Hauptinhalt

Aufgaben des Datenschutzbeauftragten

Mindestpflichten

Die Datenschutz-Grundverordnung sieht einen umfangreichen Aufgabenkatalog für den Datenschutzbeauftragten vor. Der überwiegende Teil der so genannten „Mindestpflichten“ ergibt sich aus Artikel 39 Absatz 1 Datenschutz-Grundverordnung. Die zentralen Aufgaben des Datenschutzbeauftragten liegen auch nach der Datenschutz-Grundverordnung bei der Kontrolle und Beratung. Die Zuständigkeit für die Herbeiführung datenschutzkonformer Zustände liegt jedoch weiterhin bei der Leitung der öffentlichen Stelle. Der Datenschutzbeauftragte kann nur Defizite ausfindig machen und die Leitungsebene darauf hinweisen.

Bestimmte Pflichten, die dem Datenschutzbeauftragten bisher nach § 11 Sächsisches Datenschutzgesetz obliegen, entfallen nach der Datenschutz-Grundverordnung. So führt der Datenschutzbeauftragte nicht mehr das Verfahrensverzeichnis (nach Datenschutz-Grundverordnung: Verzeichnis von Verarbeitungstätigkeiten) und er hat auch nicht mehr jedermann Auskunft darüber zu erteilen.

Die Mindestpflichten sind nicht abschließend. Weitere Pflichten, wie z. B. die Pflicht zur Führung des Verzeichnisses von Verarbeitungstätigkeiten, die generelle Beantwortung von Auskunftsersuchen durch den Datenschutzbeauftragten oder die Durchführung von Schulungsmaßnahmen können zusätzlich vereinbart werden. Die über den gesetzlich vorgesehenen Aufgabenkatalog vereinbarten Aufgaben sollten in jedem Fall schriftlich fixiert werden.

Eine Übertragung der Handlungsverantwortung (Linienfunktion) auf den Datenschutzbeauftragten ist jedoch nicht möglich, da er sich dann selbst kontrollieren müsste. Dies würde zu unzulässigen Interessenkollisionen führen.

Nach Artikel 39 Absatz 1 Datenschutz-Grundverordnung bestehen folgende Mindestpflichten:

Der Datenschutzbeauftragte hat gemäß Artikel 39 Absatz 1 Buchstabe a Datenschutz-Grundverordnung den Verantwortlichen und die konkret mit der Datenverarbeitung Beschäftigten hinsichtlich ihrer Pflichten nach der Datenschutz-Grundverordnung sowie nach den sonstigen Datenschutzvorschriften zu unterrichten und zu beraten. Dies war auch ein Teil der bisher geltenden allgemeinen Unterstützungspflicht nach § 11 Absatz 4 Sächsisches Datenschutzgesetz . Die Unterrichtung beinhaltet die allgemeine Information über die bestehenden datenschutzrechtlichen Pflichten. Die Beratung umfasst hingegen die Unterstützung bei der Lösung von konkreten datenschutzrechtlichen Fragen.

Wichtig: Die Schulung der Mitarbeiter, insbesondere die zielgerichtete Aufbereitung der für die konkret ausgeübte Tätigkeit relevanten datenschutzrechtlichen Informationen, ist nach der Datenschutz-Grundverordnung nicht mehr wie bisher nach § 11 Absatz 4 Nummer 2 Sächsisches Datenschutzgesetz Aufgabe des Datenschutzbeauftragten, sondern Aufgabe des für die Verarbeitung Verantwortlichen. Der Datenschutzbeauftragte hat in Bezug auf die Schulungen nur noch beratende bzw. kontrollierende Funktion. Der Verantwortliche hat jedoch die Möglichkeit, dem Datenschutzbeauftragten auch die Durchführung von Schulungen zu übertragen.

Weitere Aufgabe des Datenschutzbeauftragten ist gemäß Artikel 39 Absatz 1 Buchstabe b Datenschutz-Grundverordnung die Überwachung der Einhaltung des Datenschutzes, im Einzelnen die Einhaltung der Datenschutz-Grundverordnung, anderer Datenschutzvorschriften sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten.

Die Verpflichtung geht über die bisher nach § 11 Absatz 4 Nummer 1 Sächsisches Datenschutzgesetz geltende Pflicht hinaus, weil sie sich nicht mehr nur auf die Einhaltung der Datenschutzvorschriften im Zusammenhang mit der Planung, Einführung und Anwendung von automatisierten Verarbeitungsverfahren bezieht, sondern umfassend für jegliche Verarbeitung personenbezogener Daten gilt und auch die Kontrolle der Einhaltung der Datenschutzstrategien des Verantwortlichen umfasst, z. B. Dienstvereinbarungen und Dienstanweisungen. Die Kontrollbefugnis erstreckt sich auch auf die gewählte interne Zuständigkeitsverteilung. Der Datenschutzbeauftragte kann daher auch Einfluss auf die organisatorische Umsetzung des Datenschutzrechts nehmen.

