Seit Einführung der Datenschutz-Grundverordnung (DSGVO), müssen Unternehmen einen Datenschutzbeauftragten benennen und diesen ggf. bei der zuständigen Aufsichtsbehörde anmelden. Kommen Unternehmen dieser Pflicht nicht nach, müssen sie mit hohen Bußgeldern rechnen. In vielen Fällen sind sich Unternehmen aber nicht bewusst, welche konkreten Aufgaben einer Datenschutzbeauftragten zukommen.
Welche Aufgaben hat also eine Datenschutzbeauftragte und warum besteht überhaupt die Pflicht zur Bestellung?
Datenschutz sicherstellen, erhalten und kontinuierlich verbessern
Die Aufgaben, die einem Datenschutzbeauftragten zukommen, sind in Artikel 39 DSGVO geregelt. Zunächst einmal können die Aufgaben einer Datenschutzbeauftragten in zwei Stufen unterteilt werden:
- Ausreichenden Datenschutz sicherstellen
Am Anfang gilt es, den Ist-Zustand im Unternehmen zu erfassen und anhand der jeweiligen Situation Maßnahmen umzusetzen, die ein ausreichendes Datenschutzniveau gewährleisten. Dabei muss möglichst ganzheitlich vorgegangen und alle Unternehmensprozesse einer genauen Überprüfung unterzogen werden. - Datenschutz erhalten und verbessern
Sofern die ersten Maßnahmen umgesetzt wurden, gilt es, die laufenden Prozesse, zu kontrollieren, dokumentieren, bewerten und zu verbessern. Da Datenschutz auch immer eng mit neuen Technologien verknüpft ist, ergibt sich hier ein kontinuierliches Optimierungspotenzial.
Hieraus lassen sich allerdings noch keine konkreten Aufgaben festhalten. Um den Aufgaben- und Tätigkeitsbereich eines Datenschutzbeauftragten besser zu erfassen, muss man sich die Aufgaben im Detail anschauen. Prinzipiell lassen sich die Aufgaben eines Datenschutzbeauftragten in drei Bereiche gliedern:
- Interne Aufgaben im Unternehmen
- Funktion als Anlaufstelle für Mitarbeiter
- Funktion im Verhältnis zur Aufsichtsbehörde
Interne Aufgaben im Unternehmen
Einen umfassenden Aufgabenkatalog in Bezug auf die internen Aufgaben eines Datenschutzbeauftragten findet man in der Datenschutz-Grundverordnung nicht. Stattdessen legt die DSGVO lediglich drei Hauptaufgaben fest:
- Unterrichtung und Beratung
Mitarbeiter und Geschäftsführung müssen in Bezug auf den Umgang mit personenbezogenen Daten unterrichtet werden. Dazu zählt auch der Umgang mit den entsprechenden technischen Geräten sowie die Sensibilisierung für potenzielle Gefahren. Weiterhin ist der Datenschutzbeauftragte für die Beratung in Datenschutzfragen zuständig und muss in der Lage sein, sämtliche Fragen von Mitarbeitern kompetent zu beantworten. - Überwachung und Einhaltung der gesetzlichen Vorgaben
Der Datenschutzbeauftragte muss sicherstellen, dass sämtliche Vorgänge und Prozesse im Unternehmen den gesetzlichen Vorgaben gerecht werden und diese regelmäßig kontrolliert. Art und Umfang der Datenverarbeitung im Unternehmen müssen in einem Verzeichnis von Verarbeitungstätigkeiten (VVT) dokumentiert werden. Für diesen Zweck arbeitet der Datenschutzbeauftragte mit den jeweiligen Abteilungen zusammen.
Darüber hinaus ist ein Datenschutzbeauftragter für die Erstellung von Richtlinien für relevante Bereiche, etwa die IT- oder Internetnutzung verantwortlich. Somit soll gewährleistet werden, dass im Unternehmen einheitliche Regelungen für alle Mitarbeiter gelten. - Datenschutzfolgeabschätzung
Sobald neue Prozesse oder neue Technologie eingeführt werden, die zu einem Risiko für die Rechte einer natürlichen Person führen, ist das Unternehmen verpflichtet, eine Risikobewertung vorzunehmen. Bei der sogenannten Datenschutzfolgeabschätzung, ist der Datenschutzbeauftragte beratend und überwachend tätig. - Funktion als Anlaufstelle für Mitarbeiter
Die Funktion als Anlaufstelle für Mitarbeiter wird in der DSGVO besonders hervorgehoben. Betroffene können sich mit allen Fragen, welche mit der Verarbeitung ihrer personenbezogenen Daten zu tun haben, an den Datenschutzbeauftragten wenden. Zu diesem Zweck müssen die Kontaktdaten (Postanschrift, Telefonnummer und E-Mail-Adresse) des DSB für jedermann zugänglich sein.
