Wie benennen Organisationen in der EU ihre Datenschutzbeauftragten? Welche Aufgaben haben diese? Wie ist es um die Fachkunde der eingesetzten Personen bestellt? Dies und vieles mehr wollten die Datenschutz-Aufsichtsbehörden in einer länderübergreifenden Umfrage herausfinden. Die Ergebnisse fallen zwar etwas besser aus als zu erwarten war. An den benannten Defiziten sollten Verantwortliche jedoch dringend arbeiten.
Über die Umfrage der Aufsichtsbehörden
In einer durch den Europäischen Datenschutzausschuss (EDSA) koordinierten Aktion fragten die Aufsichtsbehörden im Jahr 2023 länderübergreifend Benennung, Stellung, Qualifikation, Ressourcen und Aufgaben von Datenschutzbeauftragten ab.
Die Fragen der Aufsichtsbehörden und ihre jeweilige Bedeutung haben wir in einer früheren Version dieses Artikels beschrieben. Sie finden diese zu Dokumentationszwecken hier:
Fragen und ihre Bedeutung
Allgemeine Fragen zur Organisation
Name, Handelsregisternummer o.ä.
Dies erlaubt die eindeutige Identifikation des Verantwortlichen. Hier verstecken sich keine Stolperfallen.
Anzahl der Mitarbeiter
Bereits diese Angabe lässt für sich schon erste Rückschlüsse darauf zu, welche Anforderungen an das Datenschutz-Managementsystem (DSMS) der Organisation zu stellen sind und wie groß der interne Unterrichtungs- und Beratungsbedarf ist, den der Datenschutzbeauftragte abdecken muss. Diese Aufgabe nennt Art. 38 Absatz 1a) DSGVO als allererste. Wie bei später folgenden Fragen auch, erlaubt die Antwort Schlussfolgerungen in Bezug auf die notwendigen Ressourcen und Kapazitäten des Datenschutzbeauftragten, die in der Praxis oft nicht ausreichend vorhanden sind.
Branche/Sektor
Abhängig vom Tätigkeitsbereich der Organisation ist das tatsächliche und rechtliche Umfeld mehr oder weniger komplex. Die Beratung eines regionalen Handwerksbetriebs ist wesentlich einfacher als die Unterstützