Viele Unternehmen haben einen betrieblichen Datenschutzbeauftragten (DSB) zu bestellen. Im nunmehr folgenden Beitrag werden die Aufgaben und Pflichten eines betrieblichen Datenschutzbeauftragten seit dem Anwendungsbeginn der DSGVO beleuchtet.
Allgemeine Aufgabenbeschreibung in der DSGVO
Die Aufgaben des betrieblichen Datenschutzbeauftragten sind in Art. 39 DSGVO normiert. Er analysiert und kontrolliert im Idealfall den Stand des Datenschutzniveaus im Unternehmen und macht in diesem Rahmen der Geschäftsleitung Vorschläge zur Verbesserung. Der Datenschutzbeauftragte hat demnach keine eigene Entscheidungsgewalt und untersteht lediglich der höchsten Managementebene des Unternehmens. In der Ausübung seiner Tätigkeit ist der Datenschutzbeauftragte nicht an Weisungen gebunden.
Konkrete Aufgabenbereiche
Auch ohne formale Entscheidungskompetenz kommt ihm im Unternehmen eine erhebliche Bedeutung zu. Seit Jahren lässt sich eine immer schnellere technische Entwicklung beobachten. Damit ist auch ein immer komplexer werdender Tätigkeitsbereich eines Datenschutzbeauftragten verbunden. Dies gilt insbesondere seit der Anwendbarkeit der DSGVO. Bei Verstößen gegen datenschutzrechtliche Bestimmungen drohen zum Teil drastische Bußgelder gemäß Art. 83 Abs. 4 und 5 DSGVO); ganz zu schweigen von einem potentiellen Imageschaden für das betroffene Unternehmen. Daher ist es entscheidend, dass der Datenschutzbeauftragte zur Erfüllung seiner Aufgaben über ausreichendes Fachwissen verfügt (Art. 37 Abs. 5 DSGVO). Je umfangreicher und komplexer die Datenverarbeitungsvorgänge in einem Unternehmen sind, desto umfangreicher sollte auch das Fachwissen des betrieblichen Datenschutzbeauftragen sein.
Überwachung der Datenschutzregelungen
Auch nach Anwendbarkeit der DSGVO ist die Überwachung der datenschutzrechtlichen Regelungen eine zentrale Aufgabe. Diese Pflicht ist normiert in Art. 39 Abs. 1 lit. b DSGVO. Der interne Datenschutzbeauftragte sollte somit sämtliche Datenschutzregelungen sowie deren Auslegung bspw. durch aktuelle Gerichtsentscheidungen kennen. Dies bezieht sich ausdrücklich nicht nur auf die DSGVO selbst, sondern zudem auf andere Datenschutzvorschriften der Union sowie der Mitgliedstaaten wie die nationalen Umsetzungsgesetze, sofern tatsächlich ein grenzüberschreitender Datentransfer erfolgt.
Aufgabenspektrum
Die Kontrollkompetenz erstreckt sich grundsätzlich auf das gesamte Unternehmen. Davon sind alle Bereiche und Abteilungen erfasst, in welchen personenbezogene Daten verarbeitet werden. Das Aufgabenspektrum ist dabei vielfältig. So kann der Datenschutzbeauftragte beispielsweise Rechtsgutachten erstellen, Verträge mit Dienstleistern prüfen, Betriebsvereinbarungen und Unternehmensrichtlinien entwerfen, Auskünfte erteilen oder mit Behörden kommunizieren. Der konkrete Umfang hängt dabei stark von den tatsächlichen Gegebenheiten im jeweiligen Unternehmen ab.
Die Aufgabenbereiche sind im Wesentlichen in Art. 39 Abs. 1 DSGVO normiert:
- Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten
- Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen
- Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO
- Zusammenarbeit mit der Aufsichtsbehörde
- Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 DSGVO, und gegebenenfalls Beratung zu allen sonstigen Fragen.
Zu beachten ist hierbei, dass es sich dabei nicht um eine abschließende Aufzählung, sondern ausdrücklich um die „Mindestanforderungen“ an den betrieblichen Datenschutzbeauftragten handelt. Zudem bestimmt Art. 38 Abs. 6 DSGVO, dass der interne DSB andere Aufgaben und Pflichten wahrnehmen kann, solange und soweit dies nicht zu einem Interessenkonflikt führt.
Überwachung der Datenverarbeitungsvorgänge
Schwerpunkt der Tätigkeit ist auch seit Anwendbarkeit der DSGVO die Überwachung der Datenverarbeitungsvorgänge. Ziel hierbei ist es vor allem, Datenschutzvorfälle schon im Vorfeld zu vermeiden.
