INFORMATIONEN

Wie ernennt man den richtigen DSB?

Die DSGVO enthält spezifische Leitlinien, die Unternehmen bei der Benennung eines Datenschutzbeauftragten für ihre Durchsetzungsmaßnahmen berücksichtigen sollten. Zusätzlich zu den richtigen Qualifikationen müssen Unternehmen jedoch auch in der Lage sein zu definieren, was der „richtige“ Datenschutzbeauftragte für sie bedeutet.

Um entscheiden zu können, was bei Ihrem Unternehmen der Fall ist, müssen Sie zunächst die in der DSGVO festgelegten Kriterien gut verstehen und dann die in diesem Blogbeitrag beschriebenen bewährten Verfahren in Betracht ziehen, um herauszufinden, was speziell für Ihr Unternehmen am besten ist.

Wann ist die Bestellung eines DSB obligatorisch?

Artikel 37 DSGVO legt fest, dass die Bestellung eines DSB als obligatorisch gilt, wenn eine Agentur dies für erforderlich hält.

Die Ernennung eines DSB ist für Organisationen, die dies sind, obligatorisch:

  • Eine öffentliche Behörde oder Einrichtung (mit Ausnahme von Gerichten, die in ihrer gerichtlichen Eigenschaft tätig sind);
  • Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter, dessen Haupttätigkeit die groß angelegte, routinemäßige und strukturierte Überwachung von Personen ist (z. B. Überwachung von Online-Aktivitäten), oder
  • Ein Datenverwalter oder -verarbeiter, dessen wesentliche Aufgaben in der umfangreichen Verarbeitung von Datenkategorien oder von Daten über strafrechtliche Verurteilungen und Straftaten bestehen.
  • Was Ihrem Unternehmen bei der Entscheidung helfen könnte, ob Ihre Verarbeitung als „umfangreich“ einzustufen ist, ist ein Blick in die Leitlinien der Arbeitsgruppe 29, in denen einige der zu berücksichtigenden Merkmale aufgeführt sind.

    Der Leitfaden weist darauf hin, dass das Unternehmen dies berücksichtigen sollte:

  • Die Anzahl der betroffenen Personen.
  • Die Menge der verarbeiteten personenbezogenen Daten.
  • Die Vielfalt der zu verarbeitenden Daten, der geografische Geltungsbereich der Tätigkeit und die Dauer der Verarbeitung.
  • Welche Berechtigungsnachweise benötigt der DSB?

    In Artikel 37 DSGVO wird darauf hingewiesen, dass eine Agentur einen Datenschutzbeauftragten auf der Grundlage seiner „fachlichen Qualitäten und insbesondere seiner Erfahrungen und Fähigkeiten im Bereich des Datenschutzrechts und der Datenschutzpraxis sowie seiner Fähigkeit zur Wahrnehmung der in Artikel 39 DSGVO genannten Aufgaben“ auswählen sollte.

    Die Arbeitsgruppe 29 (jetzt EDPB) legt auch Kriterien fest, die die Qualifikation des behördlichen Datenschutzbeauftragten umfassen und warum:

    Fachwissen und berufliche Qualitäten

    Die Datenschutz-Grundverordnung legt zwar nicht das genaue Kompetenzniveau fest, das der DSB aufweisen sollte, doch sollte das Fachwissen mit der Sensibilität, der Komplexität und dem Umfang der personenbezogenen Daten, die von der Organisation verarbeitet werden, vereinbar sein.

    Von den behördlichen Datenschutzbeauftragten wird erwartet, dass sie über ein gewisses Maß an Kompetenz in Bezug auf die nationalen und europäischen Datenschutzvorschriften und -normen sowie über ein gründliches Verständnis der Datenschutz-Grundverordnung verfügen.

    Auch die Erfahrung mit dem Wirtschaftssektor, genauer gesagt mit der Branche, in der das Unternehmen tätig ist, wird von zusätzlichem Nutzen sein. Der DSB sollte auch ein tiefgreifendes Verständnis der Art und Weise der Verarbeitung sowie der Informationstechnologie und der Datensicherheitsanforderungen des Unternehmens mitbringen.

