INFORMATIONEN

Der Datenschutzbeauftragte – eine einfache Aufgabe oder ein notwendiger Spezialist?

Externer Berater vs. interner Mitarbeiter

Die Datenschutz-Grundverordnung legt relativ genau fest, unter welchen Umständen Organisationen, die personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten benennen müssen (z. B. wenn die Haupttätigkeiten der Organisation aus Verarbeitungsvorgängen bestehen, die eine groß angelegte, routinemäßige und systematische Überwachung von betroffenen Personen oder bestimmten Datenkategorien beinhalten).

Gleichzeitig lässt die Datenschutz-Grundverordnung den Unternehmen jedoch die Freiheit, das rechtliche Modell festzulegen, nach dem sie einen solchen Spezialisten mitbringen. Die beiden Modelloptionen sind die Beauftragung eines externen Beraters oder eine Beschäftigungsvereinbarung mit einem neuen oder derzeitigen Mitarbeiter. Diese zweite Variante, die einige besondere Bedenken aufwirft

für die Verwaltung von Organisationen, wird im Folgenden erörtert.

Beschäftigung des DSB in einer bestehenden Abteilung

In der Regel muss der Sitz des DSB im Organigramm des Unternehmens verankert sein. Daher sollte das zuständige Unternehmensorgan beschließen, die interne Organisationsstruktur zu verbessern (entweder im Sinne der Schaffung einer neuen Stelle oder der Ergänzung der Aufgaben einer bestehenden Stelle um die spezifischen Aufgaben des DSB).

Darüber hinaus muss die Ausübung der Funktion des DSB im Vertragsverhältnis mit der Person, die die Funktion des DSB ausübt, geregelt sein. Dazu gehört auch der Abschluss eines Arbeitsvertrags (der die genaue Zuweisung dieser Aufgabe regelt), wenn die Funktion des DSB von einer neu eingestellten Person wahrgenommen wird.

Wenn die Stelle des DSB mit einem derzeitigen Mitarbeiter besetzt werden soll, müsste die Organisation einen zusätzlichen Arbeitsvertrag mit dem Mitarbeiter abschließen (in dem die Parteien eine Änderung der Stellenbeschreibung, eine Ergänzung der spezifischen Aufgaben eines DSB und etwaige Gehaltsanpassungen vereinbaren).

Ändern sich nur die Aufgaben des derzeitigen Mitarbeiters, können die Parteien nur eine geänderte Stellenbeschreibung unterzeichnen, ohne dass ein zusätzlicher Arbeitsvertrag ausgehandelt werden muss. Natürlich kann die Einstellung eines DSB aus dem Kreis der bestehenden Mitarbeiter nur mit Zustimmung des Mitarbeiters erfolgen.

Bewertung der Dienste des DSB

Die Datenschutz-Grundverordnung regelt nicht, mit welchen Mechanismen die Arbeit des DSB gemessen werden kann. Daher können Indikatoren, wie sie üblicherweise zur Bewertung der Tätigkeit von Arbeitnehmern verwendet werden, zur Bewertung der Tätigkeit des DSB herangezogen werden.

Wir schlagen daher vor, spezifische interne Richtlinien festzulegen, die den Rahmen für die Datenverarbeitung sowie die zu beachtenden/befolgten Prozesse/zugehörigen Schritte vorgeben.

Wichtig ist auch, dass die Rolle und die Aufgaben des DSB in den internen Vorschriften und in der Tätigkeitsbeschreibung bzw. im Vertrag mit dem DSB klar beschrieben werden, der regelmäßige Berichtsaufgaben für die Leitung der Organisation, in der er bestellt wurde, enthalten sollte.

Schließlich muss die Arbeit des behördlichen Datenschutzbeauftragten im Sinne eines Audits durch externe Sachverständige (Cybersicherheitsberater, Rechtsanwälte usw.) überprüft werden, die die Tätigkeiten des Unternehmens, das personenbezogene Daten verarbeitet, oder der Aufsichtsbehörde für die Verarbeitung personenbezogener Daten kontrollieren.

Umgang mit Interessenkonflikten

In der Praxis sieht die Datenschutz-Grundverordnung kein generelles Verbot für die Ausübung einer anderen Funktion durch den behördlichen Datenschutzbeauftragten vor. Im Gegenteil, die Datenschutz-Grundverordnung sieht vor, dass der Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen kann.

Der Interessenkonflikt ist untrennbar mit dem Erfordernis der Unabhängigkeit des DSB verbunden. Alle zusätzlichen Rollen oder Aufgaben, die dem DSB zugewiesen werden und die Druck von Seiten der Wirtschaft erzeugen (z. B. Entscheidungsbefugnisse oder sogar Regelungsbefugnisse in Bezug auf die Ziele und Mittel der Datenverarbeitung), die im Widerspruch zu den rechtlichen Aufgaben des DSB stehen, sind Quellen von Interessenkonflikten.

Es gibt keine Liste solcher Rollen, sondern sie müssen von Fall zu Fall entschieden werden, da die Organisationsstrukturen und internen Entscheidungsprozesse von Unternehmen zu Unternehmen unterschiedlich sind.

Es wird allgemein davon ausgegangen, dass ein Interessenkonflikt bestehen könnte, wenn die Rolle des DSB von Personen wahrgenommen wird, die leitende (entscheidungsbefugte) Funktionen innehaben, wie z. B. Verwalter/Geschäftsführer (in ihrem Fall besteht theoretisch ein allgemeiner Interessenkonflikt, selbst wenn man die allgemeine Entscheidungsbefugnis in Bezug auf die Tätigkeiten eines Unternehmens in Betracht zieht), Finanzdirektor (er hat eine Entscheidungsbefugnis).

Interessenkonflikte können auch in Bezug auf Funktionen auftreten, die keine Managementverpflichtungen erfordern. Ein Beispiel hierfür wäre der zum DSB ernannte Rechtsberater, der gleichzeitig berechtigt wäre, die Organisation in einem Streit über die Rechtmäßigkeit der Verarbeitung personenbezogener Daten zu vertreten.

Ebenso kann sich ein IT-Manager, der auch die Position des DSB innehat, in einem Interessenkonflikt befinden, da er für die Qualität der technischen (IT-Sicherheits-)Maßnahmen zur Einhaltung der Anforderungen der Datenschutz-Grundverordnung verantwortlich ist.

Nutzung personenbezogener Daten für politische Zwecke

31/10/2022 Keine Kommentare

In jeder politischen Kampagne, ob sie nun wahlbezogen ist oder nicht, werden persönliche Informationen zu einer wichtigen Währung. Auf der anderen Seite haben wir das

mehr »

Neue Rechte der Bürger im Zusammenhang mit der Umsetzung der DSGVO

05/09/2022 Keine Kommentare

Die Verordnung über den Schutz personenbezogener Daten, die seit dem 25. Mai 2018 unmittelbar gilt, enthält eine Reihe präziser Vorschriften, die den Bürgern neue Rechte

mehr »

Was jetzt getan werden muss, ist die Schaffung neuer Standardvertragsklauseln für das Jahr 2022.

20/05/2022 Keine Kommentare

Die überarbeiteten Standardvertragsbestimmungen für die Übermittlung personenbezogener Daten in Drittländer wie die Vereinigten Staaten wurden von der EU in einer neuen Fassung angenommen. Wir zeigen

mehr »

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

INFORMATIONEN

Der Datenschutzbeauftragte – eine einfache Aufgabe oder ein notwendiger Spezialist?

Externer Berater vs. interner Mitarbeiter

Beschäftigung des DSB in einer bestehenden Abteilung

Bewertung der Dienste des DSB

Umgang mit Interessenkonflikten

Nutzung personenbezogener Daten für politische Zwecke

Neue Rechte der Bürger im Zusammenhang mit der Umsetzung der DSGVO

Was jetzt getan werden muss, ist die Schaffung neuer Standardvertragsklauseln für das Jahr 2022.

Cookie and External Connections Consent / Einwilligung in Cookies und externe Verbindungen