Die Aufgaben von Datenschutzbeauftragten

Since the introduction of the General Data Protection Regulation (GDPR), the organizational structure of companies and public authorities has changed fundamentally regarding their protection of personal data. For example, the GDPR more clearly delineates the tasks of the individual bodies, and data protection officers have become more important. The protection of data of natural persons is in the foreground.

Doch welche Aufgaben haben Datenschutzbeauftragte? Wie können Unternehmen sicherstellen, dass derartige Aufgaben die Vorgaben aus der DSGVO erfüllen? In diesem Artikel beantworten wir die wichtigsten Fragen rund ums Thema.

Das Wichtigste auf einen Blick

  • Interne und externe Datenschutzbeauftragte beraten die verantwortlichen Stellen (Unternehmen oder Behörden) und unterstützen diese bei der Umsetzung von datenschutzrechtlichen Regelungen innerhalb des Betriebs.
  • Externe oder betriebliche Datenschutzbeauftragte sind Ansprechpartner inner- wie außerhalb: Sie beraten nicht nur Arbeitgeber, beteiligte Mitarbeiter und ggf. den Betriebsrat, sondern auch deren Kunden und Vertragspartner. Außerdem arbeitet sie eng mit der Aufsichtsbehörde zusammen.
  • Zu den Aufgaben von Datenschutzbeauftragten gehört es auch, die Beschäftigten in der verantwortlichen Stelle weiterzubilden. Sie sind feste Bestandteile datenschutzrechtlicher Schulungen für Mitarbeiter. Damit soll gewährleistet werden, dass alle Beschäftigten mit den Vorgaben des Datenschutzes vertraut sind und diese bei ihrer täglichen Arbeit umsetzen.

Sind Unternehmen verpflichtet, einen Datenschutzbeauftragten zu benennen?

Vor der Umstrukturierung der DSGVO waren Datenschutzbeauftragte auch für operative Aufgaben zuständig, seit der Neuordnung bleibt ihnen nur die Aufgabe, die verantwortlichen Stellen bei ihren eigenen Datenschutzaufgaben zu unterstützen. Die verantwortlichen Stellen hingegen tragen Sorge dafür, dass der Datenschutz effektiv umgesetzt, nachweislich organisiert und ausreichend kontrolliert wird.

Zwar gibt es laut der DSGVO in den meisten Fällen keine gesetzliche Pflicht, einen Datenschutzbeauftragten zu nennen, doch es kann sehr sinnvoll sein, sich bei der Wahrnehmung von Datenschutzvorgaben externe Unterstützung zu suchen. Ob es hierzu einen externen oder einen betrieblichen Datenschutzbeauftragten braucht, muss jedes Unternehmen für sich selbst entscheiden. In einem anderen Artikel haben wir die Vor- und Nachteile beider Varianten aufgeführt.

Das Unternehmen oder die Behörde muss auch ohne einen Datenschutzbeauftragten funktionieren und effektiv überwacht werden. Datenschutzbeauftrage können als eine Art "kleine Aufsichtsbehörde" handeln und eine Beratungsfunktion innerhalb des Unternehmens oder der Behörde übernehmen. Ihre Aufgabe besteht darin, gemeinsam mit der zuständigen Stelle Überwachungskonzepte zu entwickeln und umzusetzen.

Was verlangt die DSGVO von Unternehmen?

Most companies and public authorities are affected by challenges concerning data protection. In the digital age, automated processing of personal data occurs in almost every company. The resulting data protection obligations are the starting point for the GDPR: The aim is to ensure that all companies comply with data protection laws and responsibly handle the data of natural persons.

So sind verantwortliche Stellen dazu verpflichtet nachzuweisen, dass sie die gesetzlichen Anforderungen einhalten (sog. Accountability zu erfüllen). Unternehmen und Behörden müssen ihre Rechte und Pflichten kennen und ihren Betrieb so organisieren, dass sie die Anforderungen erfüllen. Tun sie dies nicht, spricht man von einem Organisationsverschulden, für das sie unter Umständen haften müssen und teuer sanktioniert werden können.

Zu den Pflichten des Unternehmens gehört es, ein Datenschutzkonzept zu entwickeln, geeignete Mitarbeiter ordnungsgemäß zu instruieren, sowie interne Kontrollen beim Datenschutz durchzuführen. An dieser Stelle knüpfen Datenschutzbeauftragte an: Sie sind als interne Ansprechpartner mit der Überwachung der Einhaltung der DSGVO betraut und helfen den zuständigen Stellen dabei, das Haftungsrisiko zu minimieren..

