Aufgaben & Pflichten
Seit einigen Jahren redet jedes Unternehmen von Datenschutz und sorgt sich um die Einhaltung der Gesetze. Doch Datenschutz ist eigentlich nichts Neues: Das Bundesdatenschutzgesetz (BDSG) hat bereits vor dem DSGVO personenbezogene Daten geschützt.
Am 25. Mai 2018 wurde das alte BDSG endgültig von der neuen europaweiten Datenschutz-Grundverordnung (DSGVO) abgelöst. Diese bringt zudem auch wesentliche Änderungen für die Datenschutzbeauftragten der einzelnen Unternehmen mit sich. Es ergaben sich neue Aufgabengebiete und Pflichten, denen ein Datenschutzbeauftragter nachkommen muss.
Welche Aufgaben hat ein Datenschutzbeauftragter?
Eins ist klar: Unternehmen sollten die neuen Vorgaben der DSGVO unbedingt ernst nehmen, denn bei Verstößen könnten Geldstrafen in Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes fällig werden (mehr zu der Höhe der Bußgelder hier). Erschwerend kommt hinzu, dass die Behörden angehalten sind, den jeweils höheren Betrag zu verlangen.
Umso wichtiger ist es, sich mit dem Thema Datenschutz eingehend zu befassen und sich zusätzlich Unterstützung zu holen.
Zwar wirkt das Aufgabenfeld auf den ersten Blick nicht besonders umfangreich und einige Unternehmer sind der Meinung, „sie kämen schon alleine zurecht“. Doch hinter den einzelnen Aufgaben eines
Datenschutzbeauftragten stecken viele Risiken, die es zu minimieren gilt.
Ein Experte ist in jedem Fall immer die bessere Wahl.
Um Ihnen die Fallstricke genauer aufzuzeigen und die einzelnen Aufgaben näher zu bringen, gucken wir uns im Folgenden den Art. 39 Abs. 1 DSGVO an, der die gesetzlichen Mindestaufgaben regelt.
Aufgaben eines Datenschutzbeauftragten nach Art. 39 Abs. 1 DSGVO
Pflichtaufgaben: Drei Blöcke
Natürlich zählen viele kleine Pflichten zum Tätigkeitsfeld eines Datenschutzbeauftragten. Laut Art. 39 Abs 1 DSGVO können aber zumindest die Pflichtaufgaben in drei Hauptblöcke aufgeteilt werden:
AUFGABEN EINES DATENSCHUTZBEAUFTRAGTEN – EINE AUFLISTUNG
1. Interne Aufgaben im Unternehmen
Ein Datenschutzbeauftragter stellt die Einhaltung der Vorschriften des BDSG und der DSGVO sicher und überwacht diese. Neben stetiger Prüfung steht auch die Unterrichtung und Beratung von Mitarbeitern auf der To-do Liste. Verantwortliche, wie etwa die Unternehmensführung, aber auch Auftragsverarbeiter und Angestellte werden von Datenschutzbeauftragten geschult und hinsichtlich der DSGVO beraten. Auf diese Art und Weise werden Mitarbeiter gegenüber des
Themas sensibilisiert, was bei der Einführung eines internen Kontrollsystems nützlich sein kann.
2. Funktion im Verhältnis zur Aufsichtsbehörde
In Zusammenarbeit mit Aufsichtsbehörden ist der Datenschutzbeauftragte direkter Ansprechpartner für die Behörden. Er koordiniert und hilft dem jeweiligen Unternehmen dabei, die Zusammenarbeit reibungsloser zu gestalten und zu koordinieren.
3. Funktion als Anlaufstelle für betroffene Personen
Natürlich ist ein Datenschutzbeauftragter auch einfach direkte Ansprechperson für Betroffene und hilft bei der Beantwortung aller Fragen rund um die DSGVO. Dadurch stellt er den Schutz der personenbezogenen Daten sicher, was immer das Ziel eines jeden Unternehmens sein sollte.
WER IST WOFÜR VERANTWORTLICH?
Der entscheidende Hinweis vorweg: Der Datenschutzbeauftragte ist nicht für den Datenschutz verantwortlich!
So manches Unternehmen glaubt, mit dem oder der Datenschutzbeauftragten kommen die Datenschutz-Pflichten ins Unternehmen. Gleichzeitig kursiert das Gerücht, Datenschutzbeauftragte seien verantwortlich für den Datenschutz. Das klingt erst mal logisch, ist aber schlichtweg falsch!
Warum ist ein Datenschutzbeauftragter nicht verantwortlich?
Die Verantwortung für den Datenschutz ist in der DSGVO eindeutig geregelt:
„Verantwortlich ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“
Kurz gesagt gilt für Unternehmen: Geschäftsführer, Vorstände bzw. Inhaber sind für die Umsetzung der DSGVO verantwortlich. Und genau aus diesem Grund ist es auch so essenziell wichtig, dass Sie sich als Unternehmen oder als Selbstständiger Hilfe ins Boot holen. Denn Sie alleine sind für den Datenschutz ihres Unternehmens verantwortlich.
Was also macht ein Datenschutzbeauftragter?
Die Rolle und Aufgaben des Datenschutzbeauftragten werden oft missverstanden.
Die DSGVO fordert in Artikel 24 explizit:
„Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“
Wir müssen also zu unterscheiden lernen: Ein Datenschutzbeauftragter ist nicht derjenige, der die Gesetze umsetzen muss bzw. für eine Nichtumsetzung der DSGVO in die Schuld zu nehmen ist.
Datenschutzbeauftragte sind demnach vielmehr Berater in Datenschutz Fragen und sind natürlich für die korrekte Ausführung ihrer eigenen Aufgaben zuständig, so wie sie u. a. in Art. 39 DSGVO geregelt sind.
Vermeiden Sie Interessenkonflikte
Falls Sie einen Datenschutzbeauftragten engagiert haben (wie genau das funktioniert, können Sie hier nachlesen), sollte darauf geachtet werden, dass kein Interessenkonflikt entsteht. Grundlegend hierfür ist die Unterscheidung der DSGVO zwischen den dort geregelten Aufgaben und Pflichten und anderen Aufgaben und Pflichten, die ein Datenschutzbeauftragter zusätzlich zu den dort festgehaltenen Aufgaben wahrnimmt.
Zu diesem Thema hält Art. 38 Abs. 6 Satz 1 DSGVO Folgendes als Ausgangspunkt fest:
„Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen.“
Zugleich ordnet Art. 38 Abs. 6 Satz 2 DSGVO jedoch auch an:
„Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“
Kurz gesagt: Die genannten Pflichtaufgaben aus Art. 38 Abs. 1 DSGVO dürfen nicht in Konflikt stehen mit weiteren Aufgaben des Datenschutzbeauftragten. Falls Sie zu diesem Thema noch weitere Fragen haben, zögern Sie nicht, mich jederzeit persönlich zu kontaktieren!
ALLE WICHTIGEN PUNKTE ZUSAMMENGEFASST
Zusammenfassend bleibt also festzuhalten:
Art. 39 DSGVO regelt ein Mindestmaß an Aufgaben, die aber gleichzeitig absolute Pflicht sind (Pflicht, nicht Kür!).
Innerhalb dieses Aufgabenfeldes hat der Datenschutzbeauftragte eine beratende und überwachende Funktion wahrzunehmen und der Verantwortliche, wie etwa der Geschäftsführer behält die ausführende Rolle.
Ich hoffe, ich konnte Ihnen mit diesem kurz gefassten Artikel etwas darüber vermitteln, welche Aufgaben und Pflichten ein Datenschutzbeauftragter hat und für welche Bereiche er nicht verantwortlich ist.
Falls Ihnen der Artikel gefallen hat, freue ich mich, wenn Sie sich in meine Newsletter-Liste eintragen und ab heute keinen weiteren Artikel verpassen! (Sie können den Newsletter selbstverständlich jederzeit wieder abbestellen).
Wichtiges zum Schluss
Dieser Artikel stellt keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen. Die im Rahmen dieses Artikels zur Verfügung gestellten Informationen wurden bestmöglich recherchiert werden und werden nach Möglichkeit aktuell gehalten. Es wird keine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen übernommen