Seit der Einführung der Datenschutzgrundverordnung (DSGVO) hat sich die Organisationsstruktur von Unternehmen und Behörden im Hinblick auf deren Schutz personenbezogener Daten grundlegend geändert. So grenzt die DSGVO die Aufgaben der einzelnen Organe stärker voneinander ab und Datenschutzbeauftragten kommt eine Bedeutung zu. Der Schutz von Daten natürlicher Personen steht im Vordergrund.

Doch welche Aufgaben haben Datenschutzbeauftragte? Wie können Unternehmen sicherstellen, dass derartige Aufgaben die Vorgaben aus der DSGVO erfüllen? In diesem Artikel beantworten wir die wichtigsten Fragen rund ums Thema.

Das Wichtigste auf einen Blick

  • Interne und externe Datenschutzbeauftragte beraten die verantwortlichen Stellen (Unternehmen oder Behörden) und unterstützen diese bei der Umsetzung von datenschutzrechtlichen Regelungen innerhalb des Betriebs.
  • Externe oder betriebliche Datenschutzbeauftragte sind Ansprechpartner inner- wie außerhalb: Sie beraten nicht nur Arbeitgeber, beteiligte Mitarbeiter und ggf. den Betriebsrat, sondern auch deren Kunden und Vertragspartner. Außerdem arbeitet sie eng mit der Aufsichtsbehörde zusammen.
  • Zu den Aufgaben von Datenschutzbeauftragten gehört es auch, die Beschäftigten in der verantwortlichen Stelle weiterzubilden. Sie sind feste Bestandteile datenschutzrechtlicher Schulungen, in denen Mitarbeiter mehr über datenschutzrechtliche Regelungen lernen.

Sind Unternehmen verpflichtet, einen Datenschutzbeauftragten zu benennen?

Vor der Umstrukturierung der DSGVO waren Datenschutzbeauftragte auch für operative Aufgaben zuständig, seit der Neuordnung bleibt ihnen nur die Aufgabe, die verantwortlichen Stellen bei ihren eigenen Datenschutzaufgaben zu unterstützen. Die verantwortlichen Stellen hingegen tragen Sorge dafür, dass der Datenschutz effektiv umgesetzt, nachweislich organisiert und ausreichend kontrolliert wird.

Zwar gibt es laut der DSGVO in den meisten Fällen keine gesetzliche Pflicht, einen Datenschutzbeauftragten zu nennen, doch es kann sehr sinnvoll sein, sich bei der Wahrnehmung von Datenschutzvorgaben externe Unterstützung zu suchen. Ob es hierzu einen externen oder einen betrieblichen Datenschutzbeauftragten braucht, muss jedes Unternehmen für sich selbst entscheiden. In einem anderen Artikel haben wir die Vor- und Nachteile beider Varianten aufgeführt. 

Das Unternehmen oder die Behörde muss auch ohne einen Datenschutzbeauftragten funktionieren und effektiv überwacht werden. Datenschutzbeauftrage können als eine Art "kleine Aufsichtsbehörde" handeln und eine Beratungsfunktion innerhalb des Unternehmens oder der Behörde übernehmen. Ihre Aufgabe besteht darin, gemeinsam mit der zuständigen Stelle Überwachungskonzepte zu entwickeln und umzusetzen.

Was verlangt die DSGVO von Unternehmen?

Die meisten Unternehmen und Behörden sind von Herausforderungen im Hinblick auf den Datenschutz betroffen. In fast jedem Betrieb kommt es im Digitalzeitalter zur automatisierten Verarbeitung personenbezogener Daten. Die hieraus entstehenden datenschutzrechtlichen Pflichten sind Anknüpfungspunkt der DSGVO: Es soll sichergestellt werden, dass alle Betriebe datenschutzkonform arbeiten und verantwortungsvoll mit den Daten natürlicher Personen umgehen. 

