Was sind die Aufgaben eines Datenschutzbeauftragten?
Zu den typischen Aufgaben eines Datenschutzbeauftragten (DSB) zählen:
- Beratung der Geschäftsführung in datenschutzrechtlichen Angelegenheiten
- Unterstützung bei Schulungen der Mitarbeiter im Datenschutz
- Kontrolle der technisch-organisatorischen Maßnahmen des Unternehmens
- Überprüfung der Verpflichtung der Mitarbeiter auf das Datengeheimnis
- Erstellung von jährlichen Tätigkeitsberichten
- Überprüfung von Verzeichnissen über Verarbeitungstätigkeiten
- Dokumentation und Prüfung der Auftragsverarbeitung
- Prüfung des IT-Sicherheitskonzepts des Verantwortlichen
- Unterstützung bei der Ausarbeitung eines Löschkonzepts
- Kooperation mit Aufsichtsbehörden
Damit der DSB die dargestellten Aufgaben und Anforderungen erfüllen kann, muss er sämtliche Datenschutzregelungen und deren Auslegung kennen. Das bedeutet, dass nicht nur die Datenschutzgrundverordnung (DSGVO) von Relevanz ist, sondern auch alle bereichsspezifischen Spezialnormen sowie Vereinbarungen mit den Arbeitnehmervertretungen.
Die Aufgaben eines DSB regeln Artikel 38 und Artikel 39 DSGVO. Diese lassen sich in drei Bereiche einteilen:
- die Tätigkeit des DSB im Unternehmen,
- seine Rolle gegenüber den Aufsichtsbehörden und
- seine Funktion gegenüber Betroffenen.
Im Hinblick auf die interne Tätigkeit des DSB im Unternehmen legt die DSGVO die folgenden drei Hauptaufgaben fest:
- Unterrichtung und Beratung des Unternehmens,
- Überwachung der Einhaltung von datenschutzrechtlichen Vorgaben sowie
- Beratung und Überwachung im Rahmen der Datenschutz-Folgenabschätzung.
Mit Unterrichtung ist die allgemeine Information über die bestehenden datenschutzrechtlichen Pflichten gemeint. Eine Beratung bietet eine aktive Unterstützung beim Lösen von konkreten Problemen, die im Zuge der Umsetzung datenschutzrechtlicher Vorgaben auftauchen.
Die Überwachungspflicht stellt eine typische Compliance-Aufgabe dar. Denn Gegenstand der Überwachung ist nicht nur die Wahrung des Datenschutzrechts, sondern auch die Einhaltung der Strategien des Unternehmens. Die Kontrollbefugnis des DSB umfasst dabei die interne Zuweisung von Zuständigkeiten sowie die Sensibilisierung und Schulung der Mitarbeiter sowie diesbezügliche Überprüfungen. Zu beachten ist, dass der DSB für die praktische Umsetzung der Datenschutzvorschriften nicht selbst verantwortlich ist. Vielmehr fällt dies in den Aufgabenbereich des Verantwortlichen.
Im Hinblick auf die Datenschutzfolgenabschätzung kommt dem DSB eine Kontroll- und Beratungsfunktion zu. Er überwacht insbesondere die ordnungsgemäße Durchführung der Datenschutz-Folgenabschätzung.
Um die o.g. Aufgaben erfüllen zu können, muss der DSB von der verantwortlichen Stelle im Unternehmen umfassend über alle Vorhaben der automatisierten Erhebung relevanter Daten informiert werden, unabhängig davon, ob er extern oder intern angestellt ist. Ein DSB hat also die Aufgabe, den Ist-Zustand des Datenschutzniveaus in einem Unternehmen zu analysieren und infolgedessen der Geschäftsleitung konkrete Vorschläge zur Verbesserung zu unterbreiten.
Rolle gegenüber den Aufsichtsbehörden
Ferner ist der DSB für die Zusammenarbeit mit den Aufsichtsbehörden zuständig und dient somit als ihr direkter Ansprechpartner in allen datenschutzrechtlichen Angelegenheiten.
Funktion gegenüber Betroffenen
Schließlich kommt dem DSB die Funktion als Anlaufstelle für Betroffene zu. Diese haben nach der DSGVO das Recht, den DSB zu allen Fragen zu Rate zu ziehen, die mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte (Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit) im Zusammenhang stehen.
Haftung bei Fehlern und Missachtung der Aufgaben
Ein externer DSB haftet für die Erfüllung der o.g. Aufgaben und damit der ihm vertraglich auferlegten Pflichten gegenüber der ihn benennenden Stelle grundsätzlich in vollem Umfang.
Soweit intern ein Arbeitnehmer als DSB benannt ist, gelten dagegen die Grundsätze der beschränkten innerbetrieblichen Arbeitnehmerhaftung. Danach haftet der Arbeitnehmer lediglich bei Vorsatz und grober Fahrlässigkeit in vollem Umfang. Bei leichtester Fahrlässigkeit scheidet eine Haftung des internen DSB aus.
Sind Sie auf der Suche nach einem externen Datenschutzbeauftragten? Benötigen Sie Beratung für bestimmte Projekte rund um den Datenschutz? Haben Sie weitere Fragen zum Thema Datenschutz?
Kontaktieren Sie uns! Wir helfen Ihnen gerne.