Welche Aufgaben hat der Datenschutzbeauftragte im Unternehmen? Welche Pflichten obliegen ihm, unabhängig davon, ob es sich um einen Mitarbeiter als internen bzw. betrieblichen oder um einen Experten als externen Datenschutzbeauftragten handelt? Welche Aufgaben gehören im Umkehrschluss nicht dazu? Ein pragmatischer Überblick.
Mitwirkung bei der Gewährleistung der Einhaltung der Datenschutzgesetze
Die Datenschutz-Grundverordnung legt in Art. 39 DSGVO einen Mindestkatalog an Aufgaben des Datenschutzbeauftragten fest. Diese sind in erster Linie Berichts-, Beratungs-, Kontroll- und Kooperationsaufgaben.
Die Aufgabenzuweisungen gelten unabhängig davon, ob der Datenschutzbeauftragte aufgrund einer Verpflichtung der Datenschutz-Grundverordnung (Art. 37 DSGVO), des Bundesdatenschutzgesetzes (§ 38 BDSG) oder freiwillig bestellt wurde (vertiefend empfehlen wir das WorkingPaper 243 der Art. 29 Gruppe und die aktuelle Auflage des Beruflichen Leitbilds der Datenschutzbeauftragten vom BvD).
Zentrale Aufgabengebiete des Datenschutzbeauftragten
Unterrichtung- und Beratungsaufgaben
Der Datenschutzbeauftragte hat zunächst die Aufgabe der Unterrichtung und Beratung des Unternehmens sowie von dessen Beschäftigen, die Datenverarbeitungen durchführen, über deren datenschutzrechtliche Pflichten.
Eine Unterrichtung umfasst sowohl allgemeine Mitteilungen als auch Hinweise zu relevanten datenschutzrechtlichen Themen und Entwicklungen. Diese umfassen etwa die aktuelle Rechtsprechung, aber auch neue technische Entwicklungen, die für die Datenverarbeitungen im Unternehmen relevant sind.
Während die Unterrichtung proaktiv erfolgt, zielt die Beratung auf eine Unterstützung beim Lösen konkreter Probleme, die im Zuge der Umsetzung der datenschutzrechtlichen Vorgaben auftauchen.
Die Unterrichtungs- und Beratungsaufgaben erstrecken sich nicht nur auf die DSGVO und das BDSG, sondern auch auf bereichsspezifische Vorschriften, die für das Unternehmen relevant sind (z.B. die einschlägigen Vorschriften des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG), des Gesetzes gegen den unlauteren Wettbewerb, des Sozialgesetzbuches, etc.).
Überwachung der Einhaltung der Datenschutzgesetze
Gegenstand der Überwachungsaufgabe des Datenschutzbeauftragten ist die Einhaltung der DSGVO, anderer einschlägiger Datenschutzvorschriften sowie der Strategien des Unternehmens für den Schutz personenbezogener Daten.
Der Datenschutzbeauftragte muss demnach kontrollieren, ob die Abläufe im Unternehmen den gesetzlichen Anforderungen gerecht werden. Die Kontrollbefugnis bezieht sich auf alle Unternehmensbereiche, d.h. sowohl auf ganz als auch auf teilweise automatisierte Datenverarbeitungen, aber auch auf nicht-automatisierte Datenverarbeitungen (z.B. Personalakten), die in einem Dateisystem gespeichert werden.
Der Umfang der Kontrolltätigkeit richtet sich nach dem Umfang und der Kritikalität der Datenverarbeitungen. Neben regelmäßigen Kontrollen (Datenschutz-Audits) können auch anlassbezogene Kontrollen notwendig sein, die aufgrund aufgetretener Beschwerden, Datenschutzverletzungen oder sonstiger Vorfälle notwendig erscheinen.
Es empfiehlt sich, dass der Datenschutzbeauftragte die von ihm durchgeführten Kontrollen und die wesentlichen Ergebnisse in einem jährlichen Datenschutzbericht festhält, welcher dem Management vorgelegt wird.
Zum Aufgabenspektrum der Kontrolle gehören auch die Überwachung der Sensibilisierung und Schulung der Mitarbeiter sowie die Prüfung von Verträgen mit Auftragsverarbeitern und von Betriebsvereinbarungen.
Wichtig ist an dieser Stelle zu betonen, dass der Datenschutzbeauftragte nicht für die Einhaltung des Datenschutzes verantwortlich ist. Dies ist primär die Pflicht des Verantwortlichen (in der Regel die Geschäftsleitung) und kann nicht auf den Datenschutzbeauftragten ausgelagert werden (siehe unsere Ratgeber zu Verantwortung, Haftung und Delegierbarkeit des Datenschutzes).
