Aufgaben und Pflichten des ... / 3 Gesetzlich zugewiesene Aufgaben

Die Aufgaben, die ein Datenschutzbeauftragter zwingend zu beachten hat, nennt das Gesetz in Art. 39 DSGVO.

Bei all den nachfolgend dargestellten Aufgaben gilt:

  • Der Beauftragte muss bei seiner Arbeit den spezifischen, datenschutzrechtlichen Risiken gebührend Rechnung tragen (Pflicht zur risikoorientierten Tätigkeit gem. Art. 39 Abs. 2 DSGVO). Das heißt, er muss risikoorientiert handeln, indem er die besonderen Risiken beim Umgang mit personenbezogenen Daten berücksichtigt. Dabei spielen Umfang, Umstände und Zwecke der Datenverarbeitung die entscheidende Rolle. In der Praxis führt das beispielsweise dazu, dass er Datenverarbeitungen, die ein höheres Datenschutz-Risiko aufweisen, vorrangig zu prüfen hat.
  • Der Beauftragte sollte seine Tätigkeiten und Überlegungen stärker als bisher dokumentieren. Dadurch kann er das Risiko eines Bußgelds senken (das gegenüber der früheren Rechtslage in mehr Fällen und mit erheblich höheren Beträgen verhängt werden kann). Zudem kann er durch eine Dokumentation seinen Teil zur generellen Rechenschaftspflicht beitragen (Art. 5 Abs. 2 DSGVO).

3.1 Überwachung

Nach Art. 39 Abs. 1 Buchst. b DSGVO hat der Datenschutzbeauftragte die Einhaltung der Datenschutzvorschriften zu "überwachen".

Zu den zu überwachenden Datenschutzvorschriften zählen

  • die DSGVO,
  • andere Datenschutzvorschriften in der EU und in den Mitgliedsstaaten und
  • die internen Vorgaben und die Strategie des Verantwortlichen einschließlich der Zuweisung der Zuständigkeiten, der Sensibilisierung und Schulung der Mitarbeiter und der diesbezüglichen Überprüfungen.

Bis zum Inkrafttreten der DSGVO musste der Datenschutzbeauftragte in Deutschland auf die Einhaltung der Vorschriften lediglich "hinwirken". Nun ist seine Aufgabe die "Überwachung". Damit wird der Datenschutzbeauftragte noch stärker als früher zu einem Kontrollorgan.

Die Überwachung kann beispielsweise dadurch erfolgen, dass der Beauftragte[1]

  • Informationen sammelt, um Datenverarbeitungen zu erkennen,
  • diese Datenverarbeitungen analysiert und auf ihre Rechtmäßigkeit hin überprüft und
  • den Datenverarbeiter und Auftragsverarbeiter informiert, berät und Empfehlungen über die Umsetzung des Datenschutzes ausspricht.

Wenn der Beauftragte dieser Pflicht nicht nachkommt, erscheint es denkbar, dass er dafür persönlich haftbar gemacht werden könnte, ähnlich wie ein Compliance-Officer. Näheres wird die Handhabung der Praxis nach Inkrafttreten der DSGVO durch Aufsichtsbehörden und Gerichte zeigen. Zur Reduzierung dieses Risikos bietet es sich an, wenn der Datenschutzbeauftragte seine Tätigkeiten und Überlegungen dokumentiert und somit nachweisen kann.

[1] vgl. Nr. 4.1 im Working Paper 243 ("Guidelines on Data Protection Officers ("DPOs")") der Artikel-29-Gruppe vom 13.12.2016.

3.2 Unterrichtung und Beratung

Eine weitere Aufgabe für den Beauftragten ist die Unterrichtung und Beratung in allen datenschutzrechtlichen Fragen (Art. 39 Abs. 1 Buchst. a DSGVO). Diese Aufgabe ist nach innen gerichtet: Als interner Ansprechpartner steht er sowohl der Leitungsebene als auch allen Beschäftigten zur Verfügung. Dabei soll er über den Umgang mit personenbezogenen Daten aufklären und gesetzliche Vorgaben erläutern.

Wie auch bisher müssen die Beschäftigten über den richtigen Umgang mit personenbezogenen Daten sensibilisiert und geschult werden. Jedoch ist für die Schulung nicht mehr der Datenschutzbeauftragte zuständig, sondern der Arbeitgeber (das ergibt sich indirekt aus Art. 5 DSGVO). Der Datenschutzbeauftragte hat jedoch zu kontrollieren, ob sie tatsächlich durchgeführt wird.

3.3 Datenschutz-Folgenabschätzung

Der Datenschutzbeauftragte hat auch mitzuwirken an einer Datenschutz-Folgenabschätzung (Art. 39 Abs. 1 Buchst. c DSGVO). Bei der Folgenabschätzung geht es um die Abschätzung und Minimierung möglicher Folgen, wenn eine risikobehaftete Verarbeitung geplant oder geändert wird (Art. 35 DSGVO).

Der Beauftragte muss dann

  • formal überwachen, dass eine Folgenabschätzung durchgeführt wird und
  • inhaltlich seine Meinung und seinen Rat abgeben.

Er ist jedoch weder selbst für die Durchführung verantwortlich (denn das ist die verantwortliche Stelle, also der Arbeitgeber), noch muss auf seinen Rat zwingend gehört werden.

Konkret könnte der Beauftragte seinen Rat abgeben in Bezug auf diese Punkte:[1]

  • ob die Voraussetzungen für die Durchführung einer Folgenabschätzung vorliegen oder nicht,
  • welche Methodik für die Folgenabschätzung angewendet werden könnte,
  • ob die Folgenabschätzung intern durchgeführt oder outgesourct wird,
  • welche Maßnahmen (auch technische und organisatorische Maßnahmen) angewendet werden können zu Abschwächung jeglicher Risiken für die Rechte und Freiheiten der Betroffenen,
  • ob die Datenschutz-Folgenabschätzung korrekt durchgeführt worden ist und welche Ergebnisse sich aus ihr ableiten lassen (insbesondere, ob die Datenverarbeitung durchgeführt werden darf und welche Schutzmaßnahmen getroffen werden müssen).
[1] vgl. Nr. 4.2 im Working Paper 243 ("Guidelines on Data Protection Officers ("DPOs")") der Artikel-29-Gruppe vom 13.12.2016.

3.4 Zusammenarbeit mit und Anlaufstelle für die Aufsichtsbehörde

Eine weitere, erstmals gesetzlich geregelte Aufgabe ...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Personal Office Platin 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge