Überwachungsaufgaben von Datenschutzbeauftragten
Die Datenschutzgrundverordnung (DSGVO) hat die Organisation von Unternehmen und Behörden von Grund auf verändert. Die neuen datenschutzrechtlichen Regelungen beeinflussen die internen und externen Prozesse und Strukturen in Unternehmen erheblich.
Insbesondere Datenschutzbeauftragte werden von anderen Organen deutlich stärker abgegrenzt als davor. So übernahmen die internen Datenschutzbeauftragten vorher auch operative Aufgaben für private Unternehmen. Seit Inkrafttreten der DSGVO bleibt ihnen eine Beratungs- und Überwachungsfunktion erhalten.
Doch wie und in welchem Umfang stellen Datenschutzbeauftragte sicher, dass die DSGVO in Unternehmen eingehalten wird? In diesem Artikel erfahren Sie mehr über die Überwachungsaufgaben von Datenschutzbeauftragten.
Das Wichtigste auf einen Blick
- Datenschutzbeauftragte übernehmen beratende und überwachende Tätigkeiten. Sie sind also als eigenständige Instanz die Schnittstelle zwischen Unternehmen bzw. Behörde und der zuständigen Aufsichtsbehörde. Sie werden nicht (mehr) operativ tätig.
- Um ihre Überwachungsaufgaben ausführen zu können, sind Datenschutzbeauftragte auf die Gewährung der erforderlichen Befugnisse seitens ihrer Arbeitgeber bzw. Auftraggeber angewiesen.
- Zur Ausübung der Überwachungstätigkeiten stehen verschiedene Überwachungsinstrumente zur Verfügung, die es risikoorientiert
- Zusätzlich müssen die organisatorischen Rahmenbedingungen wie Leit- und Richtlinien sowie Überwachungskonzepte erarbeitet werden.
DSGVO: Was hat sich für Datenschutzbeauftragte verändert?
Der Datenschutzbeauftragte ist ein objektiver Betrachter und kein agierendes Glied in Unternehmen und Behörden. Stattdessen tragen die Unternehmen selbst die Verantwortung dafür, dass der Datenschutz innerhalb des Unternehmens oder der Behörde praxistauglich implementiert wird.
Dies wird durch die internen oder externen Datenschutzbeauftragten kontrolliert und überwacht. Dazu stehen ihnen verschiedene Instrumente zur Verfügung, die allesamt auf die Einhaltung der Datenschutzregelungen abzielt. Dabei ist es unerheblich, ob es sich um interne Datenschutzbeauftragte oder externe handelt.
Gerade in kleineren Unternehmen kostet ein betrieblicher Datenschutzbeauftragter viel Geld, weshalb hier häufig ein externer Datenschutzbeauftragter engagiert wird. Die behördlichen Datenschutzbeauftragten übernehmen dieselben Tätigkeiten, die auch betriebliche Datenschutzbeauftragte wahrnehmen müssen.
Welche Aufgaben haben Datenschutzbeauftragte?
Datenschutzbeauftragten kommt eine Vielzahl von Aufgaben zu, die sich je nach Unternehmensgrösse und Ausrichtung unterscheiden können. Die Tätigkeit als Datenschutzbeauftragter dient der Selbstkontrolle und die Verbesserung des Datenschutzes bei der Verarbeitung personenbezogener Daten innerhalb eines Unternehmens. Dazu werden Datenschutzbeauftragte sowohl beratend als auch überwachend tätig.
Die Aufgabenbereiche lassen sich in zwei grosse Kategorien unterteilen: Beratungs- und Überwachungsaufgaben, die im Folgenden näher ausgeführt werden.
Beratungsaufgaben von Datenschutzbeauftragten
- Aufklärung und Beratung der Verantwortlichen und Arbeitnehmer bezüglich der datenschutzrechtlichen Pflichten
- Ansprechpartner für betroffene Personen und Prozessetablierung zum Umgang mit Datenschutzpannen
- Unterstützung bei der Erstellung von Datenschutzerklärungen, Konzepten und Richtlinien
- Unterstützung bei der Durchführung Datenschutz-Folgenabschätzungen
Überwachungsaufgaben von Datenschutzbeauftragten
- Einhaltung der Datenschutzpflichten aus der DSGVO
- Überprüfung der Umsetzung von etablierten Strategien
- Kooperation mit der zuständigen Aufsichtsbehörde
- Prüfung von Verarbeitungsverzeichnissen
- Mitarbeiterkontrollen bezüglich der Einhaltung der Richtlinien
Über die allgemeinen Aufgabenbereiche von externen und internen Datenschutzbeauftragten sprechen wir in diesem Artikel ausführlicher.
Die Rolle des Datenschutzbeauftragten im Unternehmen
Der Grundgedanke der DSGVO bezüglich der betrieblichen Datenschutzbeauftragten ist die Überwachungsfunktion dieser. Datenschutzbeauftragte sollen eine Person bzw. ein Organ in Unternehmen oder Behörden sein, die keine Verantwortung für operative Aufgabenbereiche übernehmen, sondern nur objektive Beobachter sind.
Dies dient auch dazu, Interessenkonflikte zu vermeiden und die Objektivität und Unabhängigkeit der Datenschutzbeauftragten zu wahren – andernfalls würden Datenschutzbeauftragte sich auch selbst kontrollieren, was einer effektiven Kontrolle schaden würde.
Natürlich können Datenschutzbeauftragte auch nur Teilzeit ihre Rolle übernehmen und den anderen Teil ihrer Anstellung üblichen Arbeitnehmer-Tätigkeiten nachgehen. Es ist jedoch darauf zu achten, dass es in solchen Konstellationen nicht zu Interessenkonflikten zwischen den beiden Tätigkeiten kommt.
Daher sollten Datenschutzbeauftragte keine leitenden Positionen oder andere Kontrollämter (wie Geldwäschebeauftragte, Geheimschutzbeauftragte etc.) ausüben.
Neben den Datenschutzaufsichtsbehörden sind die Datenschutzbeauftragten die wichtigsten Organe der DSGVO zur Überwachung der Datenschutzrichtlinien innerhalb von Unternehmen und Behörden. Um die Überwachungsaufgaben effektiv ausüben zu können, stehen verschiedene Überwachungsinstrumente zur Verfügung. Dazu zählen unter anderem:
- Datenschutzkontrollen in den Prozessen
- Datenschutzaudits (Prüfungen)
- Auswertung von Berichten und Statistiken
- Zertifizierungen
Voraussetzung für die effektive Arbeit der betrieblichen Datenschutzbeauftragten ist die Etablierung dieser Überwachungsinstrumente im Unternehmen bzw. der Behörde. Die Verantwortung für die Implementierung dieser Instrumente liegt allerdings nicht bei den Datenschutzbeauftragten, sondern bei den Führungspositionen der Unternehmen und Behörden. Datenschutzbeauftragte sind daher darauf angewiesen, dass ihnen die nötigen Befugnisse gewährt werden.
Für die verantwortliche Stelle ist es jedoch auch von Nutzen, eine effektive Überwachung zu gewährleisten, um das Risiko von Datenschutzverstössen und damit einhergehenden Repressalien und Schadenersatzforderungen durch die zuständigen Aufsichtsbehörden und Betroffenen Personen vorzubeugen.
Datenschutzkontrollen
Zur konsequenten Überwachung erforderlich ist die Eingliederung von Datenschutzkontrollen in die Unternehmensorganisation. Dazu zählen zum einen präventive Kontrollen der bestehenden Prozesse und Abläufe sowie aufdeckende Kontrollen zur Aufklärung von Datenschutzverstössen. Dabei ist es unerheblich, ob es sich um manuelle oder automatisierte, meist in die genutzte Software etc. integrierte Kontrollen handelt. Gegenstände der verschiedenen Datenschutzkontrollen sind:
- Überprüfung der Benutzerberechtigungen auf Aktualität
- Effektivität und Effizienz der Prozesse
- Aktualität der Verzeichnisse
- Überprüfung der technischen und organisatorischen Massnahmen
- Genehmigungen und Einrichtung von Benutzerberechtigungen und diesbezügliche konkrete Vorgaben
- Einbeziehung des Datenschutzbeauftragten in Änderung und Neueinführung von Datenverarbeitungsprozessen
- Schwellwertanalysen zur Datenschutz-Folgeabschätzung
Da Datenschutzbeauftragte immer risikoorientiert tätig werden, dienen die Datenschutzkontrollen nicht nur der Umsetzung der Datenschutzrichtlinien, sondern auch der Verhütung von prozessbedingten Risiken für das Unternehmen.