Insofern erfährt die Funktion des Datenschutzbeauftragten eine erhebliche Ausweitung, die auch bei seiner Ausstattung mit Ressourcen zu berücksichtigen ist – insbesondere in der arbeitsintensiven Phase der Anpassung der Datenschutzorganisation an die Datenschutz-Grundverordnung.

Im Rahmen seiner Überwachungspflicht ist der Datenschutzbeauftragte insbesondere befugt,

  • Informationen zur Ermittlung von Datenverarbeitungstätigkeiten zu sammeln,
  • die Einhaltung der Vorgaben bei Datenverarbeitungstätigkeiten zu analysieren und zu kontrollieren sowie
  • den Verantwortlichen zu unterrichten und zu beraten und ihm Empfehlungen zu unterbreiten.

Überwachung der Einhaltung bedeutet jedoch nicht, dass der Datenschutzbeauftragte im Fall der Nichteinhaltung persönlich zur Verantwortung gezogen werden kann. Die Datenschutz-Grundverordnung bestimmt in Artikel 24 Absatz 1 Datenschutz-Grundverordnung klar, dass es Aufgabe des Verantwortlichen ist, geeignete organisatorische Maßnahmen umzusetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der Datenschutz-Grundverordnung erfolgt. Für die Einhaltung der datenschutzrechtlichen Bestimmungen ist somit nicht persönlich der Datenschutzbeauftragte verantwortlich. Er hat insoweit lediglich eine beratende und unterstützende Funktion.

Die Vorabkontrolle, für die bisher der Sächsische Datenschutzbeauftragte bzw. bei Vorhandensein eines Datenschutzbeauftragten dieser gemäß § 10 Absatz 4 Sächsisches Datenschutzgesetz zuständig ist, wird von der Datenschutz-Folgenabschätzung abgelöst. Die Durchführung der Datenschutz-Folgenabschätzung liegt gemäß Artikel 35 Absatz 1 Datenschutz-Grundverordnung in der Verantwortung des Verantwortlichen. Allerdings kann der Datenschutzbeauftragte dem Verantwortlichen Hilfestellung leisten. Artikel 35 Absatz 2 Datenschutz-Grundverordnung sieht ausdrücklich vor, dass der Verantwortliche bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten einholt. Artikel 39 Absatz 1 Buchstabe c Datenschutz-Grundverordnung wiederum überträgt dem Datenschutzbeauftragten die Aufgabe im Zusammenhang mit der Datenschutz-Folgenabschätzung zu beraten und deren Durchführung gemäß Artikel 35 Datenschutz-Grundverordnung zu überwachen.

Es wird empfohlen, dass der Datenschutzbeauftragte insbesondere dann zu Rate gezogen wird, wenn es um die Frage geht,

  • ob eine Datenschutz-Folgenabschätzung durchgeführt wird oder nicht,
  • welche Methoden bei der Durchführung einer Datenschutz-Folgenabschätzung angewendet werden sollte,
  • welche Sicherheitsvorkehrungen (einschließlich technischer und organisatorischer Maßnahmen) getroffen werden sollten, um bestehenden Bedrohungen der Rechte und Interessen der betroffenen Personen zu begegnen,
  • ob eine Datenschutz-Folgenabschätzung ordnungsgemäß durchgeführt worden ist und ob die daraus gezogenen Schlussfolgerungen im Einklang mit der Datenschutz-Grundverordnung stehen.

Falls der Verantwortliche der Empfehlung des Datenschutzbeauftragten nicht zustimmt, ist in der Dokumentation zur Datenschutz-Folgenabschätzung ausdrücklich schriftlich zu begründen, warum der Empfehlung nicht Folge geleistet wurde.

Wichtig: Durch entsprechende Organisationsregelungen sollten die Vorgehensweise bei der Durchführung von Datenschutz-Folgenabschätzungen festgelegt und die in dem Zusammenhang vom Datenschutzbeauftragten wahrzunehmenden Aufgaben und deren Umfang konkretisiert werden. Die Festlegungen sollten allen Beschäftigten zur Kenntnis gegeben werden.

Anders als bisher ist der Datenschutzbeauftragte durch Artikel 39 Absatz 1 Buchstabe d Datenschutz-Grundverordnung ausdrücklich zur Zusammenarbeit mit der Aufsichtsbehörde verpflichtet. Das bedeutet allerdings nicht, dass nun Datenschutzverstöße sofort dem Sächsischen Datenschutzbeauftragten zu melden sind. Die in dem Zusammenhang bestehenden Pflichten sind abschließend geregelt, insbesondere in Artikel 33 Datenschutz-Grundverordnung.

