INFORMATIONEN

Der Datenschutzbeauftragte – eine einfache Aufgabe oder ein notwendiger Spezialist?

Externer Berater vs. interner Mitarbeiter

Die Datenschutz-Grundverordnung legt relativ genau fest, unter welchen Umständen Organisationen, die personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten benennen müssen (z. B. wenn die Haupttätigkeiten der Organisation aus Verarbeitungsvorgängen bestehen, die eine groß angelegte, routinemäßige und systematische Überwachung von betroffenen Personen oder bestimmten Datenkategorien beinhalten).

Gleichzeitig lässt die Datenschutz-Grundverordnung den Unternehmen jedoch die Freiheit, das rechtliche Modell festzulegen, nach dem sie einen solchen Spezialisten mitbringen. Die beiden Modelloptionen sind die Beauftragung eines externen Beraters oder eine Beschäftigungsvereinbarung mit einem neuen oder derzeitigen Mitarbeiter. Diese zweite Variante, die einige besondere Bedenken aufwirft

für die Verwaltung von Organisationen, wird im Folgenden erörtert.

Beschäftigung des DSB in einer bestehenden Abteilung

In der Regel muss der Sitz des DSB im Organigramm des Unternehmens verankert sein. Daher sollte das zuständige Unternehmensorgan beschließen, die interne Organisationsstruktur zu verbessern (entweder im Sinne der Schaffung einer neuen Stelle oder der Ergänzung der Aufgaben einer bestehenden Stelle um die spezifischen Aufgaben des DSB).

Darüber hinaus muss die Ausübung der Funktion des DSB im Vertragsverhältnis mit der Person, die die Funktion des DSB ausübt, geregelt sein. Dazu gehört auch der Abschluss eines Arbeitsvertrags (der die genaue Zuweisung dieser Aufgabe regelt), wenn die Funktion des DSB von einer neu eingestellten Person wahrgenommen wird.

Wenn die Stelle des DSB mit einem derzeitigen Mitarbeiter besetzt werden soll, müsste die Organisation einen zusätzlichen Arbeitsvertrag mit dem Mitarbeiter abschließen (in dem die Parteien eine Änderung der Stellenbeschreibung, eine Ergänzung der spezifischen Aufgaben eines DSB und etwaige Gehaltsanpassungen vereinbaren).

Ändern sich nur die Aufgaben des derzeitigen Mitarbeiters, können die Parteien nur eine geänderte Stellenbeschreibung unterzeichnen, ohne dass ein zusätzlicher Arbeitsvertrag ausgehandelt werden muss. Natürlich kann die Einstellung eines DSB aus dem Kreis der bestehenden Mitarbeiter nur mit Zustimmung des Mitarbeiters erfolgen.

Bewertung der Dienste des DSB

Die Datenschutz-Grundverordnung regelt nicht, mit welchen Mechanismen die Arbeit des DSB gemessen werden kann. Daher können Indikatoren, wie sie üblicherweise zur Bewertung der Tätigkeit von Arbeitnehmern verwendet werden, zur Bewertung der Tätigkeit des DSB herangezogen werden.

Wir schlagen daher vor, spezifische interne Richtlinien festzulegen, die den Rahmen für die Datenverarbeitung sowie die zu beachtenden/befolgten Prozesse/zugehörigen Schritte vorgeben.

Wichtig ist auch, dass die Rolle und die Aufgaben des DSB in den internen Vorschriften und in der Tätigkeitsbeschreibung bzw. im Vertrag mit dem DSB klar beschrieben werden, der regelmäßige Berichtsaufgaben für die Leitung der Organisation, in der er bestellt wurde, enthalten sollte.

Schließlich muss die Arbeit des behördlichen Datenschutzbeauftragten im Sinne eines Audits durch externe Sachverständige (Cybersicherheitsberater, Rechtsanwälte usw.) überprüft werden, die die Tätigkeiten des Unternehmens, das personenbezogene Daten verarbeitet, oder der Aufsichtsbehörde für die Verarbeitung personenbezogener Daten kontrollieren.

Umgang mit Interessenkonflikten

In der Praxis sieht die Datenschutz-Grundverordnung kein generelles Verbot für die Ausübung einer anderen Funktion durch den behördlichen Datenschutzbeauftragten vor. Im Gegenteil, die Datenschutz-Grundverordnung sieht vor, dass der Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen kann.

Der Interessenkonflikt ist untrennbar mit dem Erfordernis der Unabhängigkeit des DSB verbunden. Alle zusätzlichen Rollen oder Aufgaben, die dem DSB zugewiesen werden und die Druck von Seiten der Wirtschaft erzeugen (z. B. Entscheidungsbefugnisse oder sogar Regelungsbefugnisse in Bezug auf die Ziele und Mittel der Datenverarbeitung), die im Widerspruch zu den rechtlichen Aufgaben des DSB stehen, sind Quellen von Interessenkonflikten.

Es gibt keine Liste solcher Rollen, sondern sie müssen von Fall zu Fall entschieden werden, da die Organisationsstrukturen und internen Entscheidungsprozesse von Unternehmen zu Unternehmen unterschiedlich sind.

Es wird allgemein davon ausgegangen, dass ein Interessenkonflikt bestehen könnte, wenn die Rolle des DSB von Personen wahrgenommen wird, die leitende (entscheidungsbefugte) Funktionen innehaben, wie z. B. Verwalter/Geschäftsführer (in ihrem Fall besteht theoretisch ein allgemeiner Interessenkonflikt, selbst wenn man die allgemeine Entscheidungsbefugnis in Bezug auf die Tätigkeiten eines Unternehmens in Betracht zieht), Finanzdirektor (er hat eine Entscheidungsbefugnis).

Interessenkonflikte können auch in Bezug auf Funktionen auftreten, die keine Managementverpflichtungen erfordern. Ein Beispiel hierfür wäre der zum DSB ernannte Rechtsberater, der gleichzeitig berechtigt wäre, die Organisation in einem Streit über die Rechtmäßigkeit der Verarbeitung personenbezogener Daten zu vertreten.

Ebenso kann sich ein IT-Manager, der auch die Position des DSB innehat, in einem Interessenkonflikt befinden, da er für die Qualität der technischen (IT-Sicherheits-)Maßnahmen zur Einhaltung der Anforderungen der Datenschutz-Grundverordnung verantwortlich ist.

Anwendung der DSGVO auf Cloud-Speicher

Was ist Cloud-Speicher? Die Zahl der Cloud-Speicherdienste nimmt rapide zu. Sie ermöglichen es Ihnen, verschiedene Dokumente, Fotos, Videos und andere Arten von Dateien auf eine

mehr »