Neben dem Datenschutzbeauftragten als internes Überwachungsorgan existieren äußere Überwachungsorgane, die direkt oder indirekt überwachen:

  • Zuständige Aufsichtsbehörde: Als öffentliche Stelle bzw. Kontrollinstanz hat sie den Auftrag, die Einhaltung der Datenschutzgesetze innerhalb von Unternehmen zu überwachen.
  • Betroffene Personen oder VerbändeDurch Ausübung ihrer Rechte (z.B. Einleitung rechtlicher Schritte bei Verstößen) können die betroffenen Personen Einfluss und Kontrolle auf den Datenschutz in Unternehmen ausüben. Teilweise treten sie dafür ihre Rechte an spezialisierte Verbände ab oder agieren zum Zwecke der Einflussnahme mit der Presse. Damit stellen Betroffene oft das größte Risiko für Unternehmen dar, denn es droht (anders als bei der Aufsichtsbehörde) nicht nur eine Sanktion, sondern und die der Verlust der Reputation.
  • Betriebsrat: Der Betriebsrat kümmert sich vor allem um die Belange der Arbeitnehmer und zu diesem Zweck auch um die Einhaltung der Datenschutzgesetze, die dem Schutz der Arbeitnehmer dienen.

Zentrale Aufgaben von Datenschutzbeauftragten

Datenschutzbeauftragte haben zwei Kernbereiche: Beratung und Überwachung.
It follows that they first provide advice on the implementation of the GDPR and then review and monitor the implementation and effectiveness of data protection.

Beratung

Interne und externe Datenschutzbeauftragte beraten die verantwortlichen Stellen und unterstützen diese bei der Umsetzung von datenschutzrechtlichen Regelungen innerhalb des Betriebs. Hierzu können sie Strategien und organisatorische Maßnahmen vorschlagen. Auch bei der Lösung konkreter Probleme unterstützen sie die Leitung ihres Betriebes:

  • Unterrichtung der Verantwortlichen und Arbeitnehmer bezüglich der Datenschutzpflichten
  • Beratung betroffener Personen bei Fragen im Zusammenhang mit der Verarbeitung von Daten und den ihnen zustehenden Rechten
  • Beratung bei der Durchführung Datenschutz-Folgenabschätzungen

Datenschutzbeauftragte sind Ansprechpartner inner- und außerhalb: Sie beraten nicht nur Arbeitgeber, beteiligte Mitarbeiter und ggf. den Betriebsrat, sondern auch deren Kunden, Lieferanten und Vertragspartner.

Beratend stehen Datenschutzbeauftragte dem Betriebsrat zur Seite. In diesem Fall kommt es nicht selten zu Vermittlungsgesprächen zwischen Arbeitgeber und Betriebsrat, sodass nicht nur Expertise, sondern auch Fingerspitzengefühl und Verhandlungsgeschick gefragt sind. Datenschutzbeauftragte agieren in den meisten Fällen als neutrale Vermittlungsperson.

Außerdem arbeitet sie eng mit der Aufsichtsbehörde zusammen. Hier bilden Datenschutzbeauftragte eine Schnittstelle zwischen Unternehmen und Behörde und arbeiten eng mit beiden Seiten zusammen, um die Vorgaben des Datenschutzes umzusetzen. Hat die Aufsichtsbehörde datenschutzrechtliche Fragen an das Unternehmen, wendet sie sich in der Regel direkt an den Datenschutzbeauftragten als Experte.

Datenschutzbeauftragte unterrichten nicht nur die verantwortlichen Personen, sondern auch die an den Verarbeitungsvorgängen beteiligten Mitarbeiter zu ihren datenschutzrechtlichen Pflichten. Zudem beraten Datenschutzbeauftragte die verantwortlichen Stellen zu den datenschutzrechtlichen Bestimmungen und wie diese in den Betriebsablauf integriert werden können. Hierzu können sie konkrete Strategien und organisatorische Maßnahmen vorschlagen. Auch bei der Lösung konkreter Probleme unterstützen sie die Leitung ihres Arbeitgebers.

Erstellung von Konzepten und Richtlinien

Als Experten für datenschutzrechtliche Regelungen unterstützten Datenschutzbeauftragte bei der Erstellung rechtlicher Dokumente in diesem Bereich. Dazu zählen Richtlinien, Vereinbarungen, Internet-Nutzung oder Leitfäden zum Umfang mit Betroffenenanfragen.

Hierzu wird der Datenschutzbeauftragte einbezogen, um die Erforderlichkeit oder mit der Verarbeitung zusammenhängende Fragen zum Vorgehen zu klären. In manchen Fällen ist dies auch nach einer vorherigen Konsultation der Aufsichtsbehörde notwendig, die Datenschutzbeauftragte übernehmen.

Datenschutzverstöße

Datenschutzverstöße müssen zum Beispiel müssen meist innerhalb von 72h gemeldet werden. Diese sehr kurze Frist setzt voraus, dass effektive Prozesse vorliegen, die es jedem Mitarbeiter ermöglichen, eine Datenschutzpanne zu erkennen und die weiteren Schritte einzuleiten. Auch die Frist von einem Monat zur Bearbeitung von Betroffenenanfragen setzt eine etablierte Struktur und Organisation voraus.

Zu diesem Zweck haben Datenschutzbeauftragte ihre Arbeitgeber bei der Ausarbeitung und Etablierung solcher Prozesse und Richtlinien zu unterstützen.

Auch die Beratung bei der Erstellung von Datenschutzerklärungen oder die Datenschutz-Dokumentation sind Aufgaben von Datenschutzbeauftragten. Gerade die Datenschutz-Dokumentation ist wichtig, um die Pflicht des Unternehmens zur Accountability zu erfüllen.

Weiterbildungen und Schulungen der Mitarbeiter

Zu den Aufgaben von Datenschutzbeauftragten gehört es auch, zu prüfen ob die die Beschäftigten in den verantwortlichen Stellen weitergebildet wurden. Entgegen häufiger Erwartungen, obliegt die Schulung der Angestellten grundsätzlich dem Arbeitgeber. Allerdings sind Datenschutzbeauftragte dafür zuständig, diese zu überwachen und auf Ordnungsmäßigkeit zu überprüfen. Tests sind daher fester Bestandteil datenschutzrechtlicher Schulungen für Mitarbeiter. Damit soll gewährleistet werden, dass alle Beschäftigten mit den Vorgaben des Datenschutzes vertraut sind und diese bei ihrer täglichen Arbeit umsetzen.

Die Durchführung von Schulungen durch Datenschutzbeauftragte sorgt nicht nur für die nötige Rechtssicherheit bezüglich des Inhalts, sondern hat auch einen psychologischen Effekt: So lernen die Mitarbeiter Datenschutzbeauftragte als Experten auf ihrem Gebiet kennen und kommen mit ihnen in persönlichen Kontakt, was die Hemmschwelle senkt, diesem auch im Berufsalltag Fragen zu stellen und mit Problemen auf sie zuzugehen.

Die Datenschutzbeauftragten informieren auch regelmäßig über Neuerungen und Verbesserungspotenzial, etwa in einem Newsletter oder einem Rundschreiben.

Datenschutz-Folgenabschätzung

Bei bestimmten Kategorien von Daten müssen Unternehmen und Behörden eine Datenschutz-Folgeabschätzung durchführen. Hierbei wird der Datenschutzbeauftragte einbezogen, um die Erforderlichkeit oder mit der Verarbeitung zusammenhängende Fragen zum Vorgehen zu klären. In manchen Fällen ist dies auch nach einer vorherigen Konsultation der Aufsichtsbehörde notwendig, welche Datenschutzbeauftragte übernehmen.

Überwachung

Als Schnittstelle zwischen Unternehmen und Aufsichtsbehörde überwachen Datenschutzbeauftragte die Einhaltung der Datenschutzrichtlinien. Sie überwachen:

  • Compliance with data protection obligations when processing personal data following the GDPR. Non-compliance with the GDPR represents an wirtschaftliches Risiko dar. Daher ist es für sie umso wichtiger, Tools im Risikomanagement zu nutzen, wie zum Beispiel die Priverion Datenschutzplattform, die bei der Umsetzung und Überwachung von Datenschutzmaßnahmen helfen.
  • Überprüfung der Einhaltung der erarbeiteten Strategien, zum Beispiel Zuständigkeiten oder Schulungen
  • Die Zuweisung von Zuständigkeiten an andere Mitarbeiter
  • Die Sensibilisierung von Mitarbeitern
  • Zusammenarbeit mit der öffentlichen Stelle
  • Werden Kontrollen seitens des Arbeitgebers durchgeführt, etwa zur Einhaltung der Richtlinien durch die Mitarbeiter, sind Datenschutzbeauftragte ebenfalls einzubeziehen.

Verzeichnisse zur Verarbeitung

Die verantwortlichen Stellen sind dazu verpflichtet, ein Verzeichnis über die Verarbeitungstätigkeiten anzulegen. Besonders einfach und effizient geht das mit der Priverion Datenschutzplattform. Datenschutzbeauftragte stehen dabei beratend zur Seite und überprüfen das Verzeichnis auf Vollständigkeit und Schlüssigkeit.

Befugnisse von Datenschutzbeauftragten

Wichtig ist, dass Datenschutzbeauftragte der Selbstkontrolle des Unternehmens oder der Behörde dienen, also auch auf Missstände und Fehlverhalten aufmerksam machen. Das kann für die Leitung des Unternehmens oder der Behörde auch einmal unangenehm sein.

Um dennoch eine wirksame Kontrolle gewährleisten zu können, sind Datenschutzbeauftragte bei der Erfüllung ihrer Aufgaben stets weisungsfrei, die leitenden Personen haben also keinen Einfluss auf ihr Handeln und gewähren ihnen Freiraum in ihren Entscheidungen und Tätigkeiten.

