Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 04/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
06. Dezember 2021

Überwachungspflichten von Datenschutz­beauftragten (DSB): Das müssen Sie wissen

Datenschutzbeauftragte haben nach der DSGVO vielfältige Überwachungspflichten
Bild: iStock.com / Marcela Vieira
5,00 (3)
drucken
Inhalte in diesem Beitrag
Aufgaben von betrieblichen und behördlichen Datenschutzbeauftragten
Datenschutzbeauftragte haben nach Datenschutz-Grundverordnung (DSGVO) eine Reihe von verpflichtenden Aufgaben. Dazu gehört, zu überwachen, ob der Verantwortliche oder Auftragsverarbeiter die Datenschutz-Vorschriften einhält. Die Überwachung umfasst zudem, die Strategien für den Schutz personenbezogener Daten zu prüfen. Was bedeutet das konkret?

Nicht verantwortlich für Datenschutz, aber für dessen Überwachung

Ob Unternehmen und Behörden den Datenschutz einhalten und wie sie Datenschutz umsetzen, bedarf der regelmäßigen Überwachung. Diese Kontrolle kann nicht der Verantwortliche übernehmen, also die Behörden- oder Geschäftsleitung. Sondern die Überwachungspflichten obliegen einer kompetenten und unabhängigen Stelle im Unternehmen oder in der Behörde: dem oder der Datenschutzbeauftragten.

Umfragen wie die des Digitalverbands Bitkom zeigen eindrücklich, dass viele Unternehmen die Datenschutz-Grundverordnung (DSGVO) weiterhin nicht gänzlich umgesetzt haben:

  • Zwar hat mit zwei Dritteln der Unternehmen (65 Prozent) die Mehrheit die DSGVO vollständig oder größtenteils implementiert.
  • Aber 3 von 10 (29 Prozent) haben die Umsetzung erst teilweise geschafft.
  • Und fünf Prozent stehen damit noch ganz am Anfang.
  • Vor allem kleinere Unternehmen kommen nur langsam voran.

Doch selbst wenn Verantwortliche die DSGVO vollständig umgesetzt haben, ist damit das „Projekt Datenschutz“ nicht abgeschlossen. Unternehmen und Behörden müssen die DSGVO und andere für sie jeweils relevante Datenschutzvorschriften dauerhaft einhalten. Sie müssen neue und veränderte Verfahren der Verarbeitung personenbezogener Daten jeweils mit den Datenschutzvorgaben in Einklang bringen.

Welche Überwachungspflichten DSB haben

Die DSGVO beschreibt die Aufgabe der Überwachung und damit die Überwachungspflichten der oder des Datenschutzbeauftragten ausführlich in Artikel 39: „Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen“.

DSGVO, andere Datenschutzvorschriften, Strategien, Organisation u.v.m.

Wer diese Aufgabenbeschreibung genauer betrachtet, findet darin mehr Überwachungspflichten, als rein die Einhaltung der DSGVO zu kontrollieren. Datenschutzbeauftragte haben demnach auch zu prüfen, ob Unternehmen bzw. Behörden neben der DSGVO andere Datenschutzvorschriften wie etwa das Bundesdatenschutzgesetz einhalten.

Sie überwachen zudem die Datenschutzstrategie, die Datenschutzorganisation wie die Zuweisung von Zuständigkeiten, die Mitarbeiter-Sensibilisierung und andere Schulungs-Maßnahmen im Datenschutz und schließlich, ob der Verantwortliche diese Dinge überprüft.

Wichtig
DSB müssen also insbesondere prüfen,

  • ob die Datenschutzstrategie der verantwortlichen Stelle „nur auf dem Papier“ steht oder ob Unternehmen und Behörden sie tatsächlich leben,
  • ob geeignete Schulungen stattfinden und
  • ob Verantwortliche ihre Datenschutz-Maßnahmen auch hinsichtlich ihrer Wirksamkeit kontrollieren.

TOMs bewerten

Es muss also in Unternehmen und Behörden nicht nur ein „Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ geben, wie Artikel 32 DSGVO es fordert.

Erforderlich ist zudem ein Verfahren, um die Wirksamkeit der technischen und organisatorischen Maßnahmen im Datenschutz insgesamt regelmäßig zu überprüfen, zu bewerten und zu evaluieren. Der oder die Datenschutzbeauftragte muss überwachen, ob ein solches Verfahren besteht und erfolgreich funktioniert.

BVs, Richtlinien, Code of Conduct

Bei der Prüfung, ob Verantwortliche die eigene Datenschutzstrategie einhalten, hilft es, sich datenschutzrelevante Betriebsvereinbarungen vorzunehmen, Handlungsanweisungen, Datenschutz-Richtlinien und Code of Conducts, sofern vorhanden. Sind die Vorgaben „Papiertiger“ oder lebt ein Unternehmen tatsächlich danach?

Bei der Überwachung die Datenrisiken im Blick haben

Entscheidend bei der Überwachung durch den oder die Datenschutzbeauftragte sind immer die Risiken, die mit den Verarbeitungsvorgängen verbunden sind. Dabei müssen DSB die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung personenbezogener Daten berücksichtigen.

Praxis-Tipp
Bei der Überwachung sollten Datenschutzbeauftragte also besonders auf die Bereiche und Abläufe achten, die mit höheren Risiken für personenbezogene Daten verbunden sind. Die jeweiligen Datenrisiken sind somit auch der Maßstab, um die Vielzahl der anstehenden Überwachungspflichten und -aufgaben zu priorisieren.

Was für die Erfüllung der Überwachungspflichten erlaubt ist

Artikel 38 DSGVO fordert: „Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 39, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.“

Damit ist insbesondere verbunden, dass betriebliche Datenschutzbeauftragte zum Zwecke der Überwachung der Einhaltung des Datenschutzes besondere Rechte erhalten.

Zugangs-, Einsichts- und Kontrollrechte

Der Bundesdatenschutzbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) stellt hierzu klar, dass damit Zugangs- und Einsichtsrechte sowie das Recht auf jederzeitige – auch unangekündigte – Kontrollen verbunden sind.

Hierzu muss der oder die Datenschutzbeauftragte Zugang zum Rechenzentrum sowie den Dienst- bzw. Geschäftsräumen haben. Ferner muss sie oder er alle Unterlagen einsehen können, die mit der Verarbeitung personenbezogener Daten im Zusammenhang stehen. Ihm oder ihr steht auch Einblick in die gespeicherten personenbezogenen Daten zu.

Resultate der Überwachung dokumentieren!

Um nachweisen zu können, dass sie ihre Aufgaben und Pflichten erfüllt haben, sollten Datenschutzbeauftragte ihre Maßnahmen zur Überwachung im Datenschutz regelmäßig dokumentieren.

Die festgestellten Abweichungen fließen dann in die Berichte an die verantwortliche Stelle ein.

Oliver Schonschek

Oliver Schonschek
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
Verwandte Beiträge
15. April 2024
Datenschutz-Sicherheit
Bild: iStock/Getty Images Plus/Funtap

Geschäftsführer-Daten im Handelsregister

Urteil
EuGH Urteil
08. April 2024
DP+
Verantwortlicher, Auftragsverarbeiter oder Joint Controller?
Bild: iStock.com / PeopleImages

Verantwortlicher, Auftragsverarbeiter oder Joint Controller?

Analyse
02. April 2024

Muster: Gliederungspunkte einer IT-Sicherheitsrichtlinie

Downloads
IT-Sicherheit Vorlagen
02. April 2024
Die DSGVO ist nur anwendbar, wenn die Daten, die Gegenstand der mündlichen Auskunft sind, in einem „Dateisystem gespeichert sind“ oder „in einem Dateisystem gespeichert werden sollen“.
Bild: iStock.com / bymuratdeniz

Löschung von Daten – auf wessen Veranlassung?

Urteil
EuGH Urteil
27. März 2024
DP+

Checkliste: Datenschutz-Audit von Auftragsverarbeitern

Downloads
Checklisten Vorlagen
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.