So sind verantwortliche Stellen dazu verpflichtet nachzuweisen, dass sie die gesetzlichen Anforderungen einhalten (sog. Rechenschaftspflichten). Unternehmen und Behörden müssen ihre Rechte und Pflichten kennen und ihren Betrieb so organisieren, dass sie die Anforderungen erfüllen. Tun sie dies nicht, spricht man von einem Organisationsverschulden, für das sie unter Umständen haften müssen und teuer sanktioniert werden können.

Zu den Pflichten des Unternehmens gehört es, ein Datenschutzkonzept zu entwickeln, geeignete Mitarbeiter ordnungsgemäß darüber zu instruieren und anzuweisen, sowie interne Kontrollen beim Datenschutz durchzuführen. An dieser Stelle knüpfen Datenschutzbeauftragte an: Sie sind als interne Ansprechpartner mit der Überwachung der Einhaltung der DSGVO betraut und helfen den zuständigen Stellen dabei, das das Haftungsrisiko,.

Neben dem Datenschutzbeauftragten als internes Überwachungsorgan existieren äußere Überwachungsorgane, die die staatlichen Stellen direkt oder indirekt überwachen:

  • Die zuständige Aufsichtsbehörde: Als öffentliche Stelle bzw. Kontrollinstanz hat sie den Auftrag, die Einhaltung der Datenschutzgesetze innerhalb von Unternehmen zu überwachen.
  • Betroffene Personen oder Verbände: Durch Ausübung ihrer Rechte (z.B. Einleitung rechtlicher Schritte bei Verstößen) können die betroffenen Personen Einfluss und Kontrolle auf den Datenschutz in Unternehmen ausüben. Teilweise treten sie dafür ihre Rechte an spezialisierte Verbände ab oder agieren zum Zwecke der Einflussnahme mit der Presse. Damit stellen Betroffene oft das größte Risiko für Unternehmen dar, denn es droht (anders als bei der Aufsichtsbehörde) nicht nur eine Sanktion, sondern auch der Verlust der Reputation.
  • Betriebsrat: Der Betriebsrat kümmert sich vor allem um die Belange der Arbeitnehmer und zu diesem Zweck auch um die Einhaltung der Datenschutzgesetze, die dem Schutz der Arbeitnehmer dienen.

Zentrale Aufgaben von Datenschutzbeauftragten

Datenschutzbeauftragte haben zwei Kernbereiche: Beratung und Überwachung.

Es ergibt sich, dass sie zunächst bei der Umsetzung der DSGVO beratend zur Seite stehen, um die Umsetzung und Wirksamkeit des Datenschutzes anschließend zu überprüfen und zu kontrollieren.

Beratung

Interne und externe Datenschutzbeauftragte beraten die verantwortlichen Stellen und unterstützen diese bei der Umsetzung von datenschutzrechtlichen Regelungen innerhalb des Betriebs. Hierzu können sie Strategien und organisatorische Maßnahmen vorschlagen. Auch bei der Lösung konkreter Probleme unterstützen sie die Leitung ihres Betriebes:

  • Unterrichtung der Verantwortlichen und Arbeitnehmer bezüglich der Datenschutzpflichten
  • Beratung betroffener Personen bei Fragen im Zusammenhang mit der Verarbeitung von Daten und den ihnen zustehenden Rechten
  • Beratung bei der Durchführung Datenschutz-Folgenabschätzungen

Datenschutzbeauftragte sind Ansprechpartner inner- und außerhalb: Sie beraten nicht nur Arbeitgeber, beteiligte Mitarbeiter und ggf. den Betriebsrat, sondern auch deren Kunden, Lieferanten und Vertragspartner.

Beratend stehen Datenschutzbeauftragte dem Betriebsrat zur Seite. In diesem Fall kommt es nicht selten zu Vermittlungsgesprächen zwischen Arbeitgeber und Betriebsrat, sodass nicht nur Expertise, sondern auch Fingerspitzengefühl und Verhandlungsgeschick gefragt sind. Datenschutzbeauftragte agieren in den meisten Fällen als neutrale Vermittlungspersonen.

Außerdem arbeitet sie eng mit der Aufsichtsbehörde zusammen. Hier bilden Datenschutzbeauftragte eine Schnittstelle zwischen Unternehmen und Behörde und arbeiten eng mit beiden Seiten zusammen, um die Vorgaben des Datenschutzes umzusetzen. Hat die Aufsichtsbehörde datenschutzrechtliche Fragen an das Unternehmen, wendet sie sich in der Regel direkt an den Datenschutzbeauftragten als Experten.

Datenschutzbeauftragte unterrichten nicht nur die verantwortlichen Personen, sondern auch die an den Verarbeitungsvorgängen beteiligten Mitarbeiter zu ihren datenschutzrechtlichen Pflichten. Zudem beraten Datenschutzbeauftragte die verantwortlichen Stellen zu den datenschutzrechtlichen Bestimmungen und wie diese in den Betriebsablauf integriert werden können. Hierzu können sie konkrete Strategien und organisatorische Maßnahmen vorschlagen.

Erstellung von Konzepten und Richtlinien

Als Experten für datenschutzrechtliche Regelungen unterstützten Datenschutzbeauftragte bei der Erstellung rechtlicher Dokumente in diesem Bereich. Dazu zählen Richtlinien, Vereinbarungen, Internet-Nutzung oder Leitfäden zum Umfang mit Betroffenenanfragen.

Hierzu wird der Datenschutzbeauftragte einbezogen, um die Erforderlichkeit oder mit der Verarbeitung zusammenhängende Fragen zum Vorgehen zu klären. In manchen Fällen ist dies auch nach einer vorherigen Konsultation der Aufsichtsbehörde notwendig, welche Datenschutzbeauftragte übernehmen.

Datenschutzverstöße

Datenschutzverstöße zum Beispiel müssen meist innerhalb von 72h gemeldet werden. Diese sehr kurze Frist setzt voraus, dass effektive Prozesse vorliegen, die es jedem Mitarbeiter ermöglichen, eine Datenschutzpanne zu erkennen und die weiteren Schritte einzuleiten. Auch die Frist von einem Monat zur Bearbeitung von Betroffenenanfragen setzt eine etablierte Struktur und Organisation voraus.

Zu diesem Zweck haben Datenschutzbeauftragte ihre Arbeitgeber bei der Ausarbeitung und Etablierung solcher Prozesse und Richtlinien zu unterstützen.

Auch die Beratung bei der Erstellung von Datenschutzerklärungen oder die Datenschutz-Dokumentation sind Aufgaben von Datenschutzbeauftragten. Gerade die Datenschutz-Dokumentation ist wichtig, um die Pflicht des Unternehmens zur Accountability zu erfüllen.

Weiterbildungen und Schulungen der Mitarbeiter

Zu den Aufgaben von Datenschutzbeauftragten gehört es auch, zu prüfen ob die die Beschäftigten in den verantwortlichen Stellen weitergebildet wurden. Entgegen häufiger Erwartungen, obliegt die Schulung der Angestellten grundsätzlich dem Arbeitgeber. Allerdings sind Datenschutzbeauftragte dafür zuständig, diese zu überwachen und auf Ordnungsmäßigkeit zu überprüfen. Tests sind daher fester Bestandteil datenschutzrechtlicher Schulungen für Mitarbeiter. Damit soll gewährleistet werden, dass alle Beschäftigten mit den Vorgaben des Datenschutzes vertraut sind und diese bei ihrer täglichen Arbeit umsetzen.

Die Durchführung von Schulungen durch Datenschutzbeauftragte sorgt nicht nur für die nötige Rechtssicherheit bezüglich des Inhalts, sondern hat auch einen psychologischen Effekt: So lernen die Mitarbeiter Datenschutzbeauftragte als Experten auf ihrem Gebiet kennen und kommen mit ihnen in persönlichen Kontakt, was die Hemmschwelle senkt, diesen auch im Berufsalltag Fragen zu stellen und mit Problemen auf sie zuzugehen.