For data protection officers to properly perform their duties, they rely on the support of their employer. The GDPR requires responsible entities to provide the necessary resources to enable data protection officers to do their job.

Insbesondere sind folgende Befugnisse durch die Verantwortlichen zu erteilen:

  • Das Sammeln von Informationen, die zur Identifikation der Verarbeitungsaktivitäten im Unternehmen dienen
  • Die Verarbeitung der Daten auf Rechtmäßigkeit zu überprüfen und zu analysieren
  • Gegenüber dem Verantwortlichen beratend und informierend tätig zu werden

Gleichzeitig wird auch klargestellt, wer verantwortlich ist im Falle eines Mangels:

  • Die Überwachung der Einhaltung datenschutzrechtlicher Bestimmungen führt nicht dazu, dass der Datenschutzbeauftragte im Falle eines Verstoßes die Verantwortung für diesen trägt.
  • Nicht der Datenschutzbeauftragte, sondern die verantwortliche Stelle hat die Pflicht, geeignete Maßnahmen zu treffen, um die rechtlichen Vorgaben zu erfüllen und auch den Nachweis darüber zu erbringen. Der Datenschutzbeauftragte wird nur beratend tätig.
  • Compliance with data protection law, in particular the GDPR, obliegt stets dem Verantwortlichen, nicht dem Datenschutzbeauftragten.

Gleichzeitig sind Datenschutzbeauftragte gehalten, die genannten Aufgaben stets im Sinne ihres Arbeitgebers zu erfüllen. Zentrale Aufgabe ist daher, risikoorientiert zu arbeiten.

Das bedeutet, dass sie nicht nur auf Betroffenen-Seite das mit den Verarbeitungsvorgängen verbundene Risiko gebührend im Blick behalten sollen, sondern insbesondere auch das Risiko für das Unternehmen bei einem Rechtsverstoß einbeziehen müssen.

In der Praxis heißt das konkret, einen selektiven und pragmatischen Ansatz für die Erfüllung seiner Aufgaben zu wählen, stets eine Einschätzung der größten Risiken für betroffene Personen und Verantwortliche vorzunehmen und demnach seine Tätigkeiten zu priorisieren.

Datenschutzbeauftragte dürfen allerdings auch keine Aufgabe oder Maßnahme vernachlässigen, nur weil diese ein vergleichsweise geringes Risiko darstellen. Für Datenschutzbeauftragte ergibt sich daraus eine teils komplexe Abwägung ihrer zu erfüllenden Aufgaben, was ein gewisses Fingerspitzengefühl erfordert.

Sind Sie Datenschutzbeauftragter oder überlegen, es zu werden?

Als betrieblicher oder externer Datenschutzbeauftragter haben sie eine Vielzahl von Aufgaben, die sie Tag für Tag organisieren müssen. Ihr Leitbild ist dabei stets die Einhaltung aller datenschutzrechtlicher Bestimmungen.

Auf diesem Gebiet sind Sie die Person mit den besten Kenntnissen im Datenschutz in Ihrem Unternehmen oder Ihrer Behörde und stehen sowohl Mitarbeitern, Vorgesetzten, wie auch Externen mit Rat und Tat zu Seite. Dadurch ist die Tätigkeit alles andere als langweilig und setzt Professionalität und Feingefühl im Umgang mit Ihren Mitmenschen voraus.

Die Balance zwischen Einhaltung aller datenschutzrechtlichen Vorgaben und Priorisierung der Interessen des Arbeitgebers kann vor allem schwierig sein. Sie sollten stets die Risiken für Ihren Arbeitgeber und für die betroffene Person gebührend gegeneinander abwägen. Die Felder mit den höchsten Risiken müssen dementsprechend priorisiert angegangen werden. Im stressigen Alltag dürfen allerdings die weniger risikoreichen Bereiche nicht in Vergessenheit geraten. Unter all diesen Anforderungen nicht den Überblick zu verlieren und allen Verpflichtungen gerecht zu werden, ist die wahre Kunst eines Datenschutzbeauftragten. Die Vorteile, die die Priverion Datenschutzplattform mit sich bringt, werden daher hochgeschätzt.

Sie haben Fragen zum Thema oder benötigen datenschutzrechtliche Unterstützung? Unser Team besteht aus Experten in den Bereichen Datenschutzrecht, IT und Sicherheit. Gerne unterstützen wir Sie bei der Umsetzung datenschutzrechtlicher Vorgaben. Kontaktieren Sie uns jederzeit für ein unverbindliches Erstgespräch.

Lesetipp: In diesem Artikel gehen wir näher auf die einzelnen Überwachungsinstrumente des Datenschutzbeauftragten ein.