Aufgaben

Nach Art. 39 Abs. 1 DS-GVO kommen dem/der Datenschutzbeauftragten folgende Aufgaben zu:

• Unterrichtung und Beratung
• Überwachung der Einhaltung des Datenschutzes
• Beratung – auf (verpflichtende) Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) und Überwachung ihrer Durchführung
• Zusammenarbeit mit der Aufsichtsbehörde

Der/die Datenschutzbeauftragte hat den Verantwortlichen bzw. Auftragsverarbeiter sowie die konkret mit der Datenverarbeitung Beschäftigten hinsichtlich ihrer Pflichten nach der DS-GVO sowie nach den sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten zu unterrichten und beraten. Unterrichtung bedeutet insofern die allgemeine Information über die bestehenden datenschutzrechtlichen Pflichten, Beratung die Unterstützung bei der Lösung von konkreten datenschutzrechtlichen Fragestellungen.

Weitere Kernaufgabe des/der Datenschutzbeauftragten ist die Überwachung der Einhaltung des Datenschutzes. Zu überwachen ist im Einzelnen die Einhaltung

• der DS-GVO,
• anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie
• der Strategien des Verantwortlichen oder Auftragsverarbeiters für den Schutz personenbezogener Daten (einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen).

Die Einhaltung der datenschutzrechtlichen Vorgaben ist nach der DS-GVO hingegen ausschließlich Angelegenheit des Verantwortlichen.

Die Datenschutz-Folgenabschätzung, die bei besonders sensiblen Datenverarbeitungen durchzuführen ist, ist nicht Aufgabe des/der Datenschutzbeauftragten, sondern Aufgabe des Verantwortlichen bzw. in abgeleiteter Verantwortung Aufgabe der jeweiligen Fachabteilung. Der/die Datenschutzbeauftragte berät aber im Hinblick auf die Datenschutz-Folgenabschätzung und überwacht deren Durchführung. Es handelt sich insoweit um Konkretisierungen des allgemeinen Beratungs- und Überwachungsauftrags.  

Nach der DS-GVO arbeitet der/die Datenschutzbeauftragte mit der Aufsichtsbehörde zusammen und fungiert als deren „Anlaufstelle“; zudem berät er/sie sich mit der Behörde „zu allen sonstigen Fragen“. Ein Anlass zur Konsultation der Behörde kann sich insbesondere dann ergeben, wenn sich der/die Datenschutzbeauftragte über die Auslegung einschlägiger gesetzlicher Regelungen oder die Angemessenheit einzelner Datenschutzmaßnahmen im Unklaren ist. Der/die Datenschutzbeauftragte ist jedoch nicht verlängerter Arm der Behörde beim Verantwortlichen bzw. Auftragsverarbeiter. Behörde und Datenschutzbeauftragte/r sind vielmehr voneinander unabhängige Kontrollorgane und der/die Datenschutzbeauftragte ist zur eigenständigen Meinungsbildung berechtigt und verpflichtet.

Weitere Aufgaben des/der Datenschutzbeauftragten sind in Art. 38 DS-GVO enthalten. So berichtet der/die Datenschutzbeauftragte unmittelbar der höchsten Managementebene des Verantwortlichen bzw. Auftragsverarbeiters. Gemäß Art. 38 Abs. 4 DS-GVO unterstützt der/die Datenschutzbeauftragte außerdem die betroffenen Personen, sofern diese Fragen zur Verarbeitung ihrer Daten oder zur Wahrnehmung ihrer Rechte haben („Anwalt der betroffenen Personen“).

Dem/der Datenschutzbeauftragten dürfen weitere Aufgaben übertragen werden, die über die in der DS-GVO ausdrücklich vorgesehenen Aufgaben hinausgehen bzw. diese präzisieren, sofern hierdurch keine Interessenkonflikte entstehen und genügend Zeit für die Pflichtaufgaben verbleibt. 

Die Aufgabenwahrnehmung durch den/die Datenschutzbeauftragte/n hat nach Art. 39 Abs. 2 DS-GVO risikoorientiert zu erfolgen.