DSFA erstellen, Mitarbeiter schulen, Datenschutzerklärungen prüfen – drei typische Aufgaben des DSB. Lesen Sie hier, welche Aufgaben zum Alltag des externen Datenschutzbeauftragten gehören.
Die Aufgaben des externen Datenschutzbeauftragten sind vielfältig. Daher sind neben datenschutzrechtlicher Kompetenz auch soziale, technische und organisatorische Fähigkeiten gefragt.
Aber der Reihe nach.
Beginnen wir formal mit der Herleitung der Rechtsgrundlage. Die Aufgaben des Datenschutzbeauftragten sind in Art. 38 und Art. 39 DSGVO geregelt:
Seine Aufgabe ist es, durch Beratung und Kontrolle einen wirksamen Schutz personenbezogener Daten zu gewährleisten. Bei der Erfüllung seiner Aufgaben ist er weisungsfrei, aber nicht weisungsbefugt. Das heißt, er trifft keine eigenständigen Entscheidungen zur Umsetzung des Datenschutzes.
Verantwortlich für die Einhaltung der datenschutzrechtlichen Pflichten bleibt die verantwortliche Stelle, also das jeweilige Unternehmen, der Verein, die Behörde etc. Der Datenschutzbeauftragte ist von der Leitung rechtzeitig in alle Fragen des Schutzes personenbezogener Daten einzubinden.
In Kürze: Ein Datenschutzbeauftragter ist ein Experte auf dem Gebiet des Datenschutzes. Er hat insbesondere die Aufgabe, die Umsetzung der Vorgaben der DSGVO und anderer datenschutzrechtlicher Regelungen im Unternehmen sicherzustellen und Datenschutzverstöße zu verhindern.
Sie haben bereits einen externen Datenschutzbeauftragten und möchten einen schnellen Preis-Leistungs-Vergleich? Nutzen Sie unsere Rechner für eine individuelle Preiskonfiguration.
Unter Unterrichtung ist die Pflicht zu verstehen, allgemein über die datenschutzrechtlichen Pflichten zu informieren. Unter Beratung ist die Unterstützung bei der Lösung konkreter
zu verstehen. Diese Verpflichtung besteht gegenüber dem Verantwortlichen selbst und seinen Mitarbeitern. Der Versand eines regelmäßigen Rundschreibens oder eines Newsletters kann sinnvoll sein, um die Mitarbeiter regelmäßig zu informieren.
Der Datenschutzbeauftragte ist gewissermaßen die Außenstelle der Aufsichtsbehörde, die „ein Auge“ darauf hat, dass die datenschutzrechtlichen Vorgaben in der Organisation/ im Unternehmen eingehalten werden.
Dazu greift er auf spezielle Überwachungsmaßnahmen zurück. Diese umfassen u.a.:
Der Umfang der Aufsichtspflicht lässt sich aus der Vielzahl der Verarbeitungen personenbezogener Daten eines Arbeitnehmers erahnen. Beispielsweise werden personenbezogene Daten erstmals bei der Bewerbung verarbeitet. Im Laufe des Arbeitsverhältnisses werden dann zahlreiche weitere Datenverarbeitungsvorgänge mit dem Mitarbeiter durchgeführt, seien es Krankmeldungen, ggf. Leistungskontrollen oder Arbeitszeiterfassungen etc.
Darüber hinaus sind Verarbeitungstätigkeiten gegenüber Kunden, Lieferanten, Geschäftspartnern etc. vorgesehen. Es müssen alle Verarbeitungsinstrumente überwacht werden (z. B. verschiedene Datenbanken, Videoüberwachung, Website-Tracking, Apps). Die Überwachung der rechtmäßigen Erhebung, der sicheren Verarbeitung und der fristgerechten Löschung ist bei diesen Verarbeitungstätigkeiten erforderlich. Insgesamt sind die zu überwachenden Verarbeitungstätigkeiten sehr umfangreich. Um eine effektive Überwachung zu gewährleisten, sollten darüber hinaus regelmäßig Kontrollen vor Ort bei den Mitarbeitern hinsichtlich der Einhaltung der datenschutzrechtlichen Vorgaben durchgeführt werden. Zum Nachweis, dass der Datenschutzbeauftragte seine Überwachungsaufgabe ordnungsgemäß erfüllt hat, sollte dies dokumentiert werden.
Der Aufgabenbereich des Datenschutzbeauftragten hat sich durch die DSGVO erweitert. Früher hatte er lediglich auf die Einhaltung der datenschutzrechtlichen Vorschriften hinzuwirken. Nach der neuen Rechtslage hat er über die Einhaltung des Datenschutzrechts zu beraten, zu informieren und diese zu überwachen.
Der Gesetzeswortlaut sieht vor, dass der Datenschutzbeauftragte bereits bei seiner Bestellung über das erforderliche Fachwissen verfügen muss, um seine Aufgaben erfüllen zu können. Die Forderung nach einem umfassenden Fachwissen des Datenschutzbeauftragten von Anfang an ist jedoch in der Praxis häufig nicht umsetzbar, da sich viele Fragen im laufenden Betrieb zum ersten Mal stellen. Dass sich der Datenschutzbeauftragte das erforderliche Fachwissen während einer Einarbeitungszeit aneignet, ist daher vertretbar. Um seine Aufgaben erfüllen zu können, muss der Datenschutzbeauftragte vom Verantwortlichen die notwendigen Ressourcen zur Verfügung gestellt bekommen.
Grundsätzlich gilt: Die Ressourcen und das Fachwissen des Datenschutzbeauftragten sollten umso umfangreicher sein, je umfangreicher und komplexer die Verarbeitungsvorgänge eines Unternehmens sind. Wer diesen „Aufwand“ scheut, kann auch einen externen Datenschutzbeauftragten bestellen, der durch entsprechende Ausbildung bereits umfassende Fachkenntnisse besitzt.
Bei der Gestaltung von Rechtsdokumenten mit datenschutzrechtlichem Bezug steht der Datenschutzbeauftragte beratend zur Seite. Konkret kann es sich dabei beispielsweise um Betriebsvereinbarungen, Richtlinien/Direktiven für den privaten Gebrauch von Internet und E-Mail, den Umgang mit Auskunftsersuchen von Betroffenen oder um eine allgemeine Datenschutzrichtlinie handeln.
Wichtig ist auch die Beratung bei der Erstellung von Datenschutzerklärungen zur Erfüllung von Informationspflichten, z.B. für die Website oder für Antragsteller. Um die datenschutzrechtlichen Nachweis- und Rechenschaftspflichten zu erfüllen, ist ein wesentlicher Baustein, eine Datenschutzdokumentation zu erstellen. Der Nachweis, dass Datenschutz in einem Unternehmen „gelebt“ wird, kann in der Regel nur so erbracht werden.
Der Verantwortliche ist verpflichtet, bei bestimmten Datenverarbeitungen eine Datenschutz-Folgenabschätzung durchzuführen. Bei der Durchführung einer solchen DSFA hat der Verantwortliche den Datenschutzbeauftragten um Rat zu fragen, beispielsweise im Hinblick auf die Notwendigkeit einer DSFA, das Vorgehen bei Rückfragen und die vorherige Konsultation der Aufsichtsbehörden. Nach dem Wortlaut des Gesetzes muss der Datenschutzbeauftragte also in allen Fragen, die mit dem Schutz personenbezogener Daten in Zusammenhang stehen, frühzeitig und angemessen beteiligt werden.
Sowohl die für die Verarbeitung Verantwortlichen als auch die Auftragsverarbeiter müssen ein Verarbeitungsverzeichnis erstellen. Dieses kann je nach Unternehmensgröße sehr umfangreich sein. Der Datenschutzbeauftragte berät bei der Erstellung des Registers und kann die Kohärenz des Registers prüfen. Nicht in den Aufgabenbereich des Datenschutzbeauftragten fällt jedoch die eigentliche Erstellung.
Auch bei der Einrichtung wichtiger Prozesse und Berichtslinien ist häufig die Unterstützung des Datenschutzbeauftragten erforderlich. Die kurze Frist von nur 72 Stunden für die Meldung von Datenschutzverstößen macht es fast unumgänglich, effiziente Prozesse zu etablieren, so dass jeder Mitarbeiter sofort weiß, wann es sich um einen Datenschutzvorfall handelt und wie der DSB in diesem Fall zu involvieren ist. Auch die relativ kurze Frist von einem Monat für die Bearbeitung von Anfragen von betroffenen Personen erfordert einen Prozess, in dem die Zuständigkeiten und die mögliche Einbeziehung des DSB bereits im Vorfeld genau festgelegt sind.
Der Datenschutzbeauftragte hat auch die Aufgabe, die Mitarbeiter zu informieren und zu beraten. Davon zu unterscheiden ist die Schulung der Mitarbeiter. Es ist Aufgabe des Verantwortlichen, die Mitarbeiter zu schulen. Aufgabe des Datenschutzbeauftragten ist lediglich die Überwachung der ordnungsgemäßen Durchführung der Schulung. Da die Grenzen zwischen Unterrichtung und Schulung jedoch fließend sind, sollte der Datenschutzbeauftragte zumindest in die Konzeption der Schulungen einbezogen werden.
Häufig übernimmt der Datenschutzbeauftragte auch selbst die Schulung der Mitarbeiter. Auf Fragen, die sich aus der täglichen Arbeit ergeben, kann er gut eingehen. Darüber hinaus haben Schulungen eine vertrauensbildende Wirkung, so dass die Hemmschwelle der Mitarbeiterinnen und Mitarbeiter zur Kontaktaufnahme mit dem Datenschutzbeauftragten geringer wird. Die Schulungen können allgemein oder bei Bedarf auch bereichsbezogen durchgeführt werden, z. B. Datenschutz im Gesundheitswesen, im Marketing oder beim internationalen Datenaustausch.
Hilfreich kann es auch sein, wenn der Datenschutzbeauftragte konkrete Hilfestellung am Arbeitsplatz leistet, indem er dort erklärt, worauf konkret zu achten ist.
Kontrollen durch den Arbeitgeber sind z. B. erforderlich, wenn die private Nutzung von Internet und E-Mail verboten ist oder Missbrauch befürchtet wird. In diese Kontrollen ist der Datenschutzbeauftragte einzubeziehen, damit alle Rechte der Arbeitnehmer gewahrt bleiben.
Der Datenschutzbeauftragte ist verantwortlich für die Unterrichtung neuer Mitarbeiter über die Datenschutzpolitik des Unternehmens und die Art und Weise, in der diese Politik im Onboarding-Prozess berücksichtigt wird. Während des Onboarding-Prozesses hat der Datenschutzbeauftragte die Aufsicht darüber, dass nur die erforderlichen personenbezogenen Daten erhoben werden und dass den neuen Mitarbeitern angemessene Zugriffsrechte gewährt werden.
Sofern das Unternehmen einen Internet-Auftritt pflegt, ist es dazu verpflichtet, die Betroffenen über die Nutzung von Cookies zu informieren. Dazu muss ein sogenanntes “Cookie-Banner” integriert werden, das es Websitebesuchern ermöglicht, der Verwendung von Cookies zuzustimmen respektive diese abzulehnen.
Der Datenschutzbeauftragte ist für die korrekte Implementierung und den Betrieb dessen verantwortlich. Dabei ist es vorteilhaft, einen Service in Anspruch zu nehmen, der die Einrichtung eines Cookie-Banners vereinfacht.
Die Verarbeitung personenbezogener Daten beginnt bereits bei der Bewerbung. Im Laufe der Anstellung kommt es zu zahlreichen weiteren Datenverarbeitungsvorgängen, zum Beispiel Krankschreibungen, Leistungskontrollen oder die Erfassung der Arbeitszeiten. Alle Mittel der Verarbeitung müssen überwacht werden, beispielsweise verschiedene Datenbanken, Videoüberwachungen, Website-Tracking und Apps. Hinsichtlich dieser Verarbeitungstätigkeiten muss u. a. die rechtmäßige Erhebung, die sichere Verarbeitung und die fristgerechte Löschung überwacht werden. Die zu überwachenden Verarbeitungstätigkeiten sind sehr umfassend – es besteht erhebliches Potenzial zur Verbesserung der innerbetrieblichen Prozessoptimierung.
Zu den Aufgaben des Datenschutzbeauftragten gehört auch die Beratung des Betriebsrats. Hier kann der Datenschutzbeauftragte mitunter neben seiner technischen Beratung auch seine mediatorischen Fähigkeiten unter Beweis stellen.
Sie möchten sich einen ersten schnellen Überblick über die Kosten eines eDSB verschaffen? Nutzen Sie unseren Rechner für eine individuelle Preiskonfiguration.
Der Datenschutzbeauftragte gilt als Anlaufstelle für jegliche Datenschutzbelange. Dabei ist diese Aufgabe unabhängig davon, ob es sich dabei um die interne oder externe Kommunikation handelt. Er ist verantwortlich für den reibungslosen Ablauf aller Datenschutz-Prozesse und verfügt über umfangreiche Kenntnis aller Datenschutz-Themen innerhalb des Unternehmens. Damit bildet er die qualifizierteste Funktion in Bezug auf die datenschutzspezifische Kommunikation.
In Fragen des Datenschutzes ist der Datenschutzbeauftragte erster Ansprechpartner. Intern steht er dem Arbeitgeber, den Arbeitnehmern und dem Betriebsrat mit Rat und Tat zur Seite. Er muss aber auch „extern“ für Kunden, Lieferanten und andere Betroffene erreichbar sein, z.B. für Auskünfte zu Datenschutzfragen.
Eine einfache Auffindbarkeit der Kontaktdaten des Datenschutzbeauftragten sollte daher gewährleistet sein. Hierfür bietet es sich an, die Kontaktdaten auf der Website, im Intranet oder auf Beiblättern zu den Verträgen dauerhaft zur Verfügung zu stellen. Bestandteil der Kontaktdaten sollten die Postanschrift und die E-Mail-Adresse sein, die Angabe der Telefonnummer kann optional sein.
Der Datenschutzbeauftragte soll die Einhaltung der datenschutzrechtlichen Vorschriften in Unternehmen oder anderen Organisationen gewissermaßen als „Außenstelle der zuständigen Aufsichtsbehörde“ sicherstellen. Er soll den Aufsichtsbehörden als kompetenter Ansprechpartner für Anfragen und Kontrollen zur Verfügung stehen und bei besonders risikobehafteten Verarbeitungen im Vorfeld mit der Aufsichtsbehörde Rücksprache halten. Eine Meldepflicht der Kontaktdaten des Datenschutzbeauftragten an die Aufsichtsbehörde besteht daher ebenfalls.
Einhaltung und Kontrolle des Datenschutzes im Unternehmen durch Cortina Consult.
Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
Registrieren Sie sich für unseren kostenlosen Newsletter mit lesenswerten Neuigkeiten zum Datenschutz und Best-Practices zur Umsetzung.
* Pflichtfeld. Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
