Die Überarbeitung der DSGVO, die vor sechs Monaten in Kraft getreten ist, beinhaltet viele wichtige Schritte, darunter die Benennung eines Datenschutzbeauftragten (DSB) in englischer Sprache. Die Ernennung eines DSB, dessen Regelung in den Artikeln 37 und 39 der Allgemeinen Datenschutzverordnung präzisiert wird, ist das Kernstück dieser Reform, die allen Ländern der Europäischen Union gemeinsam ist. Ihre Bedeutung ist so groß, dass sie am 13. Dezember 2016 in einer Plenarsitzung verabschiedet wurde.
Wer braucht einen DSB?
Die DSGVO legt fest, dass alle für die Datenverarbeitung Verantwortlichen und ihre Unterauftragnehmer, die in EU-Ländern ansässig sind oder personenbezogene Daten von Bürgern der Europäischen Union verarbeiten, einen Datenschutzbeauftragten benennen müssen, und zwar genau dann, wenn dies der Fall ist:
Beachten Sie, dass der für die Verarbeitung Verantwortliche, wenn er die Anforderungen für die Bestellung eines Datenschutzbeauftragten erfüllt, nicht unbedingt verpflichtet ist, dies auch bei seinen Unterauftragnehmern zu tun und umgekehrt. Die Ernennung eines Datenschutzbeauftragten erfolgt auf der Grundlage genauer Anforderungen. Die Datenschutz-Grundverordnung präzisiert diesen Begriff der „umfangreichen“ Verarbeitung, indem sie vorschlägt, dass die folgenden Überlegungen berücksichtigt werden sollten:
„Grundtätigkeit“ und Datenverarbeitung „im großen Stil“.
Die Bestellung eines behördlichen Datenschutzbeauftragten betrifft beispielsweise insbesondere die telefonische Übermittlung personenbezogener Daten durch einen Internet-Diensteanbieter sowie durch Versicherungsgesellschaften und Bankinstitute in gewöhnlicher Weise. Im Vergleich dazu stellt die Erhebung personenbezogener Daten über Straftaten und Verurteilungen durch einen Privatarzt oder einen Rechtsanwalt keine so genannte „umfangreiche“ Verarbeitung dar.
Die Datenschutz-Grundverordnung betrachtet die „grundlegende Tätigkeit“ einer Organisation als die Haupttätigkeit einer Organisation, die es ihr ermöglicht, ihre Ziele zu erreichen, oder die untrennbar mit einer solchen Datenverarbeitung verbunden ist. Beispiel: Ein Krankenhaus, das Patientendaten verarbeitet, muss einen Beauftragten für die Sicherheit personenbezogener Daten benennen. Als Nebentätigkeiten gelten dagegen die IT-Abteilung eines Unternehmens oder die Lohnbuchhaltung.
Können wir freiwillig einen DSB benennen, auch wenn wir die Anforderungen der DSGVO nicht erfüllen?
Auch wenn sie nicht den Anforderungen der allgemeinen Datenschutzgesetzgebung entspricht, kann eine Organisation freiwillig die Dienste eines Datenschutzbeauftragten in Anspruch nehmen. Diese Methode wird auch von der G29 gefördert.
Einrichtungen, die nicht der Pflicht zur Bestellung eines Datenschutzbeauftragten unterliegen und keinen Datenschutzbeauftragten benennen wollen, können jedoch auf Mitarbeiter oder externe Auftragnehmer zurückgreifen, die für den Schutz personenbezogener Daten zuständig sind. In diesem Fall muss sichergestellt werden, dass keine Missverständnisse über deren Aufgaben und Titel möglich sind und dass der für die Verarbeitung Verantwortliche seine Rechte und Pflichten wahrt.
Wie wählen Sie einen DSB aus, und was sind Ihre Aufgaben?
Auswahl eines Datenschutzbeauftragten
Die Auswahl eines Datenschutzbeauftragten muss unter Berücksichtigung einer Reihe von Anforderungen in Bezug auf Fachwissen und Ethik getroffen werden. Die Erfahrung des behördlichen Datenschutzbeauftragten sowohl auf technologischer als auch auf regulatorischer Ebene würde es ermöglichen, sich an die Komplexität der Verarbeitung und das erforderliche Schutzniveau für personenbezogene Daten anzupassen, insbesondere im Hinblick auf so genannte Daten. Ansprechbar oder außerhalb der Europäischen Union ansässig. Ausgezeichnete Kenntnisse der DSGVO und der nationalen und europäischen Datenschutzpraktiken und -vorschriften sind mehr als ausreichend. Der behördliche Datenschutzbeauftragte muss auch mit den Aktivitäten und der Funktionsweise der Organisation, für die er tätig ist, bestens vertraut sein, insbesondere auf IT-Ebene.
Der Datenschutzbeauftragte muss nicht nur über Fachwissen verfügen, sondern auch über die für seine Aufgaben erforderliche Berufsethik und Ehrlichkeit. Schließlich kann der Datenschutzbeauftragte ein Mitglied des Teams oder ein externer Dienstleister sein.
Der Auftrag des DSB
Der DSB, der innerhalb einer Organisation mit dem Leiter der DSGVO vergleichbar ist, übernimmt in erster Linie die Rolle des Informanten und Beraters des für die Datenverarbeitung Verantwortlichen oder seines Unterauftragnehmers und seiner Mitarbeiter.
Insbesondere muss der Datenschutzbeauftragte die verschiedenen an der Verarbeitung personenbezogener Daten beteiligten Parteien über die neuen Zuständigkeiten informieren und die Entscheidungsträger bei ihrer Entscheidungsfindung unterstützen, indem er sie auf die Folgen hinweist. Der behördliche Datenschutzbeauftragte muss auch ein echtes Interesse an allen Angelegenheiten haben, die den rechtzeitigen Schutz personenbezogener Daten betreffen. Wenn der Datenschutzbeauftragte ein Teammitglied ist, müssen ihm in diesem Zusammenhang die Ressourcen und die Zeit zugewiesen werden, die mit seinen Aufgaben verbunden sind.
Der DSB, der auch andere Aufgaben wahrnehmen darf, darf nicht in einen Interessenkonflikt geraten. Er unterliegt in jedem Fall der Schweigepflicht.
Es ist zu bedenken, dass der DSB nicht für die Einhaltung der DSGVO durch das Unternehmen verantwortlich ist, sondern der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter. Ähnlich verhält es sich, wenn der für die Verarbeitung Verantwortliche oder der Unterauftragnehmer die Stellungnahme des DSB nicht beachtet. In diesem Fall muss der DSB den Vorgang aufzeichnen, der dazu geführt hat, dass der für die Verarbeitung Verantwortliche oder der Unterauftragnehmer seine Empfehlungen nicht befolgt hat.
Zusammenfassend lässt sich sagen, dass der DSB ein Aspekt der internen und externen Zusammenarbeit ist, der als echter Bezugspunkt für die an der Datenverarbeitung Beteiligten dient, die er anleitet, und der als Ansprechpartner für die Aufsichtsbehörde dient, mit der er zusammenarbeiten muss.