetzung datenschutzrechtlicher Anforderungen aus. Ansonsten wäre die vom Gesetzgeber gewollte Funktionstrennung nicht gegeben.
Insofern kann nunmehr von einer Datenschutz-Compliance gesprochen werden.
Für den Umgang mit dem Thema Datenschutz bedeutet dies u. U. eine Umstellung in den Unternehmen. Wurden in der Vergangenheit mehr oder weniger Themen, die das Thema Datenschutz betrafen, direkt dem DSB zugeordnet, was bereits in der Vergangenheit zumindest diskutabel war, ist dies nunmehr nicht mehr ohne Weiteres möglich (s. o.).
Insofern wird es künftig erforderlich sein, Verantwortlichkeiten für die Umsetzung datenschutzrechtlicher Anforderungen noch eindeutiger festzulegen.
Wie in der Vergangenheit auch, empfiehlt es sich, den DSB rechtzeitig in geplante Prozessänderungen, -neugestaltungen oder bei der Einführung neuer Technologien oder der Änderung bestehender Technologien beratend einzubinden, damit die datenschutzrechtlichen Anforderungen frühzeitig berücksichtigt werden können.
Auch ist es wichtig, dass der DSB seine Tätigkeit als aktive Handlung ausgestaltet und nicht allein als reaktive Funktion.
PRAXISTIPPS
- Überprüfung der dem DSB zugewiesenen Aufgaben.
- (Nochmalige) Klarstellung der Erstlinienverantwortung datenschutzrechtlicher Anforderungen.
- Rechtzeitige Einbindung des DSB.
Beitragsnummer: 864