Aufgaben und Funktion des Datenschutzbeauftragten nach der DSGVO

Was macht ein Datenschutzbeauftragter?

Die Stellung eines Datenschutzbeauftragten ergibt sich aus Art. 38, 39 der Datenschutzgrundverordnung (DSGVO). 

• Frühzeitige Einbindung, Art. 38 Abs. 1 DSGVO
• Erhaltung seines Fachwissens, Art. 38 Abs. 2 DSGVO
• Ansprechpartner für Betroffene, Art. 38 Abs. 4 DSGVO
• Unterrichtung und Beratung des Verantwortlichen oder Auftragsverarbeiters, Art. 39 Abs. 1 a DSGVO
• Pflicht zur Überwachung der Datenschutzvorschriften, Art. 39 Abs. 1 b DSGVO
• Sensibilisierung und Schulung der Beteiligten, Art. 39 Abs. 1 b DSGVO
• Beratung und Überwachung der Datenschutz-Folgenabschätzung, Art. 39 Abs. 1 c DSGVO
• Zusammenarbeit mit der Aufsichtsbehörde, Art. 39 Abs. 1 d DSGVO
• Anlaufstelle für Aufsichtsbehörde, Art. 39 Abs. 1 e DSGVO

Die Stellung des Datenschutzbeauftragten gem. Art. 38 DSGVO

Was die einzelnen o.g. Punkte bedeuten wird folgend erläutert.

Frühzeitige Einbindung

Damit der Datenschutzbeauftragte seinen Verpflichtungen nachkommen kann, müssen der Verantwortliche und der Auftragsverarbeiter sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird, vgl. Art. 38 Abs. 1 DSGVO. Dadurch kann der Datenschutzbeauftragte bereits sehr früh arbeitsorganisatorische Abläufe begleiten und helfen diese datenschutzfreundlich zu gestalten (Privacy by Design).

Erforderliche Ressourcen und Zugang, Erhaltung des Fachwissens

Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gem. Art. 39 DSGVO. Sie stellen dem Datenschutzbeauftragten die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen zur Verfügung und gewähren ihm den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen. Gleichzeitig stellen Verantwortliche und Auftragsverarbeiter dem Datenschutzbeauftragten die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung, Art. 38 Abs. 2 DSGVO.

Weisungsfreiheit

Sowohl interne als auch externe Datenschutzbeauftragte sind bei der Erfüllung der Pflichten an keine Anweisungen des Verantwortlichen oder Auftragsverarbeiter gebunden in Bezug auf die Ausübung der Tätigkeit als Datenschutzbeauftragter, Art. 38 Abs. 3 S. 1 DSGVO.

Schutz vor Abberufung und/oder Benachteiligung

Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden, Art. 38 Abs. 3 S. 2. DSGVO.

Berichtspflichten

Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters, Art. 38 Abs. 3 S. 3 DSGVO.

Ansprechpartner bei Fragen

Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen, Art. 38 Abs. 4 DSGVO.

Geheimhaltung/Vertraulichkeit

Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden, Art. 38 Abs. 5 DSGVO.

Interessenkonflikte vermeiden

Der Datenschutzbeauftragte kann neben seiner Tätigkeit als Datenschutzbeauftragter andere Aufgaben und Pflichten wahrnehmen. Dies ergibt sich ebenfalls aus Art. 38 Abs. 6 S. 1 DSGVO, jedoch sind Interessenkonflikte zu vermeiden.

Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen, Art. 38 Abs. 6 S.2 DSGVO.

D.h. Tätigkeiten, die dazu führen, dass der Datenschutzbeauftragte sich selbst überwachen müsste sind ausgeschlossen, da der Datenschutzbeauftragte hier in einen Interessenkonflikt geraten würde.

Beispiele für Tätigkeitsfelder, welche zu einem Interessenkonflikt führen können:

• Leitung eines Unternehmens oder einer Behörde (z.B. Geschäftsführer)
• Leitung der IT-Abteilung
• Leitung der Personalabteilung

Beschäftigte der IT- oder Personalabteilung, wenn diese in der Lage sind, Datenverarbeitungsprozesse zu bestimmen oder wesentlich zu beeinflussen.

Datenschutzbeauftragter: Aufgaben nach Art. 39 DSGVO

Dem Datenschutzbeauftragten obliegen gem. Art. 39 DSGVO zumindest folgende Aufgaben:

Unterrichtung und Beratung

Die Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters sowie der Beschäftigten, die Verarbeitungen von personenbezogenen Daten durchführen, bezüglich ihrer Pflichten welche sich aus der DSGVO ergeben sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten, Art. 39 Abs.1 a DSGVO.

Anmerkung: Sonstige Datenvorschriften können z.B. sein. BDSG, LDSG, aktuelle Entscheidungen der Gerichte, TMG, TKG etc.

Überwachung und Schulungen

Der Datenschutzbeauftragte überwacht die Einhaltung der Vorschriften, welche sich aus der DSGVO, sowie anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten ergeben. Da das Thema Datenschutz ständig in Bewegung ist, muss der aktuelle Stand der Technik und die mögliche Rechtsprechung hierzu in der EU beobachtet werden.

Weiter überwacht der Datenschutzbeauftragte die Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen, Art. 39 Abs. 1 b DSGVO.Datenschutzfolgenabschätzung

Der Datenschutzbeauftragte berät Verantwortliche und Auftragsverarbeiter bzgl. einer Datenschutz-Folgenabschätzung und überwacht deren Durchführung gem.  Art. 35 DSGVO, Art. 39 Abs. 1 c DSGVO.

Zusammenarbeit mit der Aufsichtsbehörde

Der Datenschutzbeauftragte arbeitet mit der Aufsichtsbehörde zusammen, d.h. er ist

Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation nach Art. 36 DSGVO und gegebenenfalls Beratung zu allen sonstigen Fragen, vgl. Art. 39 Abs. 1 d DSGVO.

Anlaufstelle für die Aufsichtsbehörde

Der Datenschutzbeauftragte ist Anlaufstelle für die Aufsichtsbehörde, Art. 39 Abs. 1 e DSGVO. Damit ist der Datenschutzbeauftragte auch berechtigt, direkt mit der Aufsichtsbehörde zu kommunizieren.

Risikoabwägung

Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt, Art 39 Abs. 2 DSGVO.

Der Begriff des Datenschutzbeauftragten wird in unterschiedlichen Konstellationen verwendet. Folgend eine Übersicht:

Europäischer Datenschutzausschuss gem. Art. 68 DSGVO

Der Ausschuss besteht aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und dem Europäischen Datenschutzbeauftragten oder ihren jeweiligen Vertretern, Art. 68 Abs. 3 DSGVO. Der Ausschuss handelt bei der Erfüllung seiner Aufgaben unabhängig gem. Art.70, 71 DSGVO, Art. 69 Abs. 1 DSGVO. Die Aufgaben des europäischen Ausschusses sind beispielsweise die Sicherstellung einer einheitlichen Anwendung der DSGVO, Art. 70 Abs. 1 DSGVO. Durch Überwachung und Sicherstellung der ordnungsgemäßen Anwendung der DSGVO, Beratung der Kommission bei Fragen im Zusammenhang mit dem Schutz personenbezogener Daten, Beratung der Kommission über das Format und die Verfahren für den Austausch von Informationen sowie die Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren für Löschungen gem. Art. 17 Abs. 2 DSGVO. Weiter gehört zu den Aufgaben des europäischen Datenschutzausschusses die Prüfung und Bereitstellung von Leitlinien zur Sicherstellung einer einheitlichen Anwendung der DSGVO sowie die Zertifizierung, Ausarbeitung von Leitlinien für die Aufsichtsbehörden z.B. Festsetzung von Geldbußen gem. Art. 83 DSGVO und die Abgabe von Stellungnahmen für die Kommission.

