Die Aufgaben von Datenschutzbeauftragten

Seit der Einführung der Datenschutzgrundverordnung (DSGVO) hat sich die Organisationsstruktur von Unternehmen und Behörden im Hinblick auf deren Schutz personenbezogener Daten grundlegend geändert. So grenzt die DSGVO die Aufgaben der einzelnen Organe stärker voneinander ab und Datenschutzbeauftragten kommt eine Bedeutung zu. Der Schutz von Daten natürlicher Personen steht im Vordergrund.

Doch welche Aufgaben haben Datenschutzbeauftragte? Wie können Unternehmen sicherstellen, dass derartige Aufgaben die Vorgaben aus der DSGVO erfüllen? In diesem Artikel beantworten wir die wichtigsten Fragen rund ums Thema.

Das Wichtigste auf einen Blick

• Interne und externe Datenschutzbeauftragte beraten die zuständigen Stellen (Unternehmen oder Behörden) und unterstützen sie bei der Umsetzung der Datenschutzbestimmungen im Unternehmen.
• Externe oder betriebliche Datenschutzbeauftragte sind Ansprechpartner innerhalb und ausserhalb des Unternehmens: Sie beraten nicht nur Arbeitgeber, betroffene Arbeitnehmer und ggf. den Betriebsrat, sondern auch deren Kunden und Vertragspartner. Sie arbeiten auch eng mit der Aufsichtsbehörde zusammen.
• Zu den Aufgaben der Datenschutzbeauftragten gehört auch die Weiterbildung der Mitarbeiter. Sie sind Bestandteil von Datenschutzschulungen, in denen die Mitarbeiter mehr über die Datenschutzbestimmungen erfahren.

Sind Unternehmen dazu verpflichtet, einen Datenschutzbeauftragten zu benennen?

Vor der Umstrukturierung der DSGVO waren Datenschutzbeauftragte auch für operative Aufgaben zuständig, seit der Neuordnung bleibt ihnen nur die Aufgabe, die verantwortlichen Stellen bei ihren eigenen Datenschutzaufgaben zu unterstützen. Die verantwortlichen Stellen hingegen tragen Sorge dafür, dass der Datenschutz effektiv umgesetzt, nachweislich organisiert und ausreichend kontrolliert wird.

Zwar gibt es laut der DSGVO in den meisten Fällen keine gesetzliche Pflicht, einen Datenschutzbeauftragten zu nennen, doch es kann sehr sinnvoll sein, sich bei der Wahrnehmung von Datenschutzvorgaben externe Unterstützung zu suchen. Ob es hierzu einen externen oder einen betrieblichen Datenschutzbeauftragten braucht, muss jedes Unternehmen für sich selbst entscheiden. In einem anderen Artikel haben wir die Vor- und Nachteile beider Varianten aufgeführt. 

Das Unternehmen oder die Behörde muss auch ohne einen Datenschutzbeauftragten funktionieren und effektiv überwacht werden. Datenschutzbeauftrage können als eine Art „kleine Aufsichtsbehörde“ handeln und eine Beratungsfunktion innerhalb des Unternehmens oder der Behörde übernehmen. Ihre Aufgabe besteht darin, gemeinsam mit der zuständigen Stelle Überwachungskonzepte zu entwickeln und umzusetzen.

Was verlangt die DSGVO von Unternehmen?

Die meisten Unternehmen und Behörden sind von Herausforderungen im Hinblick auf den Datenschutz betroffen. In fast jedem Betrieb kommt es im Digitalzeitalter zur automatisierten Verarbeitung personenbezogener Daten. Die hieraus entstehenden datenschutzrechtlichen Pflichten sind Anknüpfungspunkt der DSGVO: Es soll sichergestellt werden, dass alle Betriebe datenschutzkonform arbeiten und verantwortungsvoll mit den Daten natürlicher Personen umgehen. 

So sind verantwortliche Stellen dazu verpflichtet nachzuweisen, dass sie die gesetzlichen Anforderungen einhalten (sog. Accountability). Unternehmen und Behörden müssen ihre Rechte und Pflichten kennen und ihren Betrieb so organisieren, dass sie die Anforderungen erfüllen. Tun sie dies nicht, spricht man von einem Organisationsverschulden, für das sie unter Umständen haften müssen und teuer sanktioniert werden können.

Zu den Pflichten des Unternehmens gehört es, ein Datenschutzkonzept zu entwickeln, geeignete Mitarbeiter ordnungsgemäss zu instruieren, sowie interne Kontrollen beim Datenschutz durchzuführen. An dieser Stelle knüpfen Datenschutzbeauftragte an: Sie sind als interne Ansprechpartner mit der Überwachung der Einhaltung der DSGVO betraut und helfen den zuständigen Stellen dabei, das Haftungsrisiko zu minimieren..

Neben dem Datenschutzbeauftragten als internes Überwachungsorgan existieren äussere Überwachungsorgane, die die staatlichen Stellen direkt oder indirekt überwachen:

• Die zuständige Aufsichtsbehörde: Als öffentliche Stelle bzw. Kontrollinstanz hat sie den Auftrag, die Einhaltung der Datenschutzgesetze innerhalb von Unternehmen zu überwachen.
• Betroffene Personen oder Verbände: Durch Ausübung ihrer Rechte (z.B. Einleitung rechtlicher Schritte bei Verstössen) können die betroffenen Personen Einfluss und Kontrolle auf den Datenschutz in Unternehmen ausüben. Teilweise treten sie dafür ihre Rechte an spezialisierte Verbände ab oder agieren zum Zwecke der Einflussnahme mit der Presse. Damit stellen Betroffene oft das grösste Risiko für Unternehmen dar, denn es droht (anders als bei der Aufsichtsbehörde) nicht nur eine Sanktion, sondern auch der Verlust der Reputation.
• Betriebsrat: Der Betriebsrat kümmert sich vor allem um die Belange der Arbeitnehmer und zu diesem Zweck auch um die Einhaltung der Datenschutzgesetze, die dem Schutz der Arbeitnehmer dienen.

Zentrale Aufgaben von Datenschutzbeauftragten

Datenschutzbeauftragte haben zwei Kernbereiche: Beratung und Überwachung.

Es ergibt sich, dass sie zunächst bei der Umsetzung der DSGVO beratend zur Seite stehen, um die Umsetzung und Wirksamkeit des Datenschutzes anschliessend zu überprüfen und zu kontrollieren.

Beratung

Interne und externe Datenschutzbeauftragte beraten die verantwortlichen Stellen und unterstützen diese bei der Umsetzung von datenschutzrechtlichen Regelungen innerhalb des Betriebs. Hierzu können sie Strategien und organisatorische Massnahmen vorschlagen. Auch bei der Lösung konkreter Probleme unterstützen sie die Leitung ihres Betriebes:

• Unterrichtung der Verantwortlichen und Arbeitnehmer bezüglich der Datenschutzpflichten
• Beratung betroffener Personen bei Fragen im Zusammenhang mit der Verarbeitung von Daten und den ihnen zustehenden Rechten
• Beratung bei der Durchführung Datenschutz-Folgenabschätzungen

Datenschutzbeauftragte sind Ansprechpartner inner- und ausserhalb: Sie beraten nicht nur Arbeitgeber, beteiligte Mitarbeiter und ggf. den Betriebsrat, sondern auch deren Kunden, Lieferanten und Vertragspartner.

Beratend stehen Datenschutzbeauftragte dem Betriebsrat zur Seite. In diesem Fall kommt es nicht selten zu Vermittlungsgesprächen zwischen Arbeitgeber und Betriebsrat, sodass nicht nur Expertise, sondern auch Fingerspitzengefühl und Verhandlungsgeschick gefragt ist. Datenschutzbeauftragte haben in den meisten Fällen als neutrale Vermittlungsperson zu agieren.

Ausserdem arbeitet sie eng mit der Aufsichtsbehörde zusammen. Hier bilden Datenschutzbeauftragte eine Aufsichtsbehörde. und arbeiten eng mit beiden Seiten zusammen, um die Vorgaben des Datenschutzes umzusetzen. Hat die Aufsichtsbehörde datenschutzrechtliche Fragen an das Unternehmen, wendet sie sich in der Regel direkt an den Datenschutzbeauftragten als Experten und Vertreter für seinen Arbeitgeber.

Datenschutzbeauftragte informieren die Verantwortlichen und die an den Verarbeitungsprozessen beteiligten Mitarbeiter über ihre datenschutzrechtlichen Pflichten. Darüber hinaus beraten die Datenschutzbeauftragten die Verantwortlichen über die datenschutzrechtlichen Bestimmungen und wie diese in den betrieblichen Ablauf integriert werden können. Zu diesem Zweck können sie konkrete Strategien und organisatorische Massnahmen vorschlagen.

Erstellung von Konzepten und Richtlinien

Als Experten für datenschutzrechtliche Regelungen unterstützten Datenschutzbeauftragte bei der Erstellung rechtlicher Dokumente in diesem Bereich. Dazu zählen Richtlinien, Vereinbarungen, Internet-Nutzung oder Leitfäden zum Umfang mit Betroffenenanfragen.

Zum Beispiel müssen Datenschutzverstösse meist innerhalb von 72h gemeldet werden. Diese sehr kurze Frist setzt voraus, dass effektive Prozesse vorliegen, die es jedem Mitarbeiter ermöglichen, eine Datenschutzpanne zu erkennen und die weiteren Schritte einzuleiten. Auch die Frist von einem Monat zur Bearbeitung von Betroffenenanfragen setzt eine etablierte Struktur und Organisation voraus.

Zu diesem Zweck haben Datenschutzbeauftragte ihre Arbeitgeber bei der Ausarbeitung und Etablierung solcher Prozesse und Richtlinien zu unterstützen.

Auch die Beratung bei der Erstellung von Datenschutzerklärungen oder die Datenschutz-Dokumentation sind Aufgaben von Datenschutzbeauftragten. Gerade die Datenschutz-Dokumentation ist wichtig, um die Pflicht zur Accountability des Unternehmens zu erfüllen.

Weiterbildungen und Schulungen der Mitarbeiter

Zu den Aufgaben von Datenschutzbeauftragten gehört es auch, die Beschäftigten in den verantwortlichen Stellen weiterzubilden. Die Schulung der Angestellten obliegt grundsätzlich dem Arbeitgeber. Allerdings sind Datenschutzbeauftragte dafür zuständig, diese zu überwachen und auf Ordnungsmässigkeit zu überprüfen. Sie sind daher fester Bestandteil datenschutzrechtlicher Schulungen für Mitarbeiter. Damit soll gewährleistet werden, dass alle Beschäftigten mit den Vorgaben des Datenschutzes vertraut sind und diese bei ihrer täglichen Arbeit umsetzen.

Die Durchführung von Schulungen durch Datenschutzbeauftragte sorgt nicht nur für die nötige Rechtssicherheit bezüglich des Inhalts, sondern hat auch einen psychologischen Effekt: So lernen die Mitarbeiter Datenschutzbeauftragte als Experten auf ihrem Gebiet kennen und kommen mit ihnen in persönlichen Kontakt, was die Hemmschwelle senkt, diesen auch im Berufsalltag Fragen zu stellen und mit Problemen auf sie zuzugehen.

Die Datenschutzbeauftragten informieren auch regelmässig über Neuerungen und Verbesserungspotenzial, etwa in einem Newsletter oder einem Rundschreiben.

Datenschutz-Folgenabschätzung

Bei bestimmten Kategorien von Daten müssen Unternehmen und Behörden eine Datenschutz-Folgeabschätzung durchführen. Hierbei wird der Datenschutzbeauftragte einbezogen, um die Erforderlichkeit oder mit der Verarbeitung zusammenhängende Fragen zum Vorgehen zu klären. In manchen Fällen ist dies auch nach einer vorherigen Konsultation der Aufsichtsbehörde notwendig, welche Datenschutzbeauftragte übernehmen.

Überwachung

Datenschutzbeauftragte überwachen als Schnittstelle zwischen Unternehmen und Aufsichtsbehörde die Einhaltung der Datenschutzrichtlinien.

• Einhaltung der Datenschutzpflichten bei der Verarbeitung personenbezogener Daten nach DSGVO. Die Nichteinhaltung der DSGVO stellt für Unternehmen aufgrund der vielen Kontrollinstanzen ein wirtschaftliches Risiko dar. Daher ist es für sie umso wichtiger, Tools im Risikomanagement zu nutzen, wie zum Beispiel die Priverion Datenschutzplattform, die helfen Datenschutzrichtlinien umzusetzen und zu überwachen.
• Überprüfung der Einhaltung der erarbeiteten Strategien, zum Beispiel Zuständigkeiten oder Schulungen
• Die Zuweisung von Zuständigkeiten an andere Mitarbeiter
• Die Sensibilisierung von Mitarbeitern
• Zusammenarbeit mit der öffentlichen Stelle
• Werden Kontrollen seitens des Arbeitgebers durchgeführt, etwa zur Einhaltung der Richtlinien durch die Mitarbeiter, sind Datenschutzbeauftragte ebenfalls einzubeziehen.

Verzeichnisse zur Verarbeitung

Die verantwortlichen Stellen sind dazu verpflichtet, ein Verzeichnis über die Verarbeitungstätigkeiten anzulegen. Besonders einfach und effizient geht das mit der Priverion Datenschutzplattform. Datenschutzbeauftragte stehen dabei beratend zur Seite und überprüfen das Verzeichnis auf Vollständigkeit und Schlüssigkeit.