Beratung bei einer Datenschutz-Folgenabschätzung (DSFA)
Der Datenschutzbeauftragte ist ausdrücklich nur an der Durchführung der DSFA beteiligt und nicht für deren Durchführung zuständig. Demnach hat der Datenschutzbeauftragte ausschließlich eine beratende und überwachende Tätigkeit auszuüben.
Der Formulierung in Art. 35 Abs. 2 DSGVO kann entnommen werden, dass der Verantwortliche im Rahmen einer DSFA zwingend den Rat des Datenschutzbeauftragten einzuholen hat. Hierbei kann es z. B. um die Fragen gehen, ob eine DSFA überhaupt durchgeführt oder welche Methodik angewandt werden sollte.
Zusammenarbeit mit der Aufsichtsbehörde und Tätigkeit als Anlaufstelle
Zu den Aufgaben des Datenschutzbeauftragte gehört schließlich eine umfassende Kooperation mit den Aufsichtsbehörden. Der Datenschutzbeauftragte ist der erste Ansprechpartner für die Behörden in allen datenschutzrechtlichen Angelegenheiten. Allerdings ist der Datenschutzbeauftragte nicht verpflichtet, Verstöße gegen das Datenschutzrecht von sich aus der Aufsichtsbehörde zu melden.
Auch wenn der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden ist, verbietet dies ihm nicht, Beratung durch die Aufsichtsbehörde in Anspruch nehmen.
Ansprechpartner für Betroffene
Zusätzlich zu den oben beschriebenen Aufgaben ist der Datenschutzbeauftragte auch Ansprechpartner für Betroffene, die sich in allen Fragen zur Verarbeitung ihrer personenbezogenen Daten bzw. zur Wahrnehmung ihrer Rechte an ihn wenden können. Aus Art. 38 Abs. 4 DSGVO ergibt sich die Pflicht des Datenschutzbeauftragten, den Anfragen, Hinweisen und Beschwerden nachzugehen, diese zu beantworten und die Betroffenen auf Wunsch zu beraten. Der Datenschutzbeauftragte muss den vorliegenden Sachverhalt aufklären bzw. aufklären lassen und diesen datenschutzrechtlich bewerten.
Risikobasierte Aufgabenerfüllung
Bei der Erfüllung seiner Aufgaben muss der Datenschutzbeauftragte stets dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung tragen. Hier wird der gesunde Menschenverstand des Datenschutzbeauftragten angesprochen. Demnach sollten die Tätigkeiten nach Prioritäten geordnet werden, d.h. kritischere Verarbeitungstätigkeiten sollten umfassender und sorgfältiger geprüft werden. Anhaltspunkte sind die mit der spezifischen Verarbeitung verbundenen Eintrittswahrscheinlichkeit und die Schwere der Risiken für die Rechte und Freiheiten der betroffenen Personen. Je größer das das Risiko einer Beeinträchtigung der Rechte und Freiheiten der von der Datenverarbeitung betroffenen Personen ist, desto höher sind die Anforderungen an die Aufgabenerfüllung.
Aufgaben die dem Datenschutzbeauftragten nicht zugewiesen sind
Aufgrund häufiger Missverständnisse ist nochmals zu betonen: Der Datenschutzbeauftragte ist weder für die eigentliche Schulung und Sensibilisierung der Mitarbeiter zuständig noch für die Durchführung der DSFA. Auch die Führung des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO ist laut Gesetz Aufgabe des Verantwortlichen. Diese Aufgaben können dem Datenschutzbeauftragten zugewiesen werden, verantwortlich bleibt der Verantwortliche.
Darüber hinaus ist der Datenschutzbeauftragte nicht für Bearbeitung der Betroffenenrechte (z.B. Auskunftsersuchen) zuständig. Die Erteilung der Auskunft, Durchführung der Löschung usw. sind Aufgaben des Verantwortlichen. Der Datenschutzbeauftragte kann und sollte hier jedoch zu Rate gezogen werden.
Fazit: Dokumentation der Aufgabenerfüllung ist essentiell
Da der Datenschutzbeauftragte keinerlei Weisungs- oder Entscheidungsbefugnisse gegenüber dem Unternehmen hat, hat er auch keine Erfolgsverantwortung was die Verarbeitung personenbezogener Daten im Unternehmen angeht.
Den ihm zugewiesenen Aufgaben muss der Datenschutzbeauftragte allerdings ordnungsgemäß nachkommen. Eine ausführliche Dokumentation des Vorgehens ist unabdingbar, um zu beweisen, dass er gewissenhaft versucht hat, die Aufgaben zu bewältigen, wenn er sich nicht einem Haftungsrisiko aussetzen will.