Tätigkeitsfeld und Aufgaben von Datenschutzbeauftragten
Was sind die Aufgaben eines Datenschutzbeauftragten?
Der/die Datenschutzbeauftragte berät den Verantwortlichen beziehungsweise den Auftragsverarbeiter, sowie die Mitarbeiter/innen hinsichtlich ihrer Pflichten nach der geltenden Datenschutzgrundverordnung sowie sonstigen Datenschutzvorschriften. Des Weiteren überwacht der/die Datenschutzbeauftragte die Einhaltung der DSGVO. Dies beinhaltet die Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der Mitarbeiter/innen und Überprüfungen von Verarbeitungsvorgängen. Zudem arbeiten Datenschutzbeauftragte mit der Aufsichtsbehörde zusammen.
Grundsätzlich gilt zu beachten: Das Unternehmen ist für die Einhaltung der datenschutzrechtlichen Bestimmungen selbst verantwortlich!
Bestellpflicht von Datenschutzbeauftragten
Wann wird ein Datenschutzbeauftragter verpflichtend benötigt?
Unabhängig davon, ob Sie einer Bestellpflicht unterliegen, ist es empfehlenswert, einen Datenschutzbeauftragten für Ihr Unternehmen zu bestellen, der Sie und Ihre Mitarbeiter/innen bei der Umsetzung der DSGVO berät, deren Einhaltung überwacht, sowie als Ansprechpartner bei Datenschutzfragen fungiert.
- Wenn die Verarbeitung von personenbezogenen Daten von einer Behörde oder öffentlichen Stelle durchgeführt wird.
- Wenn die Kerntätigkeit in der Durchführung von (Daten-)Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihre Zwecke eine umfangreiche regelmäßige und systematische Überwachung von Personen erforderlich machen.
Ob eine umfangreiche Verarbeitung vorliegt, gilt es im Einzelfall zu prüfen. Die Artikel-29-Datenschutzgruppe hat hier folgende Anhaltspunkte ausgearbeitet, die es zu prüfen gilt (auf der
Webseite der EU-Kommission
abrufbar):
die Zahl der betroffenen Personen – entweder als bestimmte Zahl oder als Anteil an der maßgeblichen Bevölkerung
das Datenvolumen und/oder das Spektrum an in Bearbeitung befindlichen Daten
die Dauer oder Permanenz der Datenverarbeitungstätigkeit
die geografische Ausdehnung der Verarbeitungstätigkeit
- Wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht. Unter besonderen Kategorien von Daten werden Daten über ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten, sowie Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person verstanden.
Zu der Frage, ob Sie einen Datenschutzbeauftragten verpflichtend benötigen, beraten wir Sie gerne. Sie können uns diesbezüglich gerne über unser Kontaktformular kontaktieren.
Stellung von Datenschutzbeauftragten im Unternehmen
Was ist die Stellung des Datenschutzbeauftragten im Unternehmen?
Der Verantwortliche hat sicherzustellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
Der Verantwortliche unterstützt den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben, in dem er die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellt.
Der Verantwortliche hat außerdem sicherzustellen, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält (siehe auch den nächsten Unterpunkt – Unabhängigkeit von Datenschutzbeauftragten).
Der Datenschutzbeauftragte darf von dem Verantwortlichen wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.
Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen.
Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß der DSGVO im Zusammenhang stehende Fragen zu Rate ziehen.
Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.
Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter hat sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu einem Interessenskonflikt führen.
Wie ist die Unabhängigkeit von Datenschutzbeauftragten gewährleistet?
Um die Aufgaben und Pflichten als Datenschutzbeauftragter unabhängig durchführen zu können, agiert der Datenschutzbeauftragte weisungsfrei. Die Weisungsfreiheit ist erforderlich, um Interessenskonflikte zu vermeiden, um die Überwachungstätigkeit unbeeinflusst durchzuführen und als Ansprechstelle für sowohl Mitarbeiter/innen, als auch Betroffene fungieren zu können.
Anforderungen an Datenschutzbeauftragte
Welche Qualifikationen muss ein Datenschutzbeauftragter haben?
Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der oben genannten Aufgaben.
Neben kontinuierlicher Weiterbildung im juristischen Bereich sind Kenntnisse im Bereich des technischen Datenschutzes zur Beurteilung der technischen und organisatorischen Maßnahmen unerlässlich, insbesondere durch die Schnelllebigkeit des IT-Bereichs mit immer neuen Fragestellungen und Themen.
Bestellung von Datenschutzbeauftragten
Externe oder interne Datenschutzbeauftragte?
Prinzipiell kann ein Unternehmen entweder einen internen, oder einen externen Datenschutzbeauftragten bestellen. Der Datenschutzbeauftragte kann Beschäftigter des Unternehmens sein, also als interner Datenschutzbeauftragter fungieren, oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags als externer Datenschutzbeauftragter erfüllen.
Der Vorteil eines internen Datenschutzbeauftragten ist, dass er typischerweise mit den Prozessen des Unternehmens stärker vertraut ist. Bei internen Datenschutzbeauftragten ist allerdings darauf zu achten, dass deren etwaigen weiteren Tätigkeiten nicht zu einem Interessenskonflikt führen. Dies kann der Fall sein, wenn sich der Datenschutzbeauftragte beispielsweise in seiner weiteren Tätigkeit selbst kontrollieren muss. Dieser mögliche Interessenskonflikt kann bei Beschäftigten der Personalabteilung, der IT-Abteilung oder der Geschäftsführung bestehen, beispielsweise wenn eine Abwägung zwischen Datenschutzanforderungen und Wirtschaftlichkeit getroffen werden muss.
Unternehmen greifen daher gerne auf externe Datenschutzbeauftragte zurück, um interne Ressourcen freizuspielen und die Fachkenntnis und Erfahrung eines von auf Datenschutz spezialisierten externe Datenschutzbeauftragten zu nützen.
Bei der Entscheidung sollte das Unternehmen daher die Vor- und Nachteile von internen/externen Datenschutzbeauftragten im Vorfeld gut abwägen.
Wie kann ich einen Datenschutzbeauftragten bestellen?
Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des/der Datenschutzbeauftragten (zum Beispiel auf der Homepage) und teil diese Daten der Aufsichtsbehörde mit. In Österreich ist dies die
Österreichische Datenschutzbehörde .