INFORMATIONEN

DSB – Schritte zum Ernennungsprozess

Externer Berater vs. Mitarbeiter

Die DSGVO legt relativ genau die Situationen fest, in denen Organisationen, die an der Verarbeitung personenbezogener Daten beteiligt sind, verpflichtet sind, einen Datenschutzbeauftragten zu benennen (z. B. wenn die Haupttätigkeit der Organisation aus Verarbeitungsvorgängen besteht, die eine groß angelegte, regelmäßige und systematische Überwachung der betroffenen Personen oder besonderer Datenkategorien erfordern). Gleichzeitig lässt die DSGVO den Organisationen jedoch die Freiheit, das rechtliche Modell festzulegen, nach dem sie einen solchen Spezialisten mitbringen. Die beiden Modelloptionen sind die Beauftragung eines externen Beraters oder ein Arbeitsverhältnis mit einem neuen oder bestehenden Mitarbeiter. Wir werden uns im Folgenden auf diese zweite Variante konzentrieren, die einige spezifische Probleme für die Verwaltung von Organisationen aufwirft.

Einstellung eines DSB in einer bereits bestehenden Abteilung

In der Regel muss sich die Funktion des DSB im Organigramm des Unternehmens widerspiegeln. Es sollte also ein Beschluss des zuständigen Organs vorliegen, die interne Organisationsstruktur zu aktualisieren (entweder in dem Sinne, dass eine neue Stelle geschaffen wird oder dass die Aufgaben einer bereits bestehenden Stelle um die Aufgaben des DSB ergänzt werden). Darüber hinaus muss die Ausübung der Funktion des DSB in den vertraglichen Beziehungen mit der Person, die die Funktion des DSB ausüben wird, geregelt werden. Dies setzt den Abschluss eines Arbeitsvertrags voraus (der die spezifischen Aufgaben dieses Amtes regelt), wenn die Funktion des DSB von einer neu eingestellten Person wahrgenommen wird.

Wird die Position des DSB von einem bestehenden Mitarbeiter besetzt, muss das Unternehmen mit dem Mitarbeiter eine Zusatzvereinbarung zum Arbeitsvertrag unterzeichnen (mit der die Parteien eine Änderung der Stellenbeschreibung, die die spezifischen Aufgaben eines DSB ergänzt, und etwaige Anpassungen der Vergütung vereinbaren). Ändern sich nur die Aufgaben des bestehenden Mitarbeiters, so können die Parteien nur eine aktualisierte Stellenbeschreibung unterzeichnen, ohne dass ein zusätzlicher Akt zum Arbeitsvertrag geschlossen werden muss. Natürlich kann die Bestellung eines DSB aus den Reihen der bestehenden Beschäftigten nur mit deren Zustimmung erfolgen (d. h. die Bestellung eines DSB kann nicht durch eine einseitige Entscheidung des Arbeitgebers erfolgen).

Bewertung der Tätigkeit des DSB

Die Datenschutz-Grundverordnung regelt nicht die Mechanismen, mit denen die Arbeit des DSB bewertet werden könnte. Um die Tätigkeit des DSB zu bewerten, könnten daher Maßnahmen ergriffen werden, wie sie im Allgemeinen zur Bewertung der Tätigkeit von Mitarbeitern verwendet werden. Wir empfehlen daher die Ausarbeitung klarer interner Richtlinien, in denen die Datenverarbeitungsmechanismen sowie die entsprechenden Prozesse/Maßnahmen, die eingehalten/befolgt werden müssen, definiert werden. Es ist auch notwendig, die Aufgaben und Zuständigkeiten des DSB durch die internen Richtlinien und die Stellenbeschreibung oder den mit dem DSB abgeschlossenen Vertrag klar zu umreißen, der regelmäßige Berichtsaufgaben an die Leitung des Unternehmens, in dem er ernannt wurde, beinhalten sollte. Schließlich könnte die Tätigkeit des behördlichen Datenschutzbeauftragten im Rahmen einer Prüfung der Tätigkeit des Unternehmens, das personenbezogene Daten verarbeitet, durch externe Fachleute (Cybersicherheitsberater, Rechtsanwälte usw.) oder im Rahmen von Kontrollen durch die Aufsichtsbehörde für die Verarbeitung personenbezogener Daten überprüft werden.

Umgang mit Interessenkonflikten

Grundsätzlich verbietet die Datenschutz-Grundverordnung dem behördlichen Datenschutzbeauftragten nicht generell, eine andere Funktion auszuüben. Im Gegenteil, die DSGVO sieht vor, dass der Datenschutzbeauftragte weitere Aufgaben und Pflichten wahrnehmen kann. Der Betreiber oder die bevollmächtigte Person muss jedoch sicherstellen, dass keine dieser Aufgaben und Verantwortlichkeiten zu einem Interessenkonflikt führt.

Der Interessenkonflikt ist untrennbar mit dem Erfordernis der Unabhängigkeit des DSB verbunden. Alle zusätzlichen Funktionen oder Aufgaben, die dem DSB übertragen werden und die Druck aus dem Geschäftsbereich erzeugen (z. B. Entscheidungsbefugnisse oder sogar Exekutivbefugnisse in Bezug auf die Zwecke und Mittel der Datenverarbeitung), die im Widerspruch zu den rechtlichen Befugnissen des DSB stehen, sind Quellen für Interessenkonflikte. Es gibt keine Liste solcher Funktionen, sondern sie müssen von Fall zu Fall festgelegt werden, da Organisationsstrukturen und interne Entscheidungsprozesse von Unternehmen zu Unternehmen unterschiedlich sind.

Im Allgemeinen wird davon ausgegangen, dass ein Interessenkonflikt bestehen kann, wenn das Amt des DSB von Personen ausgeübt wird, die leitende (Entscheidungs-)Positionen innehaben, wie z. B.: Verwalter/Geschäftsführer (in ihrem Fall besteht grundsätzlich ein allgemeiner Interessenkonflikt unter Berücksichtigung der allgemeinen Entscheidungsbefugnis in Bezug auf die Tätigkeit eines Unternehmens), Finanzdirektor (er hat Entscheidungsbefugnis in Bezug auf die finanziellen Aspekte und könnte daher die Entscheidung über die Genehmigung der Finanzierung einiger/aller spezifischer Maßnahmen beeinflussen, die für die Einhaltung der durch die Datenschutzgesetzgebung festgelegten Anforderungen erforderlich sind), Personaldirektor (kann Einfluss auf die Datenverarbeitungsmechanismen von Angestellten, ehemaligen Angestellten oder potenziellen Angestellten haben), Marketingdirektor (kann Einfluss auf die Datenverarbeitungsmechanismen von Kunden in der Tätigkeit Marketing haben).

Zusammenfassung

Interessenkonflikte können auch im Zusammenhang mit Positionen entstehen, die keine Führungsaufgaben beinhalten. Ein Beispiel in diesem Sinne könnte der zum DSB ernannte Rechtsberater sein, der gleichzeitig befugt wäre, das Unternehmen in einem Streit über die Rechtmäßigkeit der Verarbeitung personenbezogener Daten zu vertreten. Ebenso kann sich ein IT-Manager, der die Rolle des DSB übernimmt, in einem Interessenkonflikt befinden, da er für die Qualität der technischen Maßnahmen (IT-Sicherheit) verantwortlich ist, die den Anforderungen der DSGVO entsprechen.

Zehn Tipps zur Verhinderung von Cyberangriffen

27/01/2021 Keine Kommentare

Cyberangriffe, manchmal sogar gegen große Unternehmen, werden immer häufiger. Abgesehen von den offensichtlichen Unannehmlichkeiten, die solche Angriffe sowohl aus betrieblicher Sicht als auch auf der

mehr »

Datenverarbeitung im Rahmen von COVID-19

24/10/2022 Keine Kommentare

Vor dem Hintergrund der weltweiten Ausbreitung von COVID-19 äußert sich Andrea Jelinek, Präsidentin des Europäischen Datenschutzausschusses, in einer aktuellen Stellungnahme wie folgt: Datenschutzvorschriften (wie die

mehr »

Datenschutz-Folgenabschätzungen – was, wann und wie

17/11/2022 Keine Kommentare

Wenn Ihr DSB Sie fragt, ob Sie über die Durchführung einer Datenschutzfolgenabschätzung nachgedacht haben, haben Sie Ihrem Team gerade ein aufregendes neues Produktkonzept vorgestellt. Ihr

mehr »

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

INFORMATIONEN

DSB – Schritte zum Ernennungsprozess

Externer Berater vs. Mitarbeiter

Einstellung eines DSB in einer bereits bestehenden Abteilung

Bewertung der Tätigkeit des DSB

Umgang mit Interessenkonflikten

Zusammenfassung

Zehn Tipps zur Verhinderung von Cyberangriffen

Datenverarbeitung im Rahmen von COVID-19

Datenschutz-Folgenabschätzungen – was, wann und wie

Cookie and External Connections Consent / Einwilligung in Cookies und externe Verbindungen