Inhaltsverzeichnis
- 1 Aufgabenbereich des Datenschutzbeauftragten
- 2 Aufgaben im Einzelnen
- 2.1 Erstellung von Richtlinien
- 2.2 Durchführung einer Datenschutz-Folgenabschätzung
- 2.3 Erstellung des Verzeichnisses der Verarbeitungstätigkeiten
- 2.4 Datenschutzvorfälle und Betroffenenanfragen
- 2.5 Datenschutzrechtliche Mitarbeiterschulungen
- 2.6 Mitwirkung bei Mitarbeiterkontrollen
- 2.7 Der Datenschutzbeauftragte und der Betriebsrat
- 3 Praktische Umsetzung
- 4 Stellung des Datenschutzbeauftragten
- 5 Der Schlüssel zur Umsetzung der DSGVO
Kurz und bündig
- Der Datenschutzbeauftragte berät den Verantwortlichen in allen datenschutzrechtlichen Belangen und unterstützt ihn bei der Umsetzung der datenschutzrechtlichen Anforderungen.
- Der Datenschutzbeauftragte ist Ansprechpartner sowohl für den Arbeitgeber als auch für die Arbeitnehmer oder den Betriebsrat. Auch Externe, wie Kunden, Vertragspartner oder Lieferanten können sich an den Datenschutzbeauftragten wenden.
- Ebenso sollte der Datenschutzbeauftragte bei der Schulung der Mitarbeiter eingebunden werden. So können die Mitarbeiter mit den datenschutzrechtlichen Anforderungen ihrer täglichen Arbeit vertraut gemacht werden.
- Der Datenschutzbeauftragte arbeitet zugleich mit der Aufsichtsbehörde zusammen, er ist Anlaufstelle für die Aufsichtsbehörde im Zusammenhang mit allen datenschutzrechtlichen Fragestellungen.
Aufgabenbereich des Datenschutzbeauftragten
Der Datenschutzbeauftragte dient gewissermaßen der Selbstkontrolle des Verantwortlichen. Er soll durch Beratung und Überwachung einen effektiven Schutz personenbezogener Daten sicherstellen. Um diese Kontrolle zu gewährleisten, ist er bei der Erfüllung seiner Aufgaben weisungsfrei. Er ist aber auch nicht weisungsbefugt, d.h. er trifft keine selbstständigen Entscheidungen über die Umsetzung des Datenschutzes. Vielmehr bleibt der Verantwortliche seinem Namen entsprechend für die Einhaltung der datenschutzrechtlichen Pflichten verantwortlich.
Der Datenschutzbeauftrage muss für die Erfüllung seiner Aufgaben über ausreichend Fachwissen verfügen. Als Merksatz gilt: Je umfangreicher und komplexer die Verarbeitungsvorgänge eines Unternehmens sind, desto umfangreicher sollte das Fachwissen des Datenschutzbeauftragten sein.
Unterrichtung und Beratung
Unterrichtung bedeutet die Pflicht zur allgemeinen Aufklärung über datenschutzrechtliche Pflichten. Beratung bedeutet die Unterstützung bei der Lösung konkreter Probleme. Diese Pflichten besteht gegenüber dem Verantwortlichen selbst und seinen Mitarbeitern. Zur regelmäßigen Unterrichtung der Mitarbeiter kann der Versand einer regelmäßigen Rund-E-Mail oder eines Newsletters sinnvoll sein.
Überwachung
Der Datenschutzbeauftragte muss gewissermaßen als Außenstelle der Aufsichtsbehörde „ein Auge“ auf die der Einhaltung datenschutzrechtlicher Vorgaben in der Organisation/Unternehmen haben.
Überwachungsmaßnahmen sind u.a.:
- die Zuweisung von Zuständigkeiten
- die Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter; und
- die diesbezüglichen Überprüfungen.
An der Vielzahl der Verarbeitung personenbezogener Daten eines Mitarbeiters lässt sich der Umfang der Überwachungspflicht erahnen. So beginnt beispielsweise die erste Verarbeitung personenbezogener Daten mit der Bewerbung. Im Laufe der Anstellung kommt es bei dem Mitarbeiter dann zu zahlreichen weiteren Datenverarbeitungsvorgängen, seien es Krankschreibungen, ggf. Leistungskontrollen oder Erfassung der Arbeitszeiten etc.