Funktion im Verhältnis zur Aufsichtsbehörde
Der Datenschutzbeauftragte ist einerseits Anlaufstelle für die zuständige Aufsichtsbehörde, andererseits soll er auch mit der Behörde zusammenarbeiten. Eine Zusammenarbeit mit der Aufsichtsbehörde geht immer aktiv vom Datenschutzbeauftragten aus, in der Rolle als Ansprechpartner hingegen wird er von der Behörde kontaktiert.
Darüber hinaus kann ein Datenschutzbeauftragter gemäß Artikel 37 bis 39 DSGVO unter anderem auch folgende Aufgaben übernehmen:
- Entwurf von Lösch- und Berechtigungskonzepten
- Erstellung und Prüfung von Einwilligungserklärungen
- Erstellung von Auftragsverarbeitungsverträgen
- Kommunikation mit Dienstleistern und Auftragsverarbeitern
- Prüfung technisch-organisatorischer Maßnahmen
Wieso gibt es die Pflicht zur Bestellung einer Datenschutzbeauftragten?
Datenschutz hat in den vergangenen Jahren, insbesondere durch die zunehmende Digitalisierung, immer mehr an Bedeutung gewonnen. Daten gelten als das „Gold“ der Neuzeit und Unternehmen können mit den Daten ihrer Kunden weit mehr profitieren, als es der eigentliche Erhebungszweck vorgesehen hat. Die bisherigen Datenschutzvorschriften (Telemediengesetz, Bundesdatenschutzgesetz) reichten aber nicht aus, um den missbräuchlichen Umgang mit Daten einzudämmen. Die Datenschutz-Grundverordnung soll mehr Klarheit schaffen.
Eine Pflicht zur Benennung des Datenschutzbeauftragten besteht, um zu gewährleisten, dass Unternehmen über das notwendige Fachwissen verfügen, um den komplexen Herausforderungen im Bereich Datenschutz begegnen zu können.
Interner oder externer Datenschutzbeauftragter?
Unternehmen haben die Möglichkeit, eine im Unternehmen beschäftigte Person, als internen Datenschutzbeauftragten zu bestellen, oder aber auf einen externen Datenschutzbeauftragten zurückgreifen. Beide Varianten haben ihre Vor- und Nachteile. Für welche Variante man sich entscheidet, hängt zum einen von der jeweiligen Ausgangssituation, zum anderen auch von der Unternehmensgröße, der Branche und der Personalpolitik.
- Interner Datenschutzbeauftragter
Ein interner Datenschutzbeauftragter muss in der Regel zunächst für diese Tätigkeit ausgebildet werden. Entsprechende Aus- bzw. Fortbildungen müssen vom Unternehmen gezahlt werden. Ein großer Vorteil eines internen Datenschutzbeauftragten ist, dass er das Unternehmen und die Abläufe im Unternehmen bestens kennt.
Es besteht allerdings das Risiko, dass ein interner Datenschutzbeauftragte seine eigentliche Haupttätigkeit weiterverfolgt und den Datenschutz betreffende Aufgaben nicht mit der notwendigen Effizienz durchgeführt werden. - Externer Datenschutzbeauftragter
Ein externer Datenschutzbeauftragter verfügt über die benötigten Fachkenntnisse und kann sofort eingesetzt werden. Zusätzliche Kosten für Aus- oder Fortbildungen entfallen. Allerdings kann es sein, dass sich ein externer Datenschutzbeauftragter erst einmal mit den betrieblichen Abläufen vertraut machen muss. Im Gegensatz zu einem internen Datenschutzbeauftragten kann ein externer das Unternehmen aber wesentlich objektiver beurteilen.
Die Erfahrung eines externen Datenschutzbeauftragten führt in der Regel dazu, dass das notwendige Datenschutzniveau wesentlich schneller erreicht werden kann, als es mit einem internen der Fall ist. Zudem haftet ein externer Datenschutzbeauftragter für sein Handeln, was einen zusätzlichen Vorteil darstellt.
Fazit
Eine Datenschutzbeauftragte hat im Wesentlichen zur Aufgabe, ein ausreichendes Datenschutzniveau herzustellen, zu erhalten und zu verbessern. Dabei müssen stets die Anforderungen und Vorschriften der DSGVO berücksichtigt werden. Dabei handelt es sich keinesfalls um eine abstrakte Pflicht, sondern um einen wichtigen Beitrag für mehr Datenschutz.
Es ist unerheblich, ob Unternehmen für diesen Zweck einen internen oder einen externen Datenschutzbeauftragten bestellen, solange dieser über die notwendigen Kenntnisse verfügt. Unternehmen, die trotz Verpflichtung auf die Benennung eines Datenschutzbeauftragten verzichten, müssen mit Bußgeldern bis zu 10 Millionen Euro bzw. 2 Prozent des weltweiten Jahresumsatzes rechnen.