Die Bundesbeauftragte für Datenschutz und Informationssicherheit

Jeder kann sich an die Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI) wenden, wenn er der Ansicht ist, dass er durch öffentliche Stellen des Bundes in seinen Rechten - bezogen auf eine Verarbeitung von personenbezogenen Daten - verletzt worden ist.

Das BfDI berät und überwacht die Daten- und Informationsverarbeitung aller öffentlichen Stellen des Bundes. Daneben hat die BfDI auch bestimmte nicht-öffentliche Stellen zu beraten und zu kontrollieren z.B. Telekommunikations- und die Postdienstunternehmen sowie private Unternehmen, die unter das Sicherheitsüberprüfungsgesetz fallen. Die BfDI ist auch zuständige Aufsichtsbehörde für die "gemeinsamen Einrichtungen" gem. § 50 Abs. 2 SGB II (Jobcenter).
Darüber hinaus obliegt der BfDI die gesetzliche Aufgabe, den Deutschen Bundestag und die Öffentlichkeit über wesentliche datenschutzrelevante Entwicklungen im privatwirtschaftlichen Bereich zu unterrichten.

Landesdatenschutzbeauftragter

Jedes Bundesland hat eine Landesdatenschutzbehörde eingerichtet und ein/en Landesdatenschutzbeauftragte/n (LfD) eingesetzt. Dieser berät und überwacht die öffentlichen Stellen des Landes in Fragen des Datenschutzes. In den meisten Bundesländern ist die Landesdatenschutzbehörde zugleich die zuständige Aufsichtsbehörde gem. § 38 Abs. 6 BDSG.

Behördlicher Datenschutzbeauftragter 

Nach Art. 37 Abs. 1 a DSGVO gelten für die Benennung des behördlichen Datenschutzbeauftragten die gleichen Voraussetzungen wie für die Benennung eines betrieblichen Datenschutzbeauftragten.  Soweit es sich bei dem Verantwortlichen oder Auftraggeber um eine Behörde oder öffentliche Stelle handelt, kann für diese unter Berücksichtigung der Organisationsstruktur ein gemeinsamer Datenschutzbeauftragter benannt werden, vgl. Art. 37 Abs. 3 DSGVO.

Betrieblicher Datenschutzbeauftragter 

Unternehmen haben unter bestimmten Voraussetzungen einen betrieblichen Beauftragten für den Datenschutz zu benennen. Der betriebliche Datenschutzbeauftragte überwacht und berät Unternehmen (Verantwortliche Stelle) bei der Einhaltung der datenschutzrechtlichen Vorschriften.

Durch die DSGVO wird der Datenschutzbeauftragte auf europäischer Ebene etabliert. Die Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich aus Art. 37 DSGVO.

Zudem enthält die Vorschrift zur Bestellung eines Datenschutzbeauftragten auch eine Spezifizierungsklausel für die Mitgliedsstaaten. Diesen steht es frei zu entscheiden, ob ein betrieblicher Datenschutzbeauftragter von Unternehmen unter engeren Voraussetzungen zu benennen ist. Besteht eine solche Pflicht nach der DSGVO oder einem nationalen Gesetz (z.B. dem BDSG), kann bei einer Unternehmensgruppe auch ein gemeinsamer betrieblicher Datenschutzbeauftragter bestellt werden. Deutschland hat in § 38 BDSG von weiteren Spezifikationen zur Pflicht der Benennung eines Datenschutzbeauftragten Gebrauch gemacht. Der Sitz des Datenschutzbeauftragten muss so gewählt werden, dass er für Aufsichtsbehörden, externe Betroffene und Beschäftigte leicht erreichbar ist.

Anmerkung: Zu beachten ist auch, dass gem. Art. 27 DSGVO auch Verantwortliche oder Auftragsverarbeiter, die nicht in der EU niedergelassen sind, einen Vertreter in einem der Mitgliedsstaaten haben müssen.

Mehr zum Thema

Meldung des Datenschutzbeauftragten an die Aufsichtsbehörde 

Handlungsbedarf beim Datenschutzbeauftragten aufgrund der DSGVO