Kontrollen werden zumeist nicht von Datenschutzbeauftragten selbst durchgeführt, sondern von den leitenden Positionen der verantwortlichen Stellen oder den einzelnen, operativ agierenden Mitarbeitern. Die Ergebnisse oder Auffälligkeiten sind jedoch mit den Datenschutzbeauftragten abzustimmen und zu analysieren, um stetig neue Vorkehrungen zu treffen oder die Prozesse zu verbessern.
Die Implementierung der Datenschutzkontrollen ist in jeder Hinsicht notwendig, um sämtliche Prozesse zu kontrollieren und Datenschutzpannen vorzubeugen. Denn diese stellen ein nicht unerhebliches finanzielles Risiko für das Unternehmen dar.
Klartext: Es wird das Ziel verfolgt, Fehler zu vermeiden bzw. frühzeitig zu erkennen, diese zu melden und zu beseitigen. Gleichzeitig werden organisatorische Massnahmen auf ihre Wirksamkeit getestet.
Diese Implementierung erfolgt in den folgenden 4 Schritten:
- Ermittlung der Risiken in den einzelnen Prozessen
- Definition und Kontrollen zur Risikoabdeckung
- Implementierung der Kontrollen in die einzelnen Prozesse
- Durchführung und Dokumentation der Kontrollen
Datenschutzaudits
Ein Datenschutzaudit bzw. eine Datenschutzprüfung ist die Analyse einer Organisationseinheit, eines einzelnen Prozesses oder einzelner Dokumente bzw. Daten innerhalb des Unternehmens. Dabei soll die Sicherheit, Wirtschaftlichkeit, Effektivität und Compliance überprüft und Fehler, Bewertungen oder Verbesserungsmöglichkeiten aufgezeigt werden.
Die DSGVO enthält keine gesetzliche Pflicht zu Audits, verlangt aber in jedem Fall die Überprüfung der Organisation durch die Datenschutzbeauftragten. Datenschutzaudits werden zwar von den verantwortlichen Stellen in Auftrag gegeben, die Planung und Durchführung obliegt aber den Datenschutzbeauftragten als überwachende Instanz oder unabhängigen Dritten, um Interessenkonflikte zu vermeiden. Insbesondere in mittleren und grossen Unternehmen kann es ratsam sein, Datenschutzaudits auszulagern. Datenschutzbeauftragte haben sodann die Aufgabe, die ordnungsgemässe Durchführung zu überwachen.
Diese erfolgt zu jedem Zeitpunkt risikoorientiert mit Blick auf das Unternehmen und die Betroffenen Personen. Prozesse, die ein besonders hohes Risiko für Datenschutzverstösse bzw. das Risiko für besonders schwere Verstösse beinhalten, sind dabei am strengsten und häufigsten zu überprüfen und dem verbundenen Risiko gebührend Rechnung zu tragen. Effektivität und Effizienz der Datenschutzorganisation sollte regelmässig, mindestens jedoch jährlich durchgeführt werden. Auch die ordnungsgemässe Umsetzung der gesetzlichen Vorgaben in den Prozessen sollte risikoorientiert, jedoch ebenfalls mindestens jährlich eingeplant werden. Hinzu kommt noch einmal die Analyse von akuten Datenschutzvorfällen, die selbstverständlich nicht präventiv bzw. planmässig erfolgen kann, sondern nur anlassbezogen durchzuführen ist
Zertifizierung
Neben den Genehmigungen durch die zuständige Aufsichtsbehörde, können sich Unternehmen auch durch sogenannte Zertifizierungen absichern. Hierbei werden die internen Konzepte und Verhaltensregeln von unabhängigen, externen Instanzen geprüft und überwacht. Insoweit sind die Zertifizierungen mit Datenschutzaudits vergleichbar. Jedoch erhält das Unternehmen nach Abschluss der Überprüfung ein Zertifikat über den positiven Abschluss dieser.
Systeme zu Zertifizierungen sind seit langem etabliert. Die bekanntesten sind in Deutschland die DIN-Normen sowie auf internationaler Ebene ISO-Normungen. Allerdings ist in der DSGVO keine dieser Systeme vorgesehen, sondern sie etabliert im Rahmen des Art. 4, 42 DSGVO ein eigenes. Die Standards sind zunächst von den Aufsichtsbehörden zu genehmigen und legen die Interessen der Betroffenen, nicht die der Unternehmen zu Grunde.