Die Datenschutzbeauftragten informieren auch regelmäßig über Neuerungen und Verbesserungspotenzial, etwa in einem Newsletter oder einem Rundschreiben.

Datenschutz-Folgenabschätzung

Bei bestimmten Kategorien von Daten müssen Unternehmen und Behörden eine Datenschutz-Folgeabschätzung durchführen. Hierbei wird der Datenschutzbeauftragte einbezogen, um die Erforderlichkeit oder mit der Verarbeitung zusammenhängende Fragen zum Vorgehen zu klären. In manchen Fällen ist dies auch nach einer vorherigen Konsultation der Aufsichtsbehörde durch den Datenschutzbeauftragten notwendig.

Überwachung

Als Schnittstelle zwischen Unternehmen und Aufsichtsbehörde überwachen Datenschutzbeauftragte die Compliance. Datenschutzrichtlinien. Sie überwachen:

  • Einhaltung der Datenschutzpflichten bei der Verarbeitung personenbezogener Daten nach DSGVO. Die Nichteinhaltung der DSGVO stellt für Unternehmen aufgrund der vielen Kontrollinstanzen ein wirtschaftliches Risiko dar. Daher ist es für sie umso wichtiger, Tools im Risikomanagement zu nutzen, wie zum Beispiel die Priverion Datenschutzplattform, die helfen Datenschutzrichtlinien umzusetzen und zu überwachen.
  • Überprüfung der Einhaltung der erarbeiteten Strategien, zum Beispiel Zuständigkeiten oder Schulungen
  • Die Zuweisung von Zuständigkeiten an andere Mitarbeiter
  • Die Sensibilisierung von Mitarbeitern
  • Zusammenarbeit mit der öffentlichen Stelle
  • Werden Kontrollen seitens des Arbeitgebers durchgeführt, etwa zur Einhaltung der Richtlinien durch die Mitarbeiter, sind Datenschutzbeauftragte ebenfalls einzubeziehen.

Verzeichnisse zur Verarbeitung

Die verantwortlichen Stellen sind dazu verpflichtet, ein Verzeichnis über die Verarbeitungstätigkeiten anzulegen. Besonders einfach und effizient geht das mit der Priverion Datenschutzplattform. Datenschutzbeauftragte stehen dabei beratend zur Seite und überprüfen das Verzeichnis auf Vollständigkeit und Schlüssigkeit.

Befugnisse von Datenschutzbeauftragten

Wichtig ist, dass Datenschutzbeauftragte der Selbstkontrolle des Unternehmens oder der Behörde dienen, also auch auf Missstände und Fehlverhalten aufmerksam machen. Das kann für die Leitung des Unternehmens oder der Behörde auch einmal unangenehm sein.

Um dennoch eine wirksame Kontrolle gewährleisten zu können, sind Datenschutzbeauftragte bei der Erfüllung ihrer Aufgaben stets weisungsfrei, die leitenden Personen haben also keinen Einfluss auf ihr Handeln und gewähren ihnen Freiraum in ihren Entscheidungen und Tätigkeiten.

Damit Datenschutzbeauftragte ihre Aufgaben ordnungsgemäß erledigen können, sind sie auf die Unterstützung ihres Arbeitgebers angewiesen. Die DSGVO verpflichtet die verantwortlichen Stellen zur Bereitstellung der erforderlichen Ressourcen, die Datenschutzbeauftragten ihre Arbeit ermöglichen sollen. 

Insbesondere sind folgende Befugnisse durch die Verantwortlichen zu erteilen:

  • Das Sammeln von Informationen, die zur Identifikation der Verarbeitungsaktivitäten im Unternehmen dienen
  • Die Verarbeitung der Daten auf Rechtmäßigkeit zu überprüfen und zu analysieren
  • Gegenüber dem Verantwortlichen beratend und informierend tätig zu werden

Gleichzeitig wird auch klargestellt, wer verantwortlich ist im Falle eines Mangels:

  • Die Überwachung der Einhaltung datenschutzrechtlicher Bestimmungen führt nicht dazu, dass der Datenschutzbeauftragte im Falle eines Verstoßes die Verantwortung für diesen trägt.
  • Nicht der Datenschutzbeauftragte, sondern die verantwortliche Stelle hat die Pflicht, geeignete Maßnahmen zu treffen, um die rechtlichen Vorgaben zu erfüllen und auch den Nachweis darüber zu erbringen. Der Datenschutzbeauftragte wird nur beratend tätig.
  • Die Einhaltung des Datenschutzrechtes, insbesondere der DSGVO obliegt stets dem Verantwortlichen, nicht dem Datenschutzbeauftragten.