Der Datenschutzbeauftragte als interne Kontrollinstanz sollte in erster Linie intern versuchen, Maßnahmen zur Beseitigung von Datenschutzverstößen zu ergreifen. Er kann aber den Sächsischen Datenschutzbeauftragten z. B. beratend hinzuziehen, wenn er sich über die Auslegung von Datenschutzregelungen oder die Angemessenheit einzelner Datenschutzmaßnahmen im Unklaren ist. Damit ist der Datenschutzbeauftragte auch berechtigt, direkt mit der Aufsichtsbehörde zu kommunizieren.

Bei der Tätigkeit als Anlaufstelle für die öffentliche Stelle gemäß Artikel 39 Absatz 1 Buchstabe e Datenschutz-Grundverordnung handelt es sich um einen Unterfall der Kooperationspflicht. Der Datenschutzbeauftragte ist danach Anlaufstelle für alle im Zusammenhang mit der Verarbeitung stehenden Fragen, einschließlich vorheriger Konsultationen im Rahmen der Datenschutz-Folgenabschätzung.

Der Sächsische Datenschutzbeauftragte hat insbesondere die Möglichkeit, sich direkt an den Datenschutzbeauftragten zu wenden, ohne vorab etwa den Behördenleiter des Verantwortlichen kontaktieren zu müssen.

Aufgaben im Anpassungsprozess an die Datenschutz-Grundverordnung

Die Aufgaben des Datenschutzbeauftragten, die sich speziell im Anpassungsprozess an die Datenschutz-Grundverordnung ergeben, sind in der nachfolgenden Checkliste zusammengefasst.

Der Datenschutzbeauftragte als „Anwalt der Betroffenen“

Betroffene Personen können gemäß Artikel 38 Absatz 4 Datenschutz-Grundverordnung den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer Daten und mit der Wahrnehmung ihrer Rechte aus der Datenschutz-Grundverordnung im Zusammenhang stehenden Fragen zu Rate ziehen. Auch nach bisheriger Rechtslage ist der Datenschutzbeauftragte bereits Ansprechpartner für Betroffene – sowohl für die Beschäftigten der öffentlichen Stelle als auch für Dritte außerhalb der Stelle, wie z. B. Bürger, die sich mit Auskunftsersuchen oder Datenschutzbeschwerden an ihn wenden können.

Der Datenschutzbeauftragte ist verpflichtet, Datenschutzbeschwerden nachzugehen und die betroffene Person über das Ergebnis seiner Prüfung zu informieren. Bei festgestellten Datenschutzverletzungen hat er darauf hinzuwirken, dass diese abgestellt werden.

Gemäß Artikel 38 Absatz 5 Datenschutz-Grundverordnung ist der Datenschutzbeauftragte nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung und Vertraulichkeit gebunden. Die Verschwiegenheitspflichten des Datenschutzbeauftragten ergeben sich aus § 203 Strafgesetzbuch.

Pflicht zur risikoorientierten Tätigkeit

Neu ist der risikobasierte Ansatz gemäß Artikel 39 Absatz 2 Datenschutz-Grundverordnung. Der Datenschutzbeauftragte hat danach bei der Erfüllung seiner Aufgaben den mit den Verarbeitungsvorgängen verbundenen Risiken für die persönlichen Rechte und Freiheiten betroffener Personen gebührend Rechnung zu tragen, wobei Art und Umfang, Umstände und Zwecke der Verarbeitung zu berücksichtigen sind.

Dieser Ansatz soll dem Datenschutzbeauftragten dabei helfen, den Verantwortlichen darüber zu beraten, nach welcher Methode bei einer Datenschutz-Folgenabschätzung vorgegangen werden sollte, welche internen Schulungen für welche Gruppen von Beschäftigten durchgeführt werden sollten und welche Datenverarbeitungsvorgänge mehr Ressourcen benötigen.

Empfehlung: Der Datenschutzbeauftragte sollte seine Aufgaben in einem Katalog anhand einer Gegenüberstellung der Verarbeitungsaktivitäten und der zu erwartenden Risiken nach Priorität ordnen und seine Bemühungen in erster Linie auf Fragen konzentrieren, von denen größere Bedrohungen für den Datenschutz ausgehen. Die Überwachung der Einhaltung von Vorschriften bei vergleichsweise weniger risikobehafteten Datenverarbeitungsvorgängen ist dennoch nicht zu vernachlässigen.

 

zurück zum Seitenanfang