Hinzukommen Verarbeitungstätigkeiten gegenüber Kunden, Lieferanten, Geschäftspartnern etc. Zudem müssen alle Mittel der Verarbeitung überwacht werden (bspw. verschiedene Datenbanken, Videoüberwachungen, Webseitentracking, Apps). Hinsichtlich dieser Verarbeitungstätigkeiten muss u.a. die rechtmäßige Erhebung, die sichere Verarbeitung und die fristgerechte Löschung überwacht werden. In ihrer Gesamtheit betrachtet sind die zu überwachenden Verarbeitungstätigkeiten sehr umfassend. Zudem sollten zur effektiven Überwachung regelmäßig Vor-Ort-Kontrollen der Einhaltung datenschutzrechtlicher Vorgaben bei den Mitarbeitern durchgeführt werden. Dies sollte dokumentiert werden, um nachzuweisen, dass der Datenschutzbeauftragte seine Überwachungsarbeit ordnungsgemäß erfüllt hat.
Der Aufgabenbereich des Datenschutzbeauftragten ist durch die DSGVO gewachsen. Musste er früher nur auf die Einhaltung der datenschutzrechtlichen Vorschriften „hinwirken“, so muss er nach neuer Rechtslage zur Einhaltung des Datenschutzrechts beraten, unterrichten und dies überwachen.
Der Datenschutzbeauftragte hat allerdings keine Weisungsbefugnis. Er kann die Geschäftsführung nicht anweisen, seinen Empfehlungen Folge zu leisten. Der Datenschutzbeauftragte dokumentiert allerdings seine Empfehlungen, sodass er im Fall der Fälle nachweisen kann, dass er ordnungsgemäß gearbeitet hat.
Aufgaben im Einzelnen
Erstellung von Richtlinien
Der Datenschutzbeauftragte berät er bei der Konzipierung rechtlicher Dokumente mit datenschutzrechtlichem Bezug. Konkret können das beispielsweise Betriebsvereinbarungen, Richtlinien/interne Regelungen z.B. zur privaten Internet und E-Mail Nutzung sein, zum Umgang mit Betroffenenanfragen oder eine allgemeine Datenschutzrichtlinie sein.
Wesentlich ist auch seine Beratungstätigkeit bei der der Erstellung von Datenschutzerklärungen zur Erfüllung der Informationspflichten, z.B. für die Webseite oder für Bewerber. Die Erstellung einer Datenschutz-Dokumentation ist ein entscheidender Baustein bei der Erfüllung der datenschutzrechtlichen Nachweis- und Rechenschaftspflichten. Nur so kann in der Regel der Nachweis geführt werden, dass in einem Unternehmen der Datenschutz „gelebt“ wird.
Durchführung einer Datenschutz-Folgenabschätzung
Der Verantwortliche hat bei bestimmten Datenverarbeitungen eine Datenschutz-Folgenabschätzung durchzuführen. Bei einer solchen Datenschutz-Folgenabschätzung holt der Verantwortliche den Rat des Datenschutzbeauftragten ein, z.B. ob eine Datenschutz-Folgenabschätzung erforderlich ist, zum Vorgehen bei Rückfragen und bei der vorherigen Konsultation der Aufsichtsbehörden. Er muss nach dem Gesetzeswortlaut daher frühzeitig und ordnungsgemäß in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden werden.
Erstellung des Verzeichnisses der Verarbeitungstätigkeiten
Verantwortliche sowie Auftragsverarbeiter haben ein Verarbeitungsverzeichnis anzulegen. Dieses Verarbeitungsverzeichnis kann je nach Größe des Unternehmens sehr umfassend werden. Der Datenschutzbeauftragte berät bei der Erstellung des Verzeichnisses und kann das Verzeichnis auf Schlüssigkeit überprüfen. Die eigentliche Erstellungsarbeit fällt allerdings nicht in den Aufgabenbereich des Datenschutzbeauftragten.