Gleichzeitig sind Datenschutzbeauftragte gehalten, die genannten Aufgaben stets im Sinne ihres Arbeitgebers zu erfüllen. Zentrale Aufgabe ist daher, risikoorientiert zu arbeiten. 

Das bedeutet, dass sie nicht nur auf Betroffenen-Seite das mit den Verarbeitungsvorgängen verbundene Risiko gebührend im Blick behalten sollen, sondern insbesondere auch das Risiko für das Unternehmen bei einem Rechtsverstoß einbeziehen müssen. 

In der Praxis heißt das konkret, einen selektiven und pragmatischen Ansatz für die Erfüllung seiner Aufgaben zu wählen, stets eine der größten Risiken für betroffene Personen und den Verantwortlichen vorzunehmen und demnach seine Tätigkeiten zu priorisieren.

Datenschutzbeauftragte dürfen allerdings auch keine Aufgabe oder Maßnahme vernachlässigen, nur weil diese ein vergleichsweise geringes Risiko darstellen. Für Datenschutzbeauftragte ergibt sich daraus eine teils komplexe Abwägung ihrer zu erfüllenden Aufgaben, was ein gewisses Fingerspitzengefühl erfordert.

Sind Sie Datenschutzbeauftragter oder überlegen, es zu werden?

Als betrieblicher oder externer Datenschutzbeauftragter haben sie eine Vielzahl von Aufgaben, die sie Tag für Tag organisieren müssen. Ihr Leitbild ist dabei stets die Einhaltung aller datenschutzrechtlicher Bestimmungen.

Auf diesem Gebiet sind Sie die Person mit den besten Kenntnissen im Datenschutz in Ihrem Unternehmen oder Ihrer Behörde und stehen sowohl Mitarbeitern, Vorgesetzten, wie auch Externen mit Rat und Tat zu Seite. Dadurch ist die Tätigkeit alles andere als langweilig und setzt Professionalität und Feingefühl im Umgang mit Ihren Mitmenschen voraus.

Die Balance zwischen Einhaltung aller datenschutzrechtlichen Vorgaben und Priorisierung der Interessen des Arbeitgebers kann vor allem schwierig sein. Sie sollten stets die Risiken für Ihren Arbeitgeber und für die betroffene Person gebührend gegeneinander abwägen. Die Felder mit den höchsten Risiken müssen dementsprechend priorisiert angegangen werden. Im stressigen Alltag dürfen allerdings die weniger risikoreichen Bereiche nicht in Vergessenheit geraten.

Unter all diesen Anforderungen nicht den Überblick zu verlieren und allen Verpflichtungen gerecht zu werden, ist die wahre Kunst eines Datenschutzbeauftragten. Die Vorteile, die die Priverion Datenschutz-Plattform mit sich bringt, werden daher hochgeschätzt.

Sie haben Fragen zum Thema oder benötigen datenschutzrechtliche Unterstützung? Unser Team besteht aus Experten in den Bereichen Datenschutzrecht, IT und Sicherheit. Gerne unterstützen wir Sie bei der Umsetzung datenschutzrechtlicher Vorgaben. Kontaktieren Sie uns jederzeit für ein unverbindliches Erstgespräch.

Lesetipp: in diesem Artikel gehen wir näher auf die einzelnen Überwachungsinstrumente des Datenschutzbeauftragten ein.

Ähnliche Artikel

Demotermin buchen

+41 44 586 97 90

hello@priverion.com