Befugnisse von Datenschutzbeauftragten

Wichtig ist, dass Datenschutzbeauftragte der Selbstkontrolle des Unternehmens oder der Behörde dienen, also auch auf Missstände und Fehlverhalten aufmerksam machen. Das kann für die Leitung des Unternehmens oder der Behörde auch einmal unangenehm sein.

Um dennoch eine wirksame Kontrolle gewährleisten zu können, sind Datenschutzbeauftragte bei der Erfüllung ihrer Aufgaben stets weisungsfrei, die leitenden Personen haben also keinen Einfluss auf ihr Handeln und gewähren ihnen Freiraum in ihren Entscheidungen und Tätigkeiten.

Damit Datenschutzbeauftragte ihre Aufgaben ordnungsgemäss erledigen können, sind sie auf die Unterstützung ihres Arbeitgebers angewiesen. Die DSGVO verpflichtet die verantwortlichen Stellen zur Bereitstellung der erforderlichen Ressourcen, die Datenschutzbeauftragten ihre Arbeit ermöglichen sollen. 

Insbesondere sind folgende Befugnisse durch die Verantwortlichen zu erteilen:

• Das Sammeln von Informationen, die zur Identifikation der Verarbeitungsaktivitäten im Unternehmen dienen
• Die Verarbeitung der Daten auf Rechtmässigkeit zu überprüfen und zu analysieren
• Gegenüber dem Verantwortlichen beratend und informierend tätig zu werden

Gleichzeitig wird auch klargestellt, wer im Falle eines Mangels verantwortlich ist:

• Die Überwachung der Einhaltung datenschutzrechtlicher Bestimmungen führt nicht dazu, dass der Datenschutzbeauftragte im Falle eines Verstosses die Verantwortung für diesen trägt.
• Nicht der Datenschutzbeauftragte, sondern die verantwortliche Stelle hat die Pflicht, geeignete Massnahmen zu treffen, um die rechtlichen Vorgaben zu erfüllen und auch den Nachweis darüber zu erbringen. Der Datenschutzbeauftragte wird nur beratend tätig.
• Die Einhaltung des Datenschutzrechtes, insbesondere der DSGVO obliegt stets dem Verantwortlichen, nicht dem Datenschutzbeauftragten.

Gleichzeitig sind Datenschutzbeauftragte gehalten, die genannten Aufgaben stets im Sinne ihres Arbeitgebers zu erfüllen. Zentrale Aufgabe ist daher, risikoorientiert zu arbeiten. 

Das bedeutet, dass sie nicht nur auf Betroffenen-Seite das mit den Verarbeitungsvorgängen verbundene Risiko gebührend im Blick behalten sollen, sondern insbesondere auch das Risiko für das Unternehmen bei einem Rechtsverstoss einbeziehen müssen. 

In der Praxis heisst das konkret, einen selektiven und pragmatischen Ansatz für die Erfüllung seiner Aufgaben zu wählen, stets eine Einschätzung der grössten Risiken für betroffene Personen und Verantwortliche vorzunehmen und demnach seine Tätigkeiten zu priorisieren.

Im Gegensatz dürfen Datenschutzbeauftragte allerdings auch keine Aufgaben oder Massnahmen vernachlässigen, nur weil diese ein vergleichsweise geringes Risiko darstellen. Für Datenschutzbeauftragte ergibt sich daraus eine teils komplexe Abwägung ihrer zu erfüllenden Aufgaben, die ein gewisses Fingerspitzengefühl erfordert.

Sind Sie Datenschutzbeauftragter oder überlegen, es zu werden?

Als betrieblicher oder externer Datenschutzbeauftragter haben sie eine Vielzahl von Aufgaben, die sie Tag für Tag organisieren müssen. Ihr Leitbild ist dabei stets die Einhaltung aller datenschutzrechtlicher Bestimmungen.

Auf diesem Gebiet sind Sie die Person mit den besten Kenntnissen im Datenschutz in Ihrem Unternehmen oder Ihrer Behörde und stehen sowohl Mitarbeitern, Vorgesetzten, wie auch Externen mit Rat und Tat zu Seite. Dadurch ist die Tätigkeit alles andere als langweilig und setzt Professionalität und Feingefühl im Umgang mit Ihren Mitmenschen voraus.

Schwierig kann vor allem die Balance zwischen Einhaltung aller datenschutzrechtlichen Vorgaben und Priorisierung der Interessen des Arbeitgebers sein. Sie sollten stets die Risiken für Ihren Arbeitgeber und für die betroffene Person gebührend gegeneinander abwägen. Die Felder mit den höchsten Risiken müssen dementsprechend priorisiert angegangen werden.

Reading tip: In this article, we take a closer look at the individual monitoring tools of the data protection officer.