Aufgrund der kurzen Zeit, die seit Inkrafttreten der DSGVO 2018 vergangen ist, ist das Angebot für Zertifizierungen in Deutschland noch sehr klein. Das führt dazu, dass diese bisher noch kein taugliches Instrument im Rahmen des Überwachungskonzepts darstellen. Bestehende Zertifizierungen können selbstverständlich genutzt werden, allerdings sollte ihnen bei der Erstellung einer geeigneten Datenschutz-Strategie kein allzu grosser Wert beigemessen werden.
Sonstige Überwachungsinstrumente
Zusätzlich zu Kontrollen und Audits gibt es weitere Instrumente, dir zur Überwachung des Datenschutzes genutzt werden können. Zum einen sollten Berichte über Informationssicherheits- und IT-Audits den Datenschutzbeauftragten zur Verfügung gestellt werden, um diese auf datenschutzrechtlich relevante Informationen und Prozesse überprüfen zu können.
Darüber hinaus können Datenschutzbeauftragte Befragungen zur Selbsteinschätzung der leitenden Stellen in Unternehmen und Behörden bezüglich der Erfüllung der datenschutzrechtlichen Regelungen durchführen und sie hinsichtlich Verbesserungspotenzialen und Mängeln befragen.
Auch die beteiligten Mitarbeiter können zu den bestehenden Prozessen und Verbesserungsvorschlägen angehört werden. Hier bietet es sich ebenfalls an, ein Verfahren einzurichten, bei dem sich beteiligte Mitarbeiter nötigenfalls auch vertraulich an die Datenschutzbeauftragten richten und Verletzungen oder Vorfälle melden können.
Durch Analyse von mit Daten zusammenhängenden Berichten und Statistiken aus dem Risiko-, Beschwerde- und Informationssicherheitsmanagement können relevante Erkenntnisse zum Stand des Datenschutzes im Unternehmen liefern.
Organisation und Rahmenbedingungen
Um den Datenschutz konsequent einzuhalten, muss ein Rahmen der Durchführung geschaffen werden. Gerade in grösseren Unternehmen ist es wichtig, dass jeder Mitarbeiter, der etwas mit personenbezogenen Daten zu tun hat, ordnungsgemäss über die Rechte und Pflichten sowie über die einzuhaltenden Vorgänge informiert ist. Diese sollten daher dokumentiert werden, etwa in internen Regelwerken. Dazu zählen die Datenschutzleitlinien und -richtlinien. Diese bilden die Basis für jede weitere Regelung und der Aufsetzung eines Datenschutzkonzepts. Sie dienen daher der Orientierung für alle Mitarbeiter und weiterführende Regelungen.
Datenschutzleitlinien können beispielsweise folgende Regelungen beinhalten:
- Unternehmensziele bezüglich des Datenschutzes
- Bekenntnis der Leitung zum Datenschutz
- Struktur der Vorgaben
- Verantwortlichkeiten und Zuständigkeiten
- Verbindlichkeit der Datenschutzrichtlinien
- Sensibilisierung und Schulung
- technische Umsetzung der Datenschutzrichtlinien und Accountability
- Organisation der Datenschutzaudits
Um die Leitlinie zu konkretisieren und entsprechende Regelungen zu treffen, sollte darauf aufbauend die Erstellung von Richtlinien erfolgen. In einer solchen Datenschutzrichtlinie müssen mindestens die folgenden Inhalte geregelt sein:
- Einführung oder Änderung der Datenverarbeitungen im Unternehmen
- Datenschutz-Folgenabschätzung
- Verzeichnis der Verarbeitungstätigkeiten
- Transparenz, Betroffenenrechte, Auskünfte
- Sicherheit von automatisierten Verarbeitungen
- Auftragsverarbeitung
- Datenschutzvorfälle
- Datenschutzbeauftragter
- Information und Schulung
- Verantwortlichkeiten
- Prozessbeschreibung
- Überwachungsinstrumente
- Sicherstellung der stetigen Verbesserung
Darüber hinaus können Regelungen zum Datenschutzmanagementsystem, Datenschutzkontrollen, Datenschutzaudits etc. getroffen werden. Näher einzugehen ist insbesondere auf die Regelungen zu Datenschutzbeauftragten :