Datenschutzvorfälle und Betroffenenanfragen
Die Unterstützung des Datenschutzbeauftragten wird oftmals auch für die Etablierung wichtiger Prozesse und Berichtslinien benötigt. Die kurze Frist für die Meldung von Datenschutzverstößen von lediglich 72 Stunden macht es fast unumgänglich, effektive Prozesse einzuführen, sodass jeder Mitarbeiter sofort weiß, wann ein Datenschutzvorfall vorliegt und wie der Datenschutzbeauftragte dann einzubeziehen ist. Auch die relativ kurze Zeitspanne von einem Monat für die Bearbeitung von Betroffenenanfragen erfordert einen Prozess, durch den Zuständigkeiten und eine etwaige Einbeziehung des Datenschutzbeauftragten im Vorfeld genau festgelegt wird.
Der Verantwortliche bleibt zuständig für die Umsetzung der datenschutzrechtlichen Vorgaben. Der Datenschutzbeauftragte steht „nur“ beratend zur Seite und überwacht die Einhaltung des Datenschutzes.
Der Verantwortliche kann daher die Verantwortung für die Umsetzung der datenschutzrechtlichen Vorgaben nicht auf den Datenschutzbeauftragten „abwälzen“. Eine gute Kooperation ist für den Erfolg entscheidend.
Datenschutzrechtliche Mitarbeiterschulungen
Dem Datenschutzbeauftragten obliegt zudem die Unterrichtung und Beratung der Mitarbeiter. Dies ist abzugrenzen von der Schulung der Mitarbeiter. Die Schulung der Mitarbeiter obliegt dem Verantwortlichen. Der Datenschutzbeauftragte muss nur deren ordnungsgemäße Durchführung überwachen. Da die Grenze zwischen Unterrichtung und Schulung jedoch fließend ist, sollte der Datenschutzbeauftragte zumindest in die Konzipierung der Schulungen eingebunden werden.
Der Datenschutzbeauftragte übernimmt auch häufig selbst die Schulungen der Mitarbeiter. Er kann dabei gut auf Fragen aus dem Arbeitsalltag eingehen. Zudem haben Schulungen einen vertrauensbildenden Effekt, sodass Mitarbeiter eine geringere Hemmschwelle haben auf den Datenschutzbeauftragten zuzugehen. Die Schulungen können dabei allgemein gehalten werden oder bei Bedarf bereichsspezifisch z.B. Datenschutz im Gesundheitsbereich, im Marketing oder internationaler Datenaustausch.
Außerdem kann hilfreich sein, wenn der Datenschutzbeauftragte auch konkrete Hilfestellung am Arbeitsplatz leistet, indem er Mitarbeitern direkt am Arbeitsplatz erklärt, worauf sie konkret achten müssen.
Mitwirkung bei Mitarbeiterkontrollen
Ist beispielsweise eine private Internet- und E-Mail Nutzung verboten oder wird ein Missbrauch befürchtet, sind Kontrollen seitens des Arbeitsgebers erforderlich. Damit alle Rechte der Arbeitnehmer gewahrt werden, ist der Datenschutzbeauftragte in diese Kontrollen mit einzubeziehen.
Der Datenschutzbeauftragte und der Betriebsrat
Auch die Beratung des Betriebsrates fällt in den Aufgabenbereich des Datenschutzbeauftragen. An dieser Stelle wird der Datenschutzbeauftragte neben seiner fachlichen Beratungsleistung gelegentlich auch sein Vermittlungsgeschick unter Beweis stellen können.
Der Datenschutzbeauftragte kann auch über seine gesetzlichen Pflichten weitere Aufgaben wahrnehmen, bspw. die Schulung der Mitarbeiter.
Der Datenschutzbeauftragte darf bei seiner Tätigkeit nicht in Interessenkonflikte geraten. Das ist bspw. der Fall, wenn ein Geschäftsführer die Position des Datenschutzbeauftragten einnehmen würde, da er dann eine Selbstkontrolle durchführen würde.
Praktische Umsetzung
Bereitstellung ausreichender Ressourcen
Dem Wortlaut des Gesetzes nach soll der Datenschutzbeauftragte schon bei seiner Benennung über das erforderliche Fachwissen zur Erfüllung seiner Aufgaben verfügen. Es ist jedoch oft praxisfern, zu verlangen, dass der Datenschutzbeauftragte von Anfang an umfangreiche Kenntnisse mitbringt, da viele Fragestellung erstmalig in der Praxis auftauchen. Es ist daher vertretbar, dass der Datenschutzbeauftragte das Fachwissen während einer Einarbeitungsphase erwirbt. Dem Datenschutzbeauftragten müssen zur Erfüllung seiner Aufgaben die erforderlichen Ressourcen durch den Verantwortlichen zur Verfügung gestellt werden.
