Welche Aufgaben hat ein Datenschutzbeauftragter?
Allgemein gefasst soll der Datenschutzbeauftragte dafür sorgen, dass alle datenschutzrechtlichen Anforderungen an das Unternehmen eingehalten werden, während es personenbezogene Daten verarbeitet.
Obwohl Unternehmen ihn selbst bestellen und bezahlen müssen, soll er als unabhängiges Kontrollorgan fungieren. Er überprüft die Prozesse bei der Verarbeitung personenbezogener Daten. Stellt er Verstöße gegen das Bundesdatenschutzgesetz (BDSG) oder die EU-DSGVO fest, so muss er Maßnahmen entwickeln, um sie zu beheben.
Insbesondere erfüllt er folgende Aufgaben:
- Pflicht zur Kontrolle und Überwachung: Dem Datenschutzbeauftragten obliegt die gesamtheitliche Pflicht zur Einhaltung des Datenschutzes. Er dient als allgemeiner Ansprechpartner und intellektueller Kopf des Datenschutzes eines Unternehmens. Um seine Arbeit ausführen zu dürfen, muss er akkreditiert sein und regelmäßig Fort- und Weiterbildungen besuchen. Alle Prozesse und Personen, die mit personenbezogenen Daten in Berührung kommen, muss er überwachen, ferner die Einhaltung der Datenschutzgesetze.
- Aufbau der Datenschutzorganisation: Als Datenschutzverantwortlicher muss er die Organisation des Datenschutzes aufbauen, regelmäßig überprüfen und kontinuierlich den gesetzlichen Änderungen anpassen. Dazu gehört die Bekanntmachung von Änderungen gegenüber dem beteiligten Personal.
- Zusammenarbeit mit der Datenschutzbehörde: In bestimmten Szenarien hat der Datenschutzbeauftragte bei der Aufsichtsbehörde Meldung zu machen oder sich mit Fragen an sie zu wenden. Sie hat neben der Überwachung auch eine beratende Funktion.
- Ansprechpartner zum Thema Datenschutz: Bei externen oder internen Fragen zu jeglichen datenschutzrechtlichen Anliegen ist der Datenschutzbeauftragte der Ansprechpartner.
- Planung datenschutzrechtlicher Anforderungen neuer Unternehmensprozesse: Plant das Unternehmen eine Änderung von Prozessen, welche die personenbezogenen Daten betreffen, hat die Geschäftsführung dem Datenschutzbeauftragen dies zeitig mitzuteilen. Seine Aufgabe ist es, die neuen Prozesse so mitzugestalten, dass sie im Einklang mit den anzuwendenden Datenschutzgesetzen stehen.
- Schulung der Mitarbeiter: Da er die Organisation des Datenschutzes eines Unternehmens zwar planen, aber nicht alleine umsetzen kann, muss der Datenschutzbeauftragte die Mitarbeiter so schulen und sensibilisieren, dass die Anforderungen der Gesetze erfüllt werden.
- Vorabkontrolle bei Erhebung personenbezogener Daten: In bestimmten Situationen ist eine Vorabkontrolle vor der eigentlichen Erhebung notwendig, wenn es sich um sensible Daten handelt.
- Verfügung über Verfahrensverzeichnisse: Als Gesamtverantwortlicher hat der Datenschutzbeauftragte einen kontinuierlichen Überblick über alle Verfahrensverzeichnisse zu haben. Auf Antrag muss er berechtigten Personen diese zur Verfügung stellen.
- Überwachung der Entsorgung und Löschung von Daten: Die rechtmäßige Entsorgung und Löschung personenbezogener Daten muss er ebenfalls überwachen. Den verantwortlichen Mitarbeitern hat er Methoden zur Erfüllung dieser Pflichten zur Verfügung zu stellen.
- Pflicht zu Verschwiegenheit Der Datenschutzbeauftragte unterliegt der Verschwiegenheitspflicht.
Arten von Datenschutzbeauftragten
Es gibt unterschiedliche Arten von Datenschutzbeauftragten. Zunächst kann zwischen der Organisation unterschieden werden, für die sie tätig sind. Behörden müssen Datenschutzbeauftragte ebenso bestellen wie Unternehmen.
Die grundlegende Frage, die sich für Unternehmen stellt ist, ob ein Angestellter als Datenschutzbeauftragter ausgebildet oder ein externer Datenschutzbeauftragter bestellt wird.
Interner oder externer Datenschutzbeauftragter – Was ist wirtschaftlicher?
Das Gesetz lässt Unternehmern freie Hand, ob sie einen internen Mitarbeiter zum Datenschutzbeauftragten ausbilden oder einen externen Dienstleister beauftragen. Da die Umschulung zum Fachmann des Datenschutzes enorme zeitliche und finanzielle Ressourcen in Anspruch nimmt und zudem der Mitarbeiter aus anderen Aufgabenbereichen abgezogen werden muss, empfiehlt sich fast immer die Bestellung eines externen Datenschutzbeauftragten. Beide bringen Vor- und Nachteile mit sich.
Angestellter Datenschutzbeauftragter
Die Bestellung eines angestellten Datenschutzbeauftragten hat den Vorteil, dass keine Einarbeitung in die internen Prozesse notwendig ist. Er ist im Optimalfall schon länger im Unternehmen tätig und vor allem mit den Tätigkeiten vertraut, in deren Rahmen personenbezogene Daten erhoben werden. Handelt es sich hierbei um komplexe technische Prozesse, die etwa in aufwendiger Programmierarbeit aufgesetzt wurden, ist ein interner für die Aufgabe prädestiniert.
Andererseits muss der Umfang der Fortbildungsmaßnahmen berücksichtigt werden, die notwendig sind, um den Mitarbeiter zur Überwachung und Umsetzung aller Anforderungen der komplexen Datenschutzgesetze zu befähigen. Zudem ist auch nachteilig, dass der interne Mitarbeiter von seinen eigentlichen Aufgaben zumindest teilweise entbunden werden muss. Oft ist die Bestellung eines externen Mitarbeiters günstiger als die Umschulung und Bestellung von Fachpersonal aus dem operativen Betrieb.
Externer Datenschutzbeauftragter
Ein externer Datenschutzbeauftragter hat den Vorteil, dass er keine Weiterbildung benötigt, die vom Unternehmen finanziert werden müsste. Sie beauftragen einen akkreditierten und erfahrenen Datenschutzexperten, der die erforderlichen Schulungsmaßnahmen bereits abgeschlossen und vertiefte juristische Erfahrungen hat. Zudem fungiert er mit hoher Wahrscheinlichkeit in mehreren Unternehmen als Datenschutzbeauftragter. Für die gängigen Prozesse ähnlicher Unternehmen hat der Profi bereits passende Lösungen entwickelt und kann dieses Wissen einbringen. Dabei ist er zur Verschwiegenheit verpflichtet.
Firmen und Organisationen, die selbst mit technischen Prozessen personenbezogene Daten verarbeiten und dafür spezialisiertes technisches Fachwissen bereithalten, könnten in Erwägung ziehen, einen internen Mitarbeiter zu schulen. Allerdings wird lediglich ein kleiner Bruchteil diese Anforderungen erfüllen. Der absolute Großteil der Unternehmen arbeitet wirtschaftlicher, wenn ein externer Datenschutzbeauftragter bestellt wird.
Anforderungen für Datenschutzbeauftragte seit dem 25. Mai 2018
Seit 25. Mai 2018 müssen Unternehmen reagieren, weil einerseits Abmahnungen von Wettbewerbern sowie deutlich drastischere Sanktionen zu erwarten sind.
Geringe Änderung der Anforderungen, deutlich höhere Sanktionen
Mit dem Inkrafttreten der EU-DSGVO müssen die Kontaktdaten des Datenschutzbeauftragten öffentlich einsehbar sein. Werden beispielsweise über die Webseite personenbezogene Daten erhoben, so ist eine Darstellung der Daten dort verpflichtend. Interne Mitarbeiter müssen ebenfalls Zugriff haben, um den Beauftragten kontaktieren zu können. Zudem ist eine Übermittlung der Kontaktdaten an die Datenschutzbehörde vorgesehen.
Aufgabenfeld auf Überwachung ausgeweitet
Vor der DSGVO war es die Aufgabe des Datenschutzbeauftragten, zu beraten. Das Aufgabenfeld wurde ausgeweitet. Eine Überwachung der Strukturen und Prozesse ist notwendig. Der Verantwortungsbereich des Datenschutzbeauftragten wurde ausgedehnt. Finden Datenschutzverstöße statt, etwa mutwillig durch die oberste Management-Ebene, so muss er mit Nachdruck zur Abänderung drängen.
Bündelung bei Holding möglich
Zusammengeschlossene Unternehmensgruppen können einen gemeinsamen Datenschutzbeauftragten benennen. Voraussetzung für die Bündelung der Verantwortung ist eine einfache Erreichbarkeit für alle Mitarbeiter (Art. 37 Abs. 2 DSGVO). Außerdem muss die Verarbeitung der Daten vorher gemeinsam erfolgt sein.
Drastische Erhöhung des Strafmaßes
Letztendlich ist die Erhöhung des Strafmaßes bei Datenschutzverstößen eine wichtige Neuerung im Datenschutzrecht. Das Risiko der Tätigkeit als Datenschutzbeauftragter hat somit enorm zugenommen. Direkte Klagen sind neben den erhöhten Geldbußen auch gegenüber Unternehmen möglich.
Dein Kommentar
An Diskussion beteiligen?Hinterlasse uns Deinen Kommentar!