Aktueller Channel Fokus:

Server & Hyperkonvergenz

Der DSB und die DSGVO

Was sind die Aufgaben eines Datenschutzbeauftragten?

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Gerade in vielen kleineren Unternehmen verstehen die Verantwortlichen die Aufgaben eines betrieb­lichen Datenschutz­beauftragten (DSB) noch immer falsch.
Gerade in vielen kleineren Unternehmen verstehen die Verantwortlichen die Aufgaben eines betrieb­lichen Datenschutz­beauftragten (DSB) noch immer falsch. (Bild: gemeinfrei / Pixabay)

Viele kleine Unternehmen sehen es als Erleichterung an, wenn sie nun nicht mehr verpflichtet sind, einen betrieblichen Datenschutzbeauftragten (DSB) zu benennen. Dies ist nicht nur eine Milchmädchenrechnung, sondern es zeigt, dass die Aufgaben eines DSB missverstanden werden. Es ist also höchste Zeit, sich Klarheit über die Aufgaben eines DSB zu verschaffen.

Bekanntlich hat der Bundestag das zweite Datenschutzanpassungs- und Umsetzungsgesetz EU (2. DSAnpUG) beschlossen, wonach unter anderem Unternehmen mit weniger als 20 Mitarbeitern künftig nicht mehr verpflichtet sind, einen Datenschutzbeauftragten (DSB) zu benennen.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit nannte es eine Milchmädchenrechnung, wenn kleine Unternehmen keinen Datenschutzbeauftragten mehr benennen müssen und dann glauben, Aufwände einsparen zu können. Sie begründete dies so: „Unternehmen fühlen sich bei der Umsetzung datenschutzrechtlicher Vorgaben oft allein gelassen. Ihnen ist jedoch nicht damit geholfen, ausgerechnet die Verpflichtung zu lockern, Datenschutz-Expertise im Betrieb sicherzustellen. Denn auch ohne die Bestellpflicht von Datenschutzbeauftragten müssen die komplexen Vorgaben der DSGVO vollumfänglich umgesetzt werden. Anderenfalls drohen Verstöße und Sanktionen.“

Wenn also ein Unternehmen denkt, ohne DSB weniger oder sogar keine Vorgaben der Datenschutz-Grundverordnung (DSGVO) einhalten zu müssen, dann irrt es sich gewaltig und gerät in Gefahr, gegen die DSGVO zu verstoßen und deshalb durch die zuständige Aufsichtsbehörde sanktioniert zu werden.

Bald kein Datenschutzbeauftragter in Kleinbetrieben mehr nötig

Änderungen der DSGVO

Bald kein Datenschutzbeauftragter in Kleinbetrieben mehr nötig

16.09.19 - Bei der Datenschutz-Grundverordnung (DSGVO) gibt es eine wesentliche Neuerung: Der Bundestag verdoppelte vor wenigen Wochen den Schwellenwert für die Ernennung eines betrieblichen Datenschutzbeauftragten. Damit sollen Kleinbetriebe von der Bürokratie entlastet werden. lesen

Der DSB ist nicht für den Datenschutz verantwortlich

Die Erleichterung, die die von der Änderung betroffenen Unternehmen zu unrecht verspüren, zeigt aber noch mehr: So manches Unternehmen glaubt, mit dem oder der DSB kommen die Datenschutz-Pflichten ins Unternehmen. Gleichzeitig denken sie dann, die oder der DSB sei verantwortlich für den Datenschutz.

Dabei ist die Verantwortung für den Datenschutz eindeutig in der DSGVO geregelt: Verantwortlich ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Kurz gesagt gilt für Unternehmen: Geschäftsführer, Vorstände bzw. Inhaber sind für die Umsetzung der DSGVO verantwortlich.

Rolle und Aufgaben des DSB werden missverstanden

Die Berliner Beauftragte für den Datenschutz beschreibt die Rolle eines DSB so: Datenschutzbeauftragte sorgen für kompetente rechtliche und technische Beratung. Sie helfen, Verstöße im Vorfeld zu verhindern und das Risiko von Bußgeldern und folgenschweren Verwaltungsanordnungen gering zu halten. Sie wirken als Mittler zwischen Unternehmen und Aufsichtsbehörde und sind bei Pannen die erste Ansprechperson, damit schnell und richtig gehandelt werden kann.

DSB sind also interne Berater für Datenschutzfragen, sie sind nicht die Stelle, die die Datenschutzvorgaben jenseits der in der DSGVO klar definierten Aufgaben eines Datenschutzbeauftragten zu erfüllen haben. Um es klar zu sagen, ein DSB ist nicht dafür zuständig, das Verzeichnis von Verarbeitungstätigkeiten zu führen, das muss der Verantwortliche, also die Geschäftsleitung machen. Natürlich wird diese Aufgabe gerne an den DSB delegiert, aber ein DSB sollte dies ablehnen, mit einem guten Argument: Ein DSB überwacht die Einhaltung der DSGVO, und sie oder er kann sich nicht selbst überwachen.

Das gleiche gilt zum Beispiel für die Meldung einer Datenschutzverletzung oder die Bearbeitung von Auskunftsersuchen durch Betroffene. Dies muss jeweils eine andere Stelle machen, die Geschäftsleitung ist verantwortlich, der DSB überwacht und berät.

Die DSGVO fordert in Artikel 24 explizit: „Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“

Dort steht nicht etwa „Der DSB setzt ...“.

Tatsächliche Aufgaben eines DSB

Ein gezielter Blick in die DSGVO verrät, welche Aufgaben ein DSB wirklich hat:

  • 1. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach DSGVO sowie nach sonstigen Datenschutzvorschriften der EU bzw. der Mitgliedstaaten
  • 2. Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der EU bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen
  • 3. Beratung - auf Anfrage - im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO
  • 4. Zusammenarbeit mit der Aufsichtsbehörde
  • 5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde

Eine weitere Aufgabe ist: Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß DSGVO im Zusammenhang stehenden Fragen zu Rate ziehen.

Wichtig dabei ist:

  • Die Geschäftsleitung muss sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
  • Die Geschäftsleitung unterstützt den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.
  • Die Geschäftsleitung stellt sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält.
  • Der Datenschutzbeauftragte darf von der Geschäftsleitung wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene im Unternehmen.
  • Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.
  • Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die Geschäftsleitung stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

DSB arbeitet risikoorientiert

Die DSGVO macht für die Erfüllung der oben genannten Aufgaben durch den DSB die Vorgabe, dass sie oder er die Aufgaben risikoorientiert wahrnimmt. Ein DSB trägt also bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Damit ist gemeint, dass der DSB bei seiner Arbeit eine Priorisierung vornimmt, die sich nach den Datenschutzrisiken richtet. Besonders riskante Vorgänge haben also Vorrang, in der Beratung und Überwachung, die risikoorientierte Umsetzung muss die Geschäftsleitung verantworten.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46181679 / Recht)