Aus diesem Grund ist der Datenschutzbeauftragte bereits vor Beginn einer neuen Verarbeitung zu informieren, beispielsweise bei Einführung einer neuen Software oder bei einer geplanten Videoüberwachung, damit hierzu eine Stellungnahme erfolgen und ggf. auf potentielle Gefahren bei der Verarbeitung hingewiesen werden kann. Die entsprechende Regelung hierzu befindet sich in Art. 38 Abs. 1 DSGVO. Es ist daher unbedingt erforderlich, dass einen Einblick in die technische Umsetzung erhält.
Damit einher geht die Durchführung einer Datenschutz-Folgenabschätzung. Der betriebliche Datenschutzbeauftragte ist insbesondere dann von der Unternehmensleitung einzubeziehen, wenn diese nicht sicher ist, ob die beabsichtigte Datenverarbeitung rechtmäßig durchgeführt werden kann. Der DSB hat dann selbst ggf. weitere rechtliche Informationen einzuholen sowie die zuständige Aufsichtsbehörde zu kontaktieren, um potentielle Datenschutzverstöße schon im Vorfeld zu vermeiden.
Damit die Datenverarbeitung rechtmäßig erfolgt, hat das Unternehmen geeignete technische und organisatorische Maßnahmen (TOM) zu treffen. Die Voraussetzungen hierzu sind in Art. 32 DSGVO geregelt. Dabei sind insbesondere die Art, der Umfang und der Zweck der Verarbeitung einerseits sowie die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen andererseits umfassend zu berücksichtigen. Hier ist also eine Interessenabwägung zu treffen. Der Datenschutzbeauftragte hat die Aufgabe, die Implementierung der im Einzelfall erforderlichen Maßnahmen zu überwachen und ggf. seine fachliche Stellungnahme abzugeben. Somit benötigt der DSB neben seinen fachlichen Kenntnissen im Datenschutz auch ein Mindestmaß an technischem Verständnis.
Schulungen der Mitarbeiter
Damit im jeweiligen Unternehmen ein effektiver Datenschutz gewährleistet werden kann, sind die Mitarbeiter zu schulen und zu sensibilisieren. Hier sind zumindest sämtliche Mitarbeiter einzubeziehen, welche mit personenbezogenen Daten zu tun haben. Diese Aufgabe ist nach der DSGVO zwar nicht ausdrücklich dem Datenschutzbeauftragten, sondern dem Verantwortlichen zugewiesen (vgl. Art. 39 Abs. 1 lit. b DSGVO). In der Praxis wird der betriebliche Datenschutzbeauftragte aber oftmals die Person sein, welche die Schulungen durchführt, da er über das größte Datenschutzfachwissen im Unternehmen verfügt.
Erstellung des Verzeichnisses der Verarbeitungstätigkeiten
Verantwortliche und Auftragsverarbeiter i. S. d. Art. 4 DSGVO haben ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) zu erstellen und zu führen. Hierbei wird der Datenschutzbeauftragte unterstützend tätig, indem er bei der Erstellung des Verzeichnisses berät und dieses ggf. auf Schlüssigkeit überprüft. Insofern wird das Unternehmen oftmals auf die Expertise des internen Datenschutzbeauftragten angewiesen sein. Die Erstellung selbst obliegt dem Verantwortlichen und fällt daher nicht in den originären Aufgabenbereich des DSB.
Datenschutzvorfälle und Betroffenenanfragen
Die DSGVO sieht vor, dass die Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden muss, wenn auf Grund der Verletzung ein Risiko für die Rechte und Freiheiten der betroffenen Person(en) besteht (Art. 33 Abs. 1 DSGVO). Auf Grund dieser relativ kurzen Frist sollte unbedingt ein effektives internes Konzept erarbeitet werden, damit die Mitarbeiter einen Datenschutzvorfall erkennen und diesen unverzüglich dem Datenschutzbeauftragten melden können. Dieser prüft den Vorfall und wird dem Verantwortlichen eine Rückmeldung dahingehend geben, ob seiner Ansicht nach eine Meldung an die Datenschutzbehörde erfolgen sollte.
Gemäß Art. 12 Abs. 3 S. 1 DSGVO sind Anfragen von Betroffenen grundsätzlich unverzüglich, spätestens jedoch innerhalb eines Monats zu beantworten. Diese Anfragen können ganz unterschiedlicher Natur sein und dabei von der bloßen Auskunft nach Art. 15 DSGVO zu den im Unternehmen gespeicherten personenbezogenen Daten eines Kunden bis hin zur Geltendmachung des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO) reichen.
Wenden sich Betroffene an das Unternehmen, weil sie einen Datenschutzverstoß vermuten, kann dies ein datenschutzrechtlich nicht ausreichend vorbereitetes Unternehmen in Aufruhr versetzen und den Betriebsablauf empfindlich stören. Daher ist es auch hier unerlässlich, dass die Unternehmensleitung gemeinsam mit dem Datenschutzbeauftragten ein Konzept entwickelt, damit eine gut organisierte und professionelle Prüfung der Anfrage erfolgen kann und nicht etwa vorschnell Informationen herausgegeben werden.
