Was sind die Datenschutzbeauftragter Aufgaben und Pflichten im Unternehmen?

Zu den wesentlichen Aufgaben und Pflichten eines Datenschutzbeauftragten (DSB) zählen die Kontrolle sowie Überwachung der Abläufe im Unternehmen hinsichtlich der Einhaltung relevanter Datenschutzbestimmungen. Mit der seit 2018 geltenden Datenschutzgrundverordnung (DSGVO) wurde in der gesamten EU erstmalig ein einheitlicher Umsetzungsrahmen für den Datenschutz sowie die Datenverarbeitung geschaffen. In Deutschland wird die DSGVO durch eine Neufassung des Bundesdatenschutzgesetzes (BDSG neu) ergänzt. Europarechtliche Grundlage bilden die Rechte und Freiheiten von Betroffenen, die in Deutschland ihre verfassungsrechtliche Grundlage im Recht auf informationelle Selbstbestimmung finden, d.h. dem Recht, selbst über die Preisgabe und Verwendung der eigenen (personenbezogenen) Daten zu bestimmen. Auch die Bestellung eines betrieblichen Datenschutzbeauftragten ist gemäß der DSGVO 2018 unter bestimmten Voraussetzungen gefordert.

Aber welche Aufgaben übernimmt der Datenschutzbeauftragte im Unternehmen und unter welchen Voraussetzungen muss eine Bestellung eines Datenschutzbeauftragten erfolgen? Viele Unternehmen wissen nicht sicher, inwieweit sie einen Beauftragten für Datenschutz benötigen oder was sich alles hinter dem Thema Datenschutz verbirgt. Die Folge – das Thema Datenschutz wird von vielen Unternehmen unterschätzt. Jedoch kann die mangelnde Einhaltung des Datenschutzes sehr teuer werden. Auf dieser Seite zeigen wir Ihnen deshalb, wann ein Datenschutzbeauftragter bestellt werden muss, welche Aufgaben bei dieser Tätigkeit typischer Weise bestehen und wie Sie die aktuell geltenden Datenschutzgesetze im eigenen Unternehmen umsetzen.

---

---

Welche Aufgaben übernimmt ein Datenschutzbeauftragter gemäß Artikel 39 DSGVO?

Die Aufgaben des Datenschutzbeauftragten führt die Datenschutzgrundverordnung in Art. 39 auf:

• Unterrichtung und Beratung der Unternehmensleitung und der Mitarbeiter hinsichtlich der Pflichten, die sich aus der DSGVO und anderen geltenden Datenschutzbestimmungen ergeben
• Überwachung der Einhaltung von Datenschutzvorschriften und datenschutzrechtlichen Vorgaben
• Kontrolle der Strategien zum Schutz personenbezogener Daten, insbesondere hinsichtlich:
  • Zuweisung von Zuständigkeiten
  • Sensibilisierung und Schulung zuständiger Mitarbeiter
  • Überprüfungen (z.B. internes Kontrollsystem)
• Zusammenarbeit mit der Aufsichtsbehörde

Daneben kann ein Datenschutzbeauftragter noch weitere Pflichten übernehmen. Zu diesen zählen bspw.:

• Unterrichtung und Beratung hinsichtlich Datenschutzpflichten, Zielgruppen
  • Verantwortlicher
  • Auftraggeber
  • Beschäftigte
• Beratung Betroffener hinsichtlich Fragen und ihrer Rechte im Bereich des Datenschutzes
• Beratung bei Datenschutz-Folgenabschätzung (auf Anfrage; Pflicht Verantwortlicher zur Konsultation)

Zusammenfassend ist festzuhalten, dass der DSB insbesondere bei strategischer Ausrichtung des Verantwortlichen beim Thema Datenschutz / datenschutzrechtlichen Fragen sowie bei DSGVO-spezifisch zugewiesenen Themenfeldern berät/überwacht. Im Rahmen der Überwachung nimmt der Datenschutzbeauftragte – ergänzend zur Tätigkeit der Aufsichtsbehörde – eine eigenständige Überwachungsfunktion wahr. Dabei erfolgt insbesondere die Durchführung der Kontrolltätigkeiten durch den DSB risikobasiert.

---

Wann muss ein Datenschutzbeauftragter benannt werden?

Wie eingangs bereits erwähnt, ist die Benennung eines betrieblichen Datenschutzbeauftragten gemäß der Datenschutzgrundverordnung unter bestimmten Bedingungen erforderlich. Zu finden sind die Voraussetzungen unter Art. 37 DSGVO “Benennung eines Datenschutzbeauftragten”. Demnach ist eine Datenschutzbeauftragter Benennung zwingend erforderlich, wenn:

• die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
• die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
• die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Datenverarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Unternehmensgruppen haben die Möglichkeit, einen gemeinsamen Datenschutzbeauftragten zu benennen, wenn dieser von jeder Niederlassung aus leicht erreicht werden kann. Der Beauftragte für Datenschutz kann dabei aus dem eigenen Unternehmen stammen oder als externer Beauftragter bestellt werden. Wichtig ist nur, dass der Datenschutzbeauftragte die erforderlichen beruflichen Qualifikationen und das nötige Fachwissen mitbringt, Nur so kann er nämlich die Datenschutzbeauftragter Aufgaben ordnungsgemäß erfüllen.

---

---

Die Datenschutzbeauftragter Aufgaben im Zusammenhang mit dem PDCA Zyklus

Wie auch bei anderen Managementsystemen spielt der PDCA Zyklus auch bei der Umsetzung eines Datenschutzmanagementsystems und somit bei der Tätigkeit als DSB eine zentrale Rolle. Dabei können unterschiedliche Datenschutzbeauftragter Aufgaben den einzelnen Phasen des PDZA Zyklus zugeteilt werden:

---

Notwendige Kompetenzen des Datenschutzbeauftragten zur Erfüllung seiner Aufgaben

Um seiner Rolle und seinen Verantwortlichkeiten gerecht zu werden, muss der Datenschutzbeauftragte bestimmte persönliche Anforderungen erfüllen und bestimmte Kompetenzen mitbringen. Generell muss der betriebliche Datenschutzbeauftragte eine Fachkunde besitzen, indem ihm die Rechtskenntnis zu Datenschutzregelungen, sowie der technische Sachverstand vermittelt wurden. Diese können in einer DSB Schulung erlangt werden. Fähigkeiten, wie organisatorische und betriebswirtschaftliche Kenntnisse sowie soziale Kompetenzen sind ebenfalls wichtig. Es ist extrem wichtig, dass ein Datenschutzbeauftragter eine große Zuverlässigkeit aufweist. In vielen Fällen wird der Fehler begangen, dass die Zuverlässigkeit vorhanden ist, jedoch der Beauftragte durch seine anderen Aufgaben, Zuständigkeiten und Verantwortung in der Organisation im Interessenkonflikt steht, wie es zum Beispiel bei der Geschäftsführung, Leitung der EDV, Administration, Vertriebsleitung oftmals der Fall ist. Eine Unabhängigkeit ist jedoch zwingende Voraussetzung, um die Tätigkeiten als Datenschutzbeauftragter erfüllen zu können. Aus diesem Grund sollte die Auswahl unter der Mitbestimmung des Betriebsrates durchgeführt werden.

---

Unser Fazit zum DSB und dessen Aufgaben

Der Schutz der personenbezogenen Daten steht an erster Stelle. Ein Datenschutzbeauftragter muss nach Art. 37 DSGVO und § 38 BDSG unter bestimmten Voraussetzungen bestellt werden, wenn die Anzahl an Beschäftigen, die in Kontakt mit personenbezogenen Daten kommt, überschritten wird. Die Datenschutzbeauftragter Aufgaben müssen dabei klar beschrieben sein, seine Ernennung muss – anders als zuvor – nicht mehr schriftlich erfolgen. Eine schriftliche Datenschutzbeauftragter Benennung ist jedoch zu empfehlen, vor allem im Hinblick auf die Rechtssicherheit und Nachweispflichten gem. Art. 24 Abs. 1 DSGVO und Art. 5 Abs. 2 DSGVO.