Bereichsbild

Datenschutz- Beauftragter

Der DSB nach der DS-GVO

 

Benennungspflicht

Wann ein/e Datenschutzbeauftragte/r zu benennen ist, regeln Art. 37 Abs. 1 DS-GVO, §§ 5, 38 Abs. 1 BDSG 2018.   

Überblick: Wann ist ein/e Datenschutzbeauftragte/r zu benennen?

  • Öffentliche Stelle: immer
  • Nichtöffentliche Stellen:

Schwellenwertabhängig:
in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt

Unabhängig vom Erreichen des Schwellenwertes:  

  • Datenschutz-Folgenabschätzung (Art. 35 DS-GVO), zu den „Muss-Fällen“ vgl. etwa LfDI Baden-Württemberg
  • Geschäftsmäßige Verarbeitung personenbezogener Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung
  • Kerntätigkeit, die umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich macht 
  • Kerntätigkeit, die in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Art. 9 DS-GVO) oder von Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DS-GVO) besteht

Die Form der Benennung ist nicht geregelt. Zur Gewährleistung von Rechtssicherheit und aus Dokumentationsgründen ist eine Benennung zumindest in Textform gleichwohl ratsam. Es empfiehlt sich, der Benennung eine Stellenbeschreibung beizufügen, die Aufgaben und Stellung des/der jeweiligen Datenschutzbeauftragten im Einzelnen und bezogen auf die individuellen Besonderheiten beim Verantwortlichen bzw. Auftragsverarbeiter beschreibt.

Der Verantwortliche bzw. Auftragsverarbeiter hat die Kontaktdaten des/der Datenschutzbeauftragten zu veröffentlichen und der Aufsichtsbehörde mitzuteilen.

 

Anforderungen an den/die Datenschutzbeauftragte/n

Maßgeblich für die Benennung als Datenschutzbeauftragte/r sind die berufliche Qualifikation und insbesondere das Fachwissen, das die zu benennende Person auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie die Fähigkeit zur Erfüllung der gesetzlichen Aufgaben (Art. 37 Abs. 5 DS-GVO). Nötig ist eine Trias rechtlicher, technischer und (betriebs-)organisatorischer Kenntnisse. Nach dem Wortlaut der DS-GVO soll sich dabei das Fachwissen explizit auch auf die Datenschutzpraxis beziehen, also darauf, wie datenschutzrechtliche Vorgaben konkret umgesetzt werden können.

Die notwendigen Kenntnisse zur Ausübung der Tätigkeit als Datenschutzbeauftragte/r können durch Besuch des GDD-Seminarzyklus erworben werden.

Gemäß Art. 38 Abs. 6 DS-GVO ist es dem/der Datenschutzbeauftragten ausdrücklich erlaubt, auch andere Aufgaben und Pflichten wahrzunehmen. Die Zulässigkeit der Wahrnehmung anderer Aufgaben und Pflichten steht allerdings unter der Bedingung, dass diese nicht zu einem Interessenkonflikt mit der Tätigkeit als Datenschutzbeauftragter führen. Ein Interessenkonflikt ergibt sich regelmäßig dann, wenn der/die Datenschutzbeauftragte/r im Rahmen seiner sonstigen Tätigkeit für die gleiche Organisation Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt

Der Verantwortliche bzw. Auftragsverarbeiter hat die Wahl zwischen einem/einer internen oder externen Datenschutzbeauftragten (Art. 37 Abs. 6 DS-GVO). Erstere/r ist Beschäftigte/r der benennenden Stelle, Letztere/r wird auf Grund eines Dienstleistungsvertrages tätig. Sinnvoll kann der Einsatz eines/einer externen Datenschutzbeauftragten insbesondere bei kleinen und mittleren Unternehmen sein. Eine Unternehmensgruppe kann außerdem eine/n gemeinsame/n Datenschutzbeauftragte/n (Art. 37 Abs. 2 DS-GVO) ernennen, sofern diese/r von jeder Niederlassung aus leicht erreicht werden kann. Auch diese/r ist externe/r Datenschutzbeauftragte/r für all diejenigen Gruppenunternehmen, zu denen zwar ein Benennungs-, aber kein Beschäftigungsverhältnis existiert.

 

Aufgaben

Nach Art. 39 Abs. 1 DS-GVO kommen dem/der Datenschutzbeauftragten folgende Aufgaben zu:

  • Unterrichtung und Beratung
  • Überwachung der Einhaltung des Datenschutzes
  • Beratung – auf (verpflichtende) Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) und Überwachung ihrer Durchführung
  • Zusammenarbeit mit der Aufsichtsbehörde

Der/die Datenschutzbeauftragte hat den Verantwortlichen bzw. Auftragsverarbeiter sowie die konkret mit der Datenverarbeitung Beschäftigten hinsichtlich ihrer Pflichten nach der DS-GVO sowie nach den sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten zu unterrichten und beraten. Unterrichtung bedeutet insofern die allgemeine Information über die bestehenden datenschutzrechtlichen Pflichten, Beratung die Unterstützung bei der Lösung von konkreten datenschutzrechtlichen Fragestellungen.

Weitere Kernaufgabe des/der Datenschutzbeauftragten ist die Überwachung der Einhaltung des Datenschutzes. Zu überwachen ist im Einzelnen die Einhaltung

  • der DS-GVO,
  • anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie
  • der Strategien des Verantwortlichen oder Auftragsverarbeiters für den Schutz personenbezogener Daten (einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen).

Die Einhaltung der datenschutzrechtlichen Vorgaben ist nach der DS-GVO hingegen ausschließlich Angelegenheit des Verantwortlichen.

Die Datenschutz-Folgenabschätzung, die bei besonders sensiblen Datenverarbeitungen durchzuführen ist, ist nicht Aufgabe des/der Datenschutzbeauftragten, sondern Aufgabe des Verantwortlichen bzw. in abgeleiteter Verantwortung Aufgabe der jeweiligen Fachabteilung. Der/die Datenschutzbeauftragte berät aber im Hinblick auf die Datenschutz-Folgenabschätzung und überwacht deren Durchführung. Es handelt sich insoweit um Konkretisierungen des allgemeinen Beratungs- und Überwachungsauftrags.  

Nach der DS-GVO arbeitet der/die Datenschutzbeauftragte mit der Aufsichtsbehörde zusammen und fungiert als deren „Anlaufstelle“; zudem berät er/sie sich mit der Behörde „zu allen sonstigen Fragen“. Ein Anlass zur Konsultation der Behörde kann sich insbesondere dann ergeben, wenn sich der/die Datenschutzbeauftragte über die Auslegung einschlägiger gesetzlicher Regelungen oder die Angemessenheit einzelner Datenschutzmaßnahmen im Unklaren ist. Der/die Datenschutzbeauftragte ist jedoch nicht verlängerter Arm der Behörde beim Verantwortlichen bzw. Auftragsverarbeiter. Behörde und Datenschutzbeauftragte/r sind vielmehr voneinander unabhängige Kontrollorgane und der/die Datenschutzbeauftragte ist zur eigenständigen Meinungsbildung berechtigt und verpflichtet.

Weitere Aufgaben des/der Datenschutzbeauftragten sind in Art. 38 DS-GVO enthalten. So berichtet der/die Datenschutzbeauftragte unmittelbar der höchsten Managementebene des Verantwortlichen bzw. Auftragsverarbeiters. Gemäß Art. 38 Abs. 4 DS-GVO unterstützt der/die Datenschutzbeauftragte außerdem die betroffenen Personen, sofern diese Fragen zur Verarbeitung ihrer Daten oder zur Wahrnehmung ihrer Rechte haben („Anwalt der betroffenen Personen“).

Dem/der Datenschutzbeauftragten dürfen weitere Aufgaben übertragen werden, die über die in der DS-GVO ausdrücklich vorgesehenen Aufgaben hinausgehen bzw. diese präzisieren, sofern hierdurch keine Interessenkonflikte entstehen und genügend Zeit für die Pflichtaufgaben verbleibt. 

Die Aufgabenwahrnehmung durch den/die Datenschutzbeauftragte/n hat nach Art. 39 Abs. 2 DS-GVO risikoorientiert zu erfolgen. 

 

Stellung

Die Rechtsstellung des/der Datenschutzbeauftragten ergibt sich aus Art. 38 DS-GVO und § 6 Abs. 4 S. 2 und 3 (i.V.m. § 38 Abs. 2) BDSG 2018. Entscheidend sind folgende Gewährleistungen:

  • Unabhängigkeit, insbesondere Weisungsfreiheit
  • Anspruch auf Einbindung, Zugang und Ressourcen 
  • Abberufungs- und Kündigungsschutz
  • Benachteiligungsverbot

Zentrales Element der Weisungsfreiheit ist, dass der/die Datenschutzbeauftragte unabhängig bei der datenschutzrechtlichen Beurteilung stattfindender Datenverarbeitungsvorgänge ist. Er/sie darf selbst entscheiden, wie er/sie seine/ihre Aufgaben priorisiert und welche Systeme und Prozesse einer Prüfung unterzogen werden sollen. Ihn/sie trifft die Pflicht zur risikoorientierten Tätigkeit. Zur Gewährleistung der garantierten Unabhängigkeit obliegt aber auch die Bewertung, welche Verarbeitungsvorgänge wegen des mit ihnen verbundenen Risikos einer vorrangigen Betrachtung bedürfen, grundsätzlich diesem/dieser selbst. 

Der Anspruch des/der Datenschutzbeauftragten auf Einbindung und Unterstützung umfasst im Einzelnen Folgendes:

  • Ordnungsgemäße und frühzeitige Einbindung in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen
  • Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen
  • Ressourcen zur Aufgabenerfüllung / Erhaltung des Fachwissens

Zu den notwendigen Ressourcen im Hinblick auf die Aufgabenwahrnehmung gehört es dabei insbesondere, dass dem/der Datenschutzbeauftragten die notwendigen zeitlichen Kapazitäten zur Wahrnehmung der Aufgabe zur Verfügung gestellt werden. Das konkrete Maß der erforderlichen Unterstützung ist im Einzelfall zu bestimmen.

Der/die Datenschutzbeauftragte genießt nach DS-GVO Abberufungsschutz. Verboten ist die Abberufung aus Gründen, die mit der Erfüllung der Aufgaben als Datenschutzbeauftragte/r zusammenhängen. Nach dem BDSG 2018 genießt der/die Datenschutzbeauftragte zudem besonderen Kündigungsschutz. Danach ist die Kündigung des Arbeitsverhältnisses des/der Datenschutzbeauftragten unzulässig, es sei denn, dass Tatsachen vorliegen, welche zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen, also zu einer außerordentlichen Kündigung.

 

Erste Schritte

Welche Schulungen sollte ein/e neu zu benennende/r Datenschutzbeauftragte/r besuchen?

Die Qualifikation durch die GDD-Datenschutz-Akademie erfolgt mittels eines gestuften Schulungskonzeptes zur Aus- und Weiterbildung.

Basisqualifikation

Der in drei Abschnitte gegliederte insgesamt zehntägige Seminarzyklus zur Erlangung der Basisqualifikation vermittelt grundlegende Kenntnisse auf den Gebieten

  • des Datenschutzrechts- und der Datenschutzorganisation (GDD-Basis-Schulung Teil 1),
  • des technisch-organisatorischen Datenschutzes (GDD-Basis-Schulung Teil 2) und
  • des Datenschutz-Managements (GDD-Basis-Schulung Teil 3).

 Hinweis:

Die Seminare müssen nicht zwingend in der vorstehenden Reihenfolge besucht werden. Es empfiehlt sich allerdings, mit der GDD-Basis-Schulung Teil 1 zu beginnen.

Nähere Informationen zu den GDD-Basis-Schulungen können Sie hier abrufen.

Aufgabenspezifische Seminare

Zusätzlich zur Basisausbildung kann in Abhängigkeit von unternehmensindividuellen Erfordernissen die Fachkunde durch Teilnahme an aufgabenspezifischen Seminaren erweitert werden. Die aufgabenspezifischen Seminare behandeln Branchenspezifika sowie anwendungs- und geschäftsprozessbezogene Themen. Entsprechend dem Leitgedanken „von der Praxis für die Praxis“ werden aktuelle Praxisfragen ausbildungsgerecht aufbereitet.

 

Zertifizierung

Zertifizierung der Datenschutzqualifikation (GDDcert. EU)  

Die GDD-Datenschutz-Akademie bietet Datenschutzbeauftragten die Option, sich ihre Qualifikation zertifizieren zu lassen.

Vorteile von GDDcert. EU:

  • Dokumentation der Datenschutzqualifikation im Unternehmen und gegenüber der Aufsichtsbehörde
  • Nachweis der Datenschutzqualität gegenüber Kunden, Geschäftspartnern und der Öffentlichkeit
  • Attestierte Datenschutzqualifikation im Rahmen des Risikomanagements
  • Nachweis der Datenschutzkompetenz im Konzern und als externer Dienstleister

Die Prüfung besteht aus drei Klausuren und einer mündlichen Prüfung. Gegenstand ist die Basisqualifikation des/der Datenschutzbeauftragten, wie sie in den GDD-Basis-Schulungen Teil 1, Teil 2 und Teil 3 vermittelt wird. Die Zulassung zur Prüfung ist vom Besuch der GDD-Basis-Schulungen unabhängig. Nachzuweisen ist jedoch der anderweitige Erwerb der erforderlichen Kenntnisse.

Zur Vorbereitung auf die Prüfung besteht optional die Gelegenheit, die wesentlichen Inhalte der Basisqualifikation im Rahmen eines Repetitoriums anhand von Praxisbeispielen und Fallübungen aufzuarbeiten.

Weitere Informationen zum Schulungsprogramm finden Sie hier.

Zertifikat