Was sind die Aufgaben eines Datenschutzbeauftragten?


Viele kleine Unternehmen sehen es als Erleichterung an, wenn sie nun nicht mehr verpflichtet sind, einen betrieblichen Datenschutzbeauftragten (DSB) zu benennen. Dies ist nicht nur eine Milchmädchenrechnung, sondern es zeigt, dass die Aufgaben eines DSB missverstanden werden. Es ist also höchste Zeit, sich Klarheit über die Aufgaben eines DSB zu verschaffen.

Bekanntlich hat der Bundestag das zweite Datenschutzanpassungs- und Umsetzungsgesetz EU (2. DSAnpUG) beschlossen, wonach unter anderem Unternehmen mit weniger als 20 Mitarbeitern künftig nicht mehr verpflichtet sind, einen Datenschutzbeauftragten (DSB) zu benennen.

Kleinbetriebe brauchen keinen Datenschutzbeauftragten mehr

Bundestag lockert Datenschutz

10.07.19 – Trotz Kritik von Datenschützern verabschiedete der Bundestag einen Gesetzentwurf, welcher den Schwellenwert für die Ernennung eines betrieblichen Datenschutzbeauftragten verdoppelt. Das soll dem Bürokratieabbau dienen. lesen

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit nannte es eine Milchmädchenrechnung, wenn kleine Unternehmen keinen Datenschutzbeauftragten mehr benennen müssen und dann glauben, Aufwände einsparen zu können. Sie begründete dies so: „Unternehmen fühlen sich bei der Umsetzung datenschutzrechtlicher Vorgaben oft allein gelassen. Ihnen ist jedoch nicht damit geholfen, ausgerechnet die Verpflichtung zu lockern, Datenschutz-Expertise im Betrieb sicherzustellen. Denn auch ohne die Bestellpflicht von Datenschutzbeauftragten müssen die komplexen Vorgaben der DSGVO vollumfänglich umgesetzt werden. Anderenfalls drohen Verstöße und Sanktionen.“

Wenn also ein Unternehmen denkt, ohne DSB weniger oder sogar keine Vorgaben der Datenschutz-Grundverordnung (DSGVO) einhalten zu müssen, dann irrt es sich gewaltig und gerät in Gefahr, gegen die DSGVO zu verstoßen und deshalb durch die zuständige Aufsichtsbehörde sanktioniert zu werden.

Der DSB ist nicht für den Datenschutz verantwortlich

Die Erleichterung, die die von der Änderung betroffenen Unternehmen zu unrecht verspüren, zeigt aber noch mehr: So manches Unternehmen glaubt, mit dem oder der DSB kommen die Datenschutz-Pflichten ins Unternehmen. Gleichzeitig denken sie dann, die oder der DSB sei verantwortlich für den Datenschutz.

Dabei ist die Verantwortung für den Datenschutz eindeutig in der DSGVO geregelt: Verantwortlich ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Kurz gesagt gilt für Unternehmen: Geschäftsführer, Vorstände bzw. Inhaber sind für die Umsetzung der DSGVO verantwortlich.

Das beste Tool ist der Datenschutzbeauftragte

Datenschutz-Instrumente nach DSGVO

14.06.19 – Viele Unternehmen suchen immer noch geeignete Tools und Verfahren, um die Datenschutz-Grundverordnung (DSGVO / GDPR) vollständig umsetzen und einhalten zu können. Dabei sollte nicht vergessen werden, wie wichtig der oder die betriebliche Daten­schutzbeauftragte ist. Eine Aufweichung der Pflicht zur Benennung eines Datenschutz­beauftragten wäre also kontraproduktiv. lesen

Rolle und Aufgaben des DSB werden missverstanden

Die Berliner Beauftragte für den Datenschutz beschreibt die Rolle eines DSB so: Datenschutzbeauftragte sorgen für kompetente rechtliche und technische Beratung. Sie helfen, Verstöße im Vorfeld zu verhindern und das Risiko von Bußgeldern und folgenschweren Verwaltungsanordnungen gering zu halten. Sie wirken als Mittler zwischen Unternehmen und Aufsichtsbehörde und sind bei Pannen die erste Ansprechperson, damit schnell und richtig gehandelt werden kann.

DSB sind also interne Berater für Datenschutzfragen, sie sind nicht die Stelle, die die Datenschutzvorgaben jenseits der in der DSGVO klar definierten Aufgaben eines Datenschutzbeauftragten zu erfüllen haben. Um es klar zu sagen, ein DSB ist nicht dafür zuständig, das Verzeichnis von Verarbeitungstätigkeiten zu führen, das muss der Verantwortliche, also die Geschäftsleitung machen. Natürlich wird diese Aufgabe gerne an den DSB delegiert, aber ein DSB sollte dies ablehnen, mit einem guten Argument: Ein DSB überwacht die Einhaltung der DSGVO, und sie oder er kann sich nicht selbst überwachen.

Das gleiche gilt zum Beispiel für die Meldung einer Datenschutzverletzung oder die Bearbeitung von Auskunftsersuchen durch Betroffene. Dies muss jeweils eine andere Stelle machen, die Geschäftsleitung ist verantwortlich, der DSB überwacht und berät.

Die DSGVO fordert in Artikel 24 explizit: „Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“

Dort steht nicht etwa „Der DSB setzt …“.

Online-Beratung als Entlastung des DSB

Beratung für Datenschutzbeauftragte

30.08.19 – Datenschutzbeauftragter (DSB) im Unternehmen ist eine gefragte Anlaufstelle, wenn es um Fragen zur Datenschutz-Grund­verordnung (DSGVO) geht. Doch jeder DSB hat nur begrenzt Zeit zur Verfügung. Eine Aufsichtsbehörde führt nun eine Online-Beratung ein, um den vielen Anfragen besser begegnen zu können. Grund genug, diese Möglichkeit auch für betriebliche Datenschutz­beauftragte zu überlegen. lesen

Tatsächliche Aufgaben eines DSB

Ein gezielter Blick in die DSGVO verrät, welche Aufgaben ein DSB wirklich hat:

  • 1. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach DSGVO sowie nach sonstigen Datenschutzvorschriften der EU bzw. der Mitgliedstaaten
  • 2. Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der EU bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen
  • 3. Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO
  • 4. Zusammenarbeit mit der Aufsichtsbehörde
  • 5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde

Eine weitere Aufgabe ist: Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß DSGVO im Zusammenhang stehenden Fragen zu Rate ziehen.

Wichtig dabei ist:

  • Die Geschäftsleitung muss sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
  • Die Geschäftsleitung unterstützt den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.
  • Die Geschäftsleitung stellt sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält.
  • Der Datenschutzbeauftragte darf von der Geschäftsleitung wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene im Unternehmen.
  • Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.
  • Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die Geschäftsleitung stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
Datenschutz als Zusatzaufgabe für den CISO?

Aufgaben und Stellung des CISO

07.05.19 – IT-Sicherheitsverantwortliche (CISOs) müssen bereits eine Fülle von Aufgaben wahrnehmen. Trotzdem wollen viele Unternehmen ihrem CISO noch mehr aufbürden. So scheint ein IT-Sicherheitsverantwortlicher durch die Fachkompetenz die Idealbesetzung für den CPO (Chief Privacy Officer) oder Datenschutz­beauftragten (DSB) zu sein. Aber ist das zulässig? lesen

DSB arbeitet risikoorientiert

Die DSGVO macht für die Erfüllung der oben genannten Aufgaben durch den DSB die Vorgabe, dass sie oder er die Aufgaben risikoorientiert wahrnimmt. Ein DSB trägt also bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Damit ist gemeint, dass der DSB bei seiner Arbeit eine Priorisierung vornimmt, die sich nach den Datenschutzrisiken richtet. Besonders riskante Vorgänge haben also Vorrang, in der Beratung und Überwachung, die risikoorientierte Umsetzung muss die Geschäftsleitung verantworten.





Source link

Related posts