    Im Falle einer Behörde oder einer öffentlichen Einrichtung müsste der DSB über ein gewisses Maß an Wissen über die Verwaltungsvorschriften und -verfahren der Organisation verfügen.

    Was besagt die DSGVO über die Pflichten des DSB?

    In Artikel 39 sind die Zuständigkeiten des DSB wie folgt festgelegt:

  • Benachrichtigung und Aufklärung des Unternehmens und der Mitarbeiter über ihre Pflichten zur Einhaltung der DSGVO und anderer Datenschutzgesetze;
  • Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften sowie der Datenschutzrichtlinien des Unternehmens, einschließlich der Verwaltung interner Datenschutzaktivitäten; Sensibilisierung für Datenschutzbelange, Schulung der Mitarbeiter und Durchführung interner Audits;
  • Beratung und Überwachung der Folgenabschätzung des Datenschutzes;
  • Einhaltung der Aufsichtsbehörde;
  • Erste Anlaufstelle für Aufsichtsbehörden und Personen, deren Daten verarbeitet werden (Mitarbeiter, Kunden usw.);
  • Das mit der Herstellung verbundene Risiko muss berücksichtigt werden. Sie müssen das Vorhandensein, den Umfang, die Bedeutung und die Absicht der Verarbeitung berücksichtigen.
  • Es ist zu bedenken, dass die Aufgaben des DSB alle Tätigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten umfassen, nicht nur diejenigen, für die er gemäß Artikel 37 der Datenschutz-Grundverordnung bestellt werden muss.

    Die Position des DSB

    Im Allgemeinen muss der DSB in Bezug auf die Sicherheit personenbezogener Daten eng mit dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter zusammenarbeiten. Der DSB muss sowohl von dem für die Verarbeitung Verantwortlichen als auch von dem Auftragsverarbeiter die erforderlichen Informationen erhalten, um Zugang zu den gespeicherten personenbezogenen Daten und den Verarbeitungsvorgängen zu erhalten.

    Der DSB darf jedoch von keinem der beiden Weisungen entgegennehmen, da er unabhängig bleiben und direkt der höchsten Führungsebene des Unternehmens unterstellt sein muss.

    Die behördlichen Datenschutzbeauftragten sollten nicht nur die Risiken und Chancen bei den Durchsetzungsmaßnahmen des Unternehmens genau erkennen, insbesondere durch die Durchführung von Datenschutzfolgenabschätzungen, sondern auch versuchen, ihre Datenschutzbemühungen zu verstärken und ein angemessenes Maß an Datenschutzwissen innerhalb des Unternehmens zu schaffen.

    So wichtig die internen Aufgaben des DSB sind, so wichtig sind auch die externen Aufgaben. Die DSB sollten in der Lage sein, im Namen der Organisation mit den zuständigen Datenschutzbehörden und den Aufsichtsbehörden zusammenzuarbeiten und als Hauptansprechpartner für die Bemühungen der Organisation, die Einhaltung der DSGVO sicherzustellen, zu fungieren.

    Die behördlichen Datenschutzbeauftragten sind auch unmittelbar für die Bearbeitung von Anträgen auf Zugang zu personenbezogenen Daten und Beschwerden im Zusammenhang mit der Verwendung personenbezogener Daten zuständig.

    Der richtige DSB – die richtige Investition

    Es kann schwierig sein, den richtigen Bewerber für die Stelle des DSB zu finden, da es möglicherweise nicht viele Personen gibt, die den Anforderungen entsprechen. Wenn Ihr Unternehmen noch unsicher ist, wo es seine Durchsetzungsbemühungen beginnen soll, könnte die Einstellung eines externen DSB die beste Option sein.

    Wenn Sie jedoch mehr Einfluss und Einblick in die Durchsetzung Ihrer Organisation und in die Bereiche, in denen Änderungen erforderlich sind, gewinnen, kann die Ernennung eines internen Datenschutzbeauftragten in Voll- oder Teilzeit die nächste Priorität werden.

    Soziale Netzwerke und DSGVO

    Seit dem Inkrafttreten der Allgemeinen Datenschutzverordnung im Mai 2018 wurde die digitale Beziehung zwischen Unternehmen und Kunden völlig neu überdacht. Unternehmen müssen in der Tat

    mehr »