Hier ist es wichtig, ihre Rechte und Pflichten in Form von Aufgabenzuweisungen und übertragenen Kompetenzen bzw. Befugnissen und ggf. die beruflichen Qualifikationen festzulegen. Dazu zählen insbesondere Regelungen über:
- Die klare Pflicht zur Benennung und Dokumentation des Datenschutzbeauftragten und die Meldung bei der Aufsichtsbehörde
- Die konkreten Aufgaben und die Stellung des Datenschutzbeauftragten sowie die Kommunikation dieser
- Zur Verfügung stellen ausreichender Ressourcen zur Erfüllung seiner Tätigkeiten, insbesondere Zeit, finanzielle Mittel, Befugnisse und Weiterbildungen
- Ausreichende Informationsmöglichkeiten des Datenschutzbeauftragten und Einbeziehung in Prozesse
- Die Geheimhaltungspflicht des Datenschutzbeauftragten
- Die Weisungsfreiheit des Datenschutzbeauftragten sowie die Befreiung von Interessenkonflikten des Datenschutzbeauftragten sowie die Befreiung von Interessenkonflikten
Überwachungskonzepte
Weiterhin sollte die Überwachungsorganisation klar und in einem Überwachungskonzept detailliert geregelt sein. Einzubeziehen sind dabei alle datenschutzrelevanten Prozesse des Unternehmens sowie die zur Überwachung bestimmten Instrumente. Das Überwachungskonzept soll dahingehend auch die unterschiedlichen Ansätze der Überwachung miteinbeziehen, die sich ergänzend zu einem optimalen Konzept beitragen können.
Kontinuierliche und lückenlose Überwachung: Die Überwachungsinstrumente sollen dauerhaft und in der Gesamtheit der Prozesse, Systeme und Projekte eingesetzt werden.
Risikoorientierte Überwachung: Für das Unternehmen ist es am wichtigsten, dass die risikoreichsten Vorgänge am strengsten kontrolliert werden, um finanzielle Schäden sowie Schäden der Reputation zu verhindern. Daher muss gefiltert werden, welche Prozesse das grösste Risiko für Datenschutzsubjekte und Verantwortliche bergen und das Konzept dahingehend zu priorisieren.
Ereignisorientierte Überwachung: neben den regelmässig und in der Regel präventiv erfolgenden Überwachungen müssen insbesondere bei Datenschutz-Folgeabschätzungen und Datenschutzvorfällen oder -verstössen priorisiert Analysen zu diesen akuten Ereignissen erfolgen.
Zuständigkeiten: ebenfalls wichtig ist die Zuweisung von Zuständigkeiten und Verantwortung, um eine lückenlose Überwachung zu gewährleisten.
Fazit
Nicht die Datenschutzbeauftragten allein, sondern vielmehr alle Organe eines Unternehmens sind dem Datenschutz verpflichtet. Datenschutzbeauftragte übernehmen nur eine organisatorische, beratende und vor allem überwachende Funktion.
Neben der Beratung des eigentlich Verantwortlichen bei der Etablierung und Umsetzung von datenschutzrechtlichen Vorgaben und der Information und Beratung der Mitarbeiter sind insbesondere die organisatorischen und überwachenden Aufgaben im Unternehmen das Tagesgeschäft der Datenschutzbeauftragten.
Insoweit übernehmen die Datenschutzbeauftragten insbesondere eine wichtige Rolle bei dem Design der Datenschutz-Kontrolle sowie die anschliessende Überprüfung. Auch bei der Planung und anschliessenden Überwachung von Audits sind sie gefragt, ebenso wie bei der Gestaltung der organisatorischen Rahmenbedingungen innerhalb des Unternehmens. Hierbei tragen sie zusätzlich die Verantwortung für die Erstellung von Überwachungskonzepten.
Bitte beachten Sie: Die aufgeführten Informationen können aufgrund der raschen Entwicklung des digitalen Zeitalters und der sich ändernden Gesetze und der Rechtsprechung zwischenzeitlich nicht mehr aktuell sein. Zur Recherche wurden die Informationen des Werkes von Ralf Herweg und Thomas Müthlein „Die Überwachungsaufgabe des Datenschutzbeauftragten nach DS-GVO“, 1. Auflage 2020 verwendet.