Der Datenschutzbeauftragte und der Betriebsrat
Auch die Beratung des Betriebsrates kann zum Aufgabenbereich des Datenschutzbeauftragten gehören. Dieser bewegt sich hier in einem Spannungsverhältnis zwischen der Unternehmensleitung sowie dem Betriebsrat, so dass dem Datenschutzbeauftragten im Regelfall eine vermittelnde Tätigkeit zukommen dürfte.
Ob der Betriebsrat als verantwortliche Stelle i. S. d. Art. 4 Nr. 7 DSGVO einzustufen und damit selbst Adressat datenschutzrechtlicher Pflichten wie der Bestellung eines eigenen DSB ist, ist weiterhin nicht abschließend geklärt. Das BAG hat diese Frage in einer kürzlich ergangenen Entscheidung bewusst offen gelassen.
Haftung bei Datenschutzverstößen
Der Datenschutzbeauftragte haftet nach außen grundsätzlich nicht gegenüber Dritten im Falle von Datenschutzverstößen. Hier ergeben sich gegenüber der „alten“ Rechtslage keine großen Veränderungen. Gemäß Art. 82 Abs. 1 DSGVO haftet lediglich der Verantwortliche oder der Auftragsverarbeiter gegenüber dem Geschädigten. Je nach Schwere des Verstoßes sind Bußgelder in Höhe von 10 Mio. EUR bzw. 2 % des erzielten Umsatzes des Vorjahres oder Bußgelder in Höhe von 20 Mio. EUR bzw. 4 % des erzielten Umsatzes des Vorjahres möglich. Unternehmen können sich im Falle von Datenschutzverstößen auch nicht dadurch freizeichnen, dass der Datenschutzbeauftragte falsch oder ungenügend beraten hat.
Zu beachten ist ebenfalls, dass die Geschäftsleitung im Innenverhältnis gegenüber dem Unternehmen selbst haften kann, beispielsweise gemäß § 93 Abs. 1 AktG oder gemäß § 43 Abs. 1 GmbHG, wenn nicht die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt wird. Daher sollte keinesfalls ein „schwacher“ Datenschutzbeauftragter“ eingesetzt werden, welcher erkennbar nicht die erforderliche Qualifikation besitzt. Das Haftungsrisiko wird für die Geschäftsleitung sonst unüberschaubar, da hier eine persönliche Haftung des Geschäftsleiters droht. Die Geschäftsleitung sollte sich daher vor Auswahl des betrieblichen Datenschutzbeauftragten versichern und dokumentieren, dass der Kandidat die geforderten Spezialkenntnisse hat, um ihrer Sorgfaltspflicht gegenüber dem Unternehmen nachkommen zu können.
Dennoch ist mit der Bestellung zum betrieblichen Datenschutzbeauftragten kein Freifahrtschein verbunden. Im Falle einer Falschberatung oder eines sonstigen Fehlverhaltens, welches zu einem Datenschutzvorfall führt, kann der Datenschutzbeauftragte nach den üblichen Regelungen zur Arbeitnehmerhaftung in Anspruch genommen werden.
Alles beim Alten – oder wichtiger Baustein für die Zukunft?
Der Aufgabenbereich des betrieblichen Datenschutzbeauftragten hat sich seit Anwendungsbeginn der DSGVO im Wesentlichen nicht verändert. Bereits nach den Regelungen des BDSG a. F. kam dem DSB eine überragende Stellung im Unternehmen zu, da bei ihm sämtliche Fäden in datenschutzrechtlichen Fragestellungen zusammengelaufen sind.
Seit Anwendungsbeginn der DSGVO ist festzustellen, dass der Beratungsbedarf in Unternehmen deutlich gestiegen ist, da allgemein ein stärkerer Fokus auf den Datenschutz gelegt wird; auch in der breiten Öffentlichkeit. Unternehmen sind vermehrt darauf bedacht, Datenschutzverstöße zu vermeiden, um Bußgelder, welche erheblich höher ausfallen können als früher sowie negative Publicity zu vermeiden.
Genau an diesen Stellschrauben kann der Datenschutzbeauftragte drehen. Er muss die Kompetenz und das Fachwissen haben, um das Unternehmen gemeinsam mit der Geschäftsleitung datenschutzrechtlich aufzustellen. Es ist daher zu erwarten, dass der betriebliche Datenschutzbeauftragte in Zukunft eine immer gewichtigere Rolle einnehmen wird.
Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN
© www.intersoft-consulting.de