Was für Pflichten hat der Datenschutzbeauftragte?

Informationspflichten für Datenschutzbeauftragten und DSGVO Verantwortlichen

Die DSGVO normiert eine Reihe von Pflichten, denen der Verantwortliche im Falle einer Verarbeitung personenbezogener Daten nachzukommen hat. Diese ähneln zum Teil den bisher unter dem BDSG-alt bestehenden Pflichten, zum Teil handelt es sich aber auch um Ergänzungen bzw. Neuerungen.

a. Informationspflichten (Art. 12 ff. DSGVO)

Der Verantwortliche hat dem Betroffenen im Falle einer Verarbeitung ihn betreffender personenbezogener Daten bestimmte Informationen zur Verfügung zu stellen. Im Vergleich zur bisherigen Rechtslage treffen den Verantwortlichen hierbei zum Teil erweiterte Informationspflichten. Dabei unterscheiden sich die Informationspflichten je nachdem, ob die Daten direkt beim Betroffenen oder aber bei einem Dritten erhoben werden.

Liegt eine Direkterhebung beim Betroffenen vor, richtet sich der Inhalt der Informationspflichten nach Art. 13 DSGVO. Liegt keine Direkterhebung vor, hat der Verantwortliche dem Betroffenen die in Art. 14 DSGVO aufgelisteten Informationen zur Verfügung zu stellen.

In welcher Art und Weise die jeweiligen Informationen erteilt werden müssen, regelt für beide Konstellationen Art. 12 DSGVO.

b. Datenschutzbeauftragter (Art. 37 - 39 DSGVO)

Anders als in Deutschland gab es bisher in vielen Ländern keine Verpflichtung zur Bestellung eines betrieblichen DSB. Gem. Art. 37 besteht nun (auch) unter der DSGVO grundsätzlich die Pflicht, einen Datenschutzbeauftragten zu bestellen.

In Deutschland wurde insofern bereits langjährige Expertise aufgebaut, auf die zurückgegriffen werden kann, da sich durch die DSGVO nicht viel verändert hat.

c. Ausweitung der Meldepflichten (Art. 33 f. DSGVO)

Die DSGVO sieht eine Verschärfung der Meldepflicht bei Datenpannen vor. So ist jeder Vorfall, der ein "Risiko“ für die Rechte und Pflichten der Betroffenen darstellt einer Aufsichtsbehörde "unverzüglich" zu melden. Die generelle Höchstfrist beträgt hierbei 72 Stunden (Art. 33 DSGVO). Zusätzlich muss auch der Betroffene unverzüglich über eine Datenpanne informiert werden, wenn sie "voraussichtlich“ zu einem "hohen Risiko“ führt (Art. 34 DSGVO).

d. Sonstige Pflichten des Verantwortlichen

Nach Art. 30 Abs. 1 DSGVO ist ein Verzeichnis über die Verarbeitungstätigkeiten zu erstellen. Im Wesentlichen entspricht dies der Pflicht zur Führung einer Verarbeitungsübersicht gem. § 4g Abs. 2 S. 1 i.V.m. 4e BDSG-alt. Neu ist jedoch, dass diese Pflicht zukünftig – wenn auch in reduzierter Form – nach Art. 30 Abs. 2 DSGVO auch den Auftragsverarbeiter trifft.

Nach Art. 32 DSGVO hat der Verarbeiter des Weiteren durch bestimmte Maßnahmen die Sicherheit der Verarbeitung zu gewährleisten. Verlangt werden insbesondere die Gewährleistung der Vertraulichkeit und Integrität der datenverarbeitenden Systeme, Maßnahmen zur Pseudonymisierung bzw. Verschlüsselung von Daten, sowie Maßnahmen, die den Datenverarbeiter befähigen, den Zugang zu den personenbezogenen Daten bei einem Zwischenfall rasch wiederherzustellen. Die Maßnahmen haben sich dabei nach dem jeweiligen Risiko, das mit der Verarbeitung verbunden ist sowie dem Stand der Technik zu richten und sind regelmäßig zu evaluieren.

Auch die Pflichten zum "Privacy by Design" bzw. "Privacy by Default" zählen zu den Pflichten des Verantwortlichen.

Wer kontrolliert die Einhaltung der DSGVO?

Auch unter der DSGVO kommt den unabhängigen, staatl. Aufsichtsbehörden eine wichtige Rolle zu. Nach Art. 51 ist jeder Mitgliedsstaat dazu verpflichtet, eine oder mehrere unabhängige Behörden für die Anwendung und Überwachung der DSGVO zu schaffen.

Grundsätzlich gilt für die Aufsichtsbehörden eine territoriale Zuständigkeit, womit jede Aufsichtsbehörde im jeweiligen Hoheitsgebiet ihres Mitgliedstaates zuständig ist. Die zuständige Aufsichtsbehörde für ein Unternehmen richtet sich dabei europaweit nach dem Hauptsitz bzw. der Niederlassung, die generell über die Datenverarbeitung entscheidet. Besonderheiten bestehen, soweit ein Datenverarbeiter mehrere Niederlassungen in verschiedenen Mitgliedsstaaten hat oder grenzüberschreitende Verarbeitungen durch eine Niederlassung durchgeführt werden. In diesem Fall ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Datenverarbeiters die zuständige "federführende“ Behörde.

DSGVO: Strafen, Bußgelder und Folgen bei Verstoß

Verstößt ein Verarbeiter gegen die Vorgaben der DSGVO, kann er sich gegenüber dem Betroffenen haftbar machen (Art. 82 DSGVO). Daneben können auch weitere Sanktionen gegen ihn verhängt werden (Art. 83 f. DSGVO).

Nach Art. 82 DSGVO haftet der Verantwortliche (sowie u.U. auch der Auftragsverarbeiter) für immaterielle und materielle Schäden des Betroffenen, die dem Betroffenen aus dem Verstoß des Datenverarbeiters gegen die DSGVO entstehen. Dem Wortlaut nach kann dabei jeder Verstoß gegen die Vorschriften der DSGVO zu einer Schadensersatzpflicht führen (also nicht nur eine unrechtmäßige Datenverarbeitung).

Insbesondere aber wurden mögliche Sanktionen für Verstöße durch die DSGVO drastisch erhöht. Nach Art. 83 Abs. 1 DSGVO soll die verhängte Sanktion im Einzelfall "wirksam, verhältnismäßig und abschreckend" sein. Je nach Art des Verstoßes kann dabei eine Geldbuße von bis zu 4 Prozent des weltweiten Umsatzes verhängt werden.

Datenschutz eTraining

Vertrauensstärkung durch effektiven Datenschutz
Personenbezogene Daten sind kostbares Gut. Deshalb werden die Verwertung und Verbreitung der Daten von Mitarbeitern, Kunden, Lieferanten, Kollegen oder Bewerbern durch die Gesetzgebung besonders geschützt. Alle Mitarbeiter, die in Ihrem Unternehmen mit Personendaten zu tun haben, müssen die geltenden Vorschriften, Gesetze und Regelungen zum Schutz sensibler Daten kennen, einhalten und umsetzen können! Das einstündige e-Learning der Haufe Akademie unterstützt Ihre Mitarbeiter anhand praktischer Fallgestaltungen, die korrekte Behandlung von persönlichen Daten Tag für Tag sicherzustellen.