Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 04/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen

Datenschutzbeauftragte

Der oder die Datenschutzbeauftragte (DSB) ist eine Person, die der Selbstkontrolle bei Stellen dient, die personenbezogene Daten verarbeiten (d.h. bei Verantwortlichen und Auftragsverarbeitern).

Er oder sie hat dort die Aufgabe,

  • die Einhaltung der Datenschutzvorschriften zu überwachen,
  • die Beteiligten über ihre Pflichten zu unterrichten und sie zu beraten sowie
  • mit der Datenschutz-Aufsichtsbehörde zusammenzuarbeiten und als deren Anlaufstelle zu dienen.

➜ Mehr zu Datenschutzbeauftragten

Download Checkliste: Prüfungsvorbereitung MS 365

DP+
Microsoft 365
Download Checkliste: Prüfungsvorbereitung MS 365

Microsoft 365 ist eine zunächst unüberschaubare Ansammlung von Anwendungen. Wo fangen Sie an als Datenschutzbeauftragter, wenn Sie ein Audit planen?

Download
2. März 2021

Datenschutzaudit mobiles Arbeiten und Homeoffice

Auch Datenschutzaudits sind per Videokonferenz durchführbar
Bild: iStock.com / South_agency
Virtuelle Begehung
Datenschutzaudit mobiles Arbeiten und Homeoffice

Wie überwacht der DSB den Datenschutz im Homeoffice? Denn grundsätzlich ist ja bei einer Begehung z.B. das Grundrecht der Unverletzlichkeit der Wohnung zu beachten oder Hygienevorschriften. Wie so oft derzeit gilt auch hier: besser virtuell als gar nicht.

Ratgeber
26. Februar 2021

Microsoft 365: Prüfpflichten des DSB (Teil 1): Ein erster Überblick

Die gute Nachricht: Microsoft berücksichtigt zunehmend die Bedeutung von Compliance und Datenschutz
Bild: iStock.com / typhoonski
Datenschutz bei Microsoft 365
Microsoft 365: Prüfpflichten des DSB (Teil 1): Ein erster Überblick

Was können Sie für einen möglichst datenschutzfreundlichen Einsatz tun? Was ist zu prüfen? Was sind Prüfkriterien und die Inhalte eines Prüfplans? Welche Hilfsmittel bietet MS 365? Wie kommen Sie ins Handeln bei diesem vermeintlich riesigen Aufgabenberg?

Analyse
19. Februar 2021

Phishing-Simulationen: Darauf müssen Sie achten

Um Mitarbeiterinnen und Mitarbeiter für das Phishing-Risiko zu sensibilisieren, setzen Unternehmen auch auf Phishing-Simulationen. Dabei gibt es einiges zu beachten.
Bild: iStock.com / drogatnev
Tipps für die Datenschutz-Schulung
Phishing-Simulationen: Darauf müssen Sie achten

In den letzten Monaten warnten Sicherheitsbehörden vor Phishing-Wellen im Zusammenhang mit der Covid-19-Pandemie. Schon zuvor war Phishing eine ernstzunehmende Gefahr für den Schutz personenbezogener Daten. Grund genug, eine spezielle Schulung anzubieten. Wer dabei Phishing-Simulationen nutzt, sollte das genau vorbereiten.

Ratgeber
7. Dezember 2020

Datenschutz-Richtlinien auf dem Prüfstand des DSB

DP+
Datenschutz-Richtlinien auf dem Prüfstand des DSB
Richtlinienkonzept
Datenschutz-Richtlinien auf dem Prüfstand des DSB

Welche Richtlinien brauchen Verantwortliche im Datenschutz? Wie viele Richt­linien sind ein „gesundes Maß“, welche sollten keinesfalls fehlen? Und wie sollten sie aufgebaut sein? Sind sie bekannt, befolgen die Mitarbeitenden sie? Gehen Sie diesen Fragen doch einmal auf den Grund.

Analyse
27. November 2020

Was sollten DSB für sich selbst dokumentieren?

DP+
Was sollten DSB für sich selbst dokumentieren?
Bild: iStock.com / Olga Kurbatova
Keine Dokumentations-Pflicht, aber empfehlenswert
Was sollten DSB für sich selbst dokumentieren?

DSB unterrichten, beraten, prüfen, überwachen und kontrollieren. Daneben sind sie Anlaufstelle für die Aufsichtsbehörden. Sinnvoll ist es, all diese Tätigkeiten zu dokumentieren – auch aus Haftungsgründen. Fraglich ist, wie umfangreich diese Dokumentation sein muss.

Ratgeber
7. Oktober 2020

TTDSG: Neues Datenschutzrecht für Telekommunikation & Telemedien

TTDSG: Neues Datenschutzrecht für Telekommunikation & Telemedien
Bild: iStock.com / tortoon
Gesetzgebung
TTDSG: Neues Datenschutzrecht für Telekommunikation & Telemedien

Seit Kurzem kursiert der Entwurf für ein „Telekommunikations-Telemedien-Datenschutzgesetz – TTDSG“. Da kommt die Frage auf: Fortschritt, Status quo oder Rückschritt? Jedenfalls wird das Gesetz, so es denn kommt, ein Zwischenschritt bis zur ePrivacy-Verordnung.

Analyse
1. Oktober 2020

Download Muster: Benennung zum Datenschutzbeauftragten

Download Muster: Benennung zum Datenschutzbeauftragten

Die DSGVO bringt einige Änderungen auch in puncto Datenschutzbeauftragter. Was ist nun inhaltlich zu beachten? Das Muster zeigt eine mögliche Form der Bestellung.

Download
28. August 2020

Abberufung eines DSB wegen Pflichtverletzungen

DP+
Abberufung eines DSB wegen Pflichtverletzungen
Bild: iStock.com / AndreyPopov
Zuverlässigkeit und Fachkunde
Abberufung eines DSB wegen Pflichtverletzungen

Angenommen, der DSB übersieht etwas beim Datenschutz. Kann das eine schuldhafte Pflichtverletzung sein, die seine Abberufung rechtfertigt? Und angenommen, er macht bei seinen Aufgaben außerhalb des Datenschutzes einen Fehler. Kann das zur Abberufung als DSB führen?

Urteil
3. August 2020

Interessenkonflikte beim DSB

Interessenkonflikte beim DSB
Bild: iStock.com / riedjal
Aktueller Diskussionsstand
Interessenkonflikte beim DSB

Wohl die meisten internen Datenschutzbeauftragten erfüllen noch andere Aufgaben. Und externe sind oft für mehrere Unternehmen tätig. Stets stellt sich die Frage, ob Interessenkonflikte auftreten. Die DSGVO zwingt hier dazu, gewohnte Sichtweisen neu zu bewerten.

Hintergrund
25. Juli 2020
16 von 22

Behörden und öffentliche Stellen müssen grundsätzlich einen Datenschutzbeauftragten benennen. Für nicht-öffentliche Stellen (Wirtschaftsunternehmen) besteht diese Pflicht vor allem, wenn sie risikobasierte Tätigkeiten ausüben oder wenn sie (das gilt nur in Deutschland) mindestens 20 Personen mit der Verarbeitung von personenbezogenen Daten beschäftigen. Diese Schwelle wurde mit der BDSG-Novelle 2019 von ursprünglich zehn Personen verdoppelt.

Muss kein Datenschutzbeauftragter bestellt sein oder ist keiner bestellt, ist die Geschäftsleitung selbst dafür verantwortlich, die Einhaltung sämtlicher Datenschutzvorschriften zu überwachen.

Gesetze und Vorschriften zum Datenschutzbeauftragten

  • Art. 37 DSGVO (Benennung eines Datenschutzbeauftragten durch Behörden und öffentliche Stellen sowie in bestimmten Fällen durch nicht-öffentliche Stellen) mit Erwägungsgrund 97 der Datenshcutz-Grundverordnung (DSGVO)
  • Art. 38 DSGVO (Stellung des Datenschutzbeauftragten)
  • Art. 39 DSGVO (Aufgaben des Datenschutzbeauftragten)
  • §§ 5, 6 und 7 BDSG (in Deutschland für öffentliche Stellen des Bundes: Benennung, Stellung und Aufgaben eines Datenschutzbeauftragten)
  • § 38 BDSG (Benennung eines Datenschutzbeauftragten durch nicht-öffentliche Stellen in Deutschland)

Pflicht zur Benennung

Behörden und öffentliche Stellen müssen grundsätzlich einen Datenschutzbeauftragten / eine Datenschutzbeauftragte benennen (mit Ausnahme von Gerichten, soweit es deren justizielle Tätigkeiten betrifft). Dies steht in Art. 37 Abs. 1 Buchstabe a DSGVO. Für Deutschland ergibt sich das inhaltsgleich auch aus § 5 Abs. 1 BDSG.

Nicht-öffentliche Stellen, das heißt Wirtschaftsunternehmen und Personenvereinigungen des privaten Rechts (z.B. GmbH, Gewerbetreibende, Selbstständige oder Vereine) innerhalb der EU müssen dann einen DSB ernennen (gemäß Art. 37 Abs. 1 Buchstabe b und c DSGVO), wenn ihre Kerntätigkeit in einer umfangreichen Verarbeitung besteht

  • von personenbezogenen Daten, die eine regelmäßige und systematische Überwachung von Personen erfordert (Beispiel: „Big-Data“-Auswertungen) oder
  • von besonderen Kategorien personenbezogener Daten (im Sinne von Art. 9 DSGVO) oder von strafrechtlichen Verurteilungen und Straftaten (im Sinne von Art. 10 DSGVO).

In Deutschland sind die Voraussetzungen niedriger (§ 38 BDSG; gemäß der Öffnungsklausel in Art. 37 Abs. 4 DSGVO). Nicht-öffentliche Stellen müssen bereits dann Datenschutzbeauftragte benennen, wenn sie

  • in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen oder
  • eine Datenschutz-Folgenabschätzung durchführen müssen oder
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.

Auch auf freiwilliger Basis möglich

Aber auch wenn diese Voraussetzungen nicht vorliegen, kann es sinnvoll sein, auf freiwilliger Basis einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte zu benennen. Denn die DSGVO stellt umfangreiche und vielfältige Aufgaben, die eine zentrale Stelle besser koordinieren kann. Das hilft  dabei, Risiken und Geldbußen zu minimieren.

Hat ein Unternehmen einen Datenschutzbeauftragten ernannt, muss es  seine Kontaktdaten veröffentlichen und der Aufsichtsbehörde mitteilen (Art. 37 Abs. 7 DSGVO).

Zuständigkeit für mehrere Verantwortliche

Behörden oder öffentliche Stellen dürfen einen gemeinsamen Datenschutzbeauftragten benennen.

Unternehmensgruppen (Konzernen) dürfen ebenfalls einen gemeinsamen DSB benennen, wenn und soweit er sich von jeder Niederlassung aus leicht erreichen lässt. Damit ist nicht nur die persönliche Präsenz, sondern es sind auch sprachliche Barrieren gemeint.

Es ist ebenfalls zulässig, eine Person außerhalb des Unternehmens oder der Behörde zum Beauftragten zu ernennen (Art. 37 Abs. 6 DSGVO), beispielsweise einen Mitarbeiter eines anderen Konzernunternehmens oder einen spezialisierten Dienstleister (externe Datenschutzbeauftragte).

Qualifikation von  Datenschutzbeauftragten

Zum / zur Datenschutzbeauftragten darf nur benannt werden, wer die folgenden Voraussetzungen erfüllt (Art. 37 Abs. 5 DSGVO):

Berufliche Qualifikation

Insbesondere Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis: Es muss sichergestellt sein, dass der / die Beauftragte ein entsprechendes Fachwissen besitzt. Wie er es erwirbt, ist nicht festgelegt – es gibt keine einheitlichen Ausbildungsstandards und keinen besonderen Ausbildungsgang. Bestandteile der beruflichen Qualifikation sollten Kenntnisse sein in

  • Recht (vor allem Datenschutzrecht),
  • Technik (Umgang mit, Verwendung von und Schutz von personenbezogenen Daten in der IT) sowie
  • Organisation (z.B. Entscheidungsabläufe und Entscheidungsstrukturen).

Nach der Benennung muss der DSB sein Wissen auf einem aktuellen Stand halten, beispielsweise durch Seminare, Fachliteratur oder Internetrecherchen. Die berufliche Qualifikation sollten Datenschutzbeauftragte nachweisen können, etwa durch Zeugnisse und Zertifikate. Die Kosten, die durch eine Aus- oder Weiterbildung entstehen, muss der Arbeitgeber tragen (Art. 38 Abs. 2 DSGVO).

Fähigkeit, die gesetzlichen Aufgaben zu erfüllen

Die Aufgaben von Datenschutzbeauftragten sind in Art. 39 DSGVO niedergelegt. DSB müssensoziale Kompetenz und Kommunikationsfähigkeit besitzen, um den Überwachungs- und Kommunikationsaufgaben nachkommen zu können.

Dazu zählt auch, dass sie keinen Interessenkonflikten ausgesetzt sein dürfen – der Kontrollierte darf nicht zum Kontrolleur werden (vgl. auch Art. 38 Abs. 6 DSGVO). Nicht als Datenschutzbeauftragte geeignet sind somit Geschäftsführer, IT-Leiter, Personalleiter sowie andere leitende Mitarbeiter.

Die Tiefe der Kenntnisse kann je nach Tätigkeitsbereichen des Verantwortlichen variieren. So muss beispielsweise der Datenschutzbeauftragte in einem Krankenhaus eine andere Mindestqualifikation besitzen als die Datenschutzbeauftragte in einem Maschinenbau-Unternehmen.

Aufgaben von Datenschutzbeauftragten

Die Aufgaben von Datenschutzbeauftragten schreibt Art. 39 DSGVO fest. Demnach besitzen sie die folgenden Aufgaben:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters sowie derjenigen Beschäftigten, die Verarbeitungen durchführen, über die Datenschutzvorschriften
  • Überwachung der Einhaltung der Datenschutzvorschriften, einschließlich der Überprüfung, ob Zuständigkeiten ordnungsgemäß geklärt sind und ob die Mitarbeiter im Datenschutz geschult und sensibilisiert sind. (Die Schulung selbst müssen Datenschutzbeauftragte nicht unbedingt selber durchführen.)
  • bei Datenschutz-Folgenabschätzungen: Beratung und Überwachung
  • Zusammenarbeit mit Aufsichtsbehörden
  • Anlaufstelle für Aufsichtsbehörden

Riskobasierten Ansatz beachten!

Bei all diesen Aufgaben müssen Datenschutzbeauftragte einen risikobasierten Ansatz wählen (Art. 39 Abs. 2 DSGVO): Je größer das Risiko eines Datenschutzverstoßes ist, desto schneller und tiefgreifender müssen sie tätig werden.

Darüber hinaus dienen DSB als Anlaufstelle für betroffene Personen, die sich mit Fragen zu den Datenverarbeitungen und ihren Rechten an sie wenden dürfen (Art. 38 Abs. 4 DSGVO).

Stellung der Datenschutzbeauftragten

Datenschutzbeauftragte sind ordnungsgemäß und frühzeitig in alle Fragen einzubeziehen, die den Schutz von personenbezogenen Daten betreffen (Art. 38 Abs. 1 DSGVO).

Weisungsfrei, Benachteiligungsverbot

Bei der Erfüllung ihrer Aufgaben sind sie weisungsfrei – eine Beeinflussung von außen über das „Ob“ und das „Wie“ ihres Tätigwerdens ist nicht zulässig.

Wegen der Erfüllung ihrer Aufgaben dürfen sie nicht benachteiligt werden. Deshalb besitzen DSB einen Schutz vor Benachteiligungen; der Arbeitgeber kann ihnen nur erschwert kündigen (Art. 38 Abs. 3 DSGVO sowie § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 BDSG).

Ihre Erkenntnisse und Mitteilungen berichten sie unmittelbar der höchsten Management-Ebene (Art. 38 Abs. 3 DSGVO), also z.B. dem Geschäftsführer oder dem Vorstand.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.