Hierzu gehören:
- Ausreichend Zeit für die Tätigkeit
- ggf. ein eigenes Budget, z.B. zur Beauftragung von Dienstleistern
- ggf. eigenes Personal, je nach Größe der Organisation
- Infrastruktur, z.B. Räume, Drucker, Computer
- Fortbildungen, z.B. Workshops, Messen, Lehrgänge und Fachliteratur
Als Merksatz gilt: Je umfangreicher und komplexer die Verarbeitungsvorgänge eines Unternehmens sind, desto umfangreicher sollten die Ressourcen und das Fachwissen des Datenschutzbeauftragten sein. Welche genauen Voraussetzungen der Datenschutzbeauftragte für die Erfüllung seiner Aufgaben mitbringen muss, können Sie detailliert in dem Infoblatt „Benennung des Datenschutzbeauftragten“ nachlesen. Sollten Sie „diese Mühen“ scheuen, kann auch ein externer Datenschutzbeauftragter benannt werden, der aufgrund einer entsprechenden Ausbildung bereits über umfangreiches Fachwissen verfügt.
Bewährte organisatorische Maßnahmen
Sinnvolle Maßnahmen zur effektiven und unbürokratischen Erfüllung der Aufgaben durch den Datenschutzbeauftragten können sein:
- Ein Jour Fixe mit dem obersten Management
- Frühzeitige Einbeziehung bei Entscheidungen mit datenschutzrechtlichen Relevanz, z.B. bei der Einführung von Richtlinien, Aufnahme neuer Verarbeitungen
- Etablierung von internen Berichtslinien zum Datenschutzbeauftragten
- Unbeschränkten Zugang zu relevanten Informationen
Stellung des Datenschutzbeauftragten
Anlaufstelle für „Interne“ und „Externe“
Der Datenschutzbeauftragte ist der vorrangige Ansprechpartner, wenn es um datenschutzrechtliche Fragestellungen geht. Er unterstützt und berät intern den Arbeitgeber, die Arbeitnehmer und den Betriebsrat. Ebenso muss er aber auch „extern“ für Kunden, Lieferanten und weitere betroffene Personen erreichbar sein, um bspw. Auskünfte zu datenschutzrechtlichen Fragestellungen zu erteilen.
Es sollte daher sichergestellt werden, dass die Kontaktdaten des Datenschutzbeauftragten leicht auffindbar sind. Hierzu bietet sich eine permanente Abrufbarkeit der Kontaktdaten auf der Webseite, im Intranet oder auf Beiblättern zu Verträgen an. Die Kontaktdaten sollten die Postanschrift und die E-Mail-Adresse enthalten, die Telefonnummer kann fakultativ angegeben werden.
Ansprechpartner der Aufsichtsbehörde
Der Datenschutzbeauftragte ist gewissermaßen als „Außenstelle der zuständigen Aufsichtsbehörde“ dafür zuständig, die Einhaltung datenschutzrechtlicher Vorgaben in den Unternehmen oder anderen Organisationen sicherzustellen. Er soll ein kompetenter Ansprechpartner der Aufsichtsbehörden bei Anfragen, Kontrollen und für vorherige Konsultationen der Aufsichtsbehörde bei besonders riskanten Verarbeitungen sein. Es besteht daher auch die Pflicht, die Kontaktdaten des Datenschutzbeauftragten der Aufsichtsbehörde zu melden.
Der Schlüssel zur Umsetzung der DSGVO
Der Aufgabenbereich des Datenschutzbeauftragten ist durch die DSGVO gewachsen. Der Datenschutzbeauftragte arbeitet weiterhin weisungsfrei, um seine Aufgaben unbeeinflusst erfüllen zu können. Er ist aber auch nicht weisungsbefugt, d.h. für die Umsetzung seiner Empfehlungen bleibt der Verantwortliche zuständig. Die gute Kooperation zwischen der Geschäftsführung und dem Datenschutzbeauftragten ist daher entscheidend für die effiziente Umsetzung der datenschutzrechtlichen Pflichten in einem Unternehmen. Der Datenschutzbeauftragte sollte dabei über die erforderliche fachliche Eignung verfügen, um auch bei komplexeren Datenverarbeitungen kompetent beraten zu können.