Angesichts der rasant zunehmenden Auswirkungen der Technologie auf unser persönliches Leben ist es notwendig geworden, eine angemessene Datenschutzpolitik durchzusetzen.

Um das zu stärken, was man durchaus als „Datenschutzkultur“ bezeichnen könnte, haben mehrere Organisationen bereits damit begonnen, ein Datenschutzsystem innerhalb ihrer Organisation einzuführen. Dabei ist die Einstellung eines Datenschutzbeauftragten (DSB) eine der besten Praktiken.

DSB und DSGVO

Der behördliche Datenschutzbeauftragte ist keine neue Idee der Datenschutz-Grundverordnung, denn die „alte“ Datenschutzrichtlinie 95/46/EG enthielt bereits dieses Konzept der Verantwortlichkeit der für die Verarbeitung personenbezogener Daten Verantwortlichen.

Sie enthielt jedoch keine Bedingungen für die Ernennung eines DSB, die im Grunde dem Ermessen der Mitgliedstaaten überlassen wurden. Für die Bestimmung dieser Beauftragten bietet die Datenschutz-Grundverordnung mehr Anhaltspunkte.

Die behördlichen Datenschutzbeauftragten tun nichts, um die Einhaltung der Datensicherheitsvorschriften zu gewährleisten. Sie fungieren im Wesentlichen als Vermittler zwischen Aufsichtsbehörden, betroffenen Personen und Unternehmen.

Sie geben dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter auch Hinweise darauf, ob eine Datenschutz-Folgenabschätzung durchgeführt werden sollte oder nicht, sowie auf die korrekte Methodik für die Durchführung der Evaluierung. Außerdem enthalten sie Hinweise zu den anzuwendenden technischen und organisatorischen Vorkehrungen.

Wann soll ein DSB bestellt werden?

Artikel 37 (1) der Datenschutz-Grundverordnung schreibt die Bestellung eines DSB in drei Fällen vor:

Kerntätigkeiten sollten gemäß den Leitlinien der WP29 zu DSB als die Haupttätigkeiten des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters interpretiert werden. Datenverarbeitungsvorgänge müssen „ein untrennbarer Bestandteil der Funktion des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters“ sein.

Großer Maßstab

Wenn personenbezogene Daten in großem Umfang erhoben werden, fordert die Datenschutz-Grundverordnung die Benennung eines Datenschutzbeauftragten. Allerdings ist der Begriff „großes Ausmaß“ in der Datenschutz-Grundverordnung nicht definiert.

In Erwägungsgrund 91 heißt es: „Groß angelegte Verarbeitungen, die darauf abzielen, eine erhebliche Menge personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, und die eine große Anzahl von betroffenen Personen betreffen können und wahrscheinlich ein hohes Risiko mit sich bringen“.

WP29 beschrieb außerdem die entscheidenden Faktoren für groß angelegte Verarbeitungsaktivitäten:

Regelmäßige und systematische Überwachung

Obwohl die Definition von routinemäßiger und systematischer Überwachung in der Datenschutz-Grundverordnung nicht spezifiziert ist, können wir den Begriff „regelmäßig“ auf der Grundlage der WP29-Leitlinien als kontinuierlich fortlaufend, wiederkehrend oder regelmäßig stattfindend interpretieren.

Systematisch“ bezieht sich auf die Art eines Prozesses oder eines Systems. Ein Beispiel für eine routinemäßige und systematische Überwachung könnte die Ortung durch mobile Anwendungen sein.

Für Behörden ist die Benennung eines DSB angemessen. Für Unternehmen, die nicht in den Anwendungsbereich von Artikel 37 fallen, ist die Bestellung eines behördlichen Datenschutzbeauftragten jedoch nicht erforderlich, es sei denn, die Mitgliedstaaten zwingen sie durch ihre innerstaatlichen Rechtsvorschriften dazu (siehe die Rechtsvorschriften der Mitgliedstaaten zu den Bestimmungen über die Bestellung eines behördlichen Datenschutzbeauftragten).

Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter müssen sicherstellen, dass die behördlichen Datenschutzbeauftragten gemäß der Datenschutz-Grundverordnung ordnungsgemäß und rechtzeitig in alle Datenschutzangelegenheiten einbezogen werden.

Bei der Durchführung ihrer Aufgaben und Tätigkeiten müssen die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter ihre behördlichen Datenschutzbeauftragten unterstützen. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter sollten auch die Freiheit des DSB respektieren, und der DSB muss direkt mit der „obersten Führungsebene“ der Organisation kommunizieren können.

Wie wählt man den besten Datenschutzbeauftragten aus?

Es gibt keine genauen Anforderungen für die Auswahl eines DSB. Dennoch erfordert die DSGVO Fachwissen in dem Bereich, der für die Beratung und Aufklärung der Betroffenen, die Überwachung der Einhaltung der Vorschriften und die Ergebnisse der Folgenabschätzung geeignet ist.

Der DSB sollte auch mit der Aufsichtsbehörde zusammenarbeiten und als Ansprechpartner für die Aufsichtsbehörde bei Fragen im Zusammenhang mit Verarbeitungstätigkeiten und bei allen anderen Fragen fungieren. Es sei darauf hingewiesen, dass Unternehmen ihr eigenes Personal oder einen externen Dienstleister zum DSB ernennen können.

Die Bestellung eines behördlichen Datenschutzbeauftragten ist nicht für alle Unternehmen erforderlich. Auch wenn die Ernennung eines DSB für Ihr Unternehmen nicht unbedingt angebracht ist, ist es eine gute Praxis, die Datenschutzgesetze einzuhalten und eine klare Datenschutzkultur in Ihrer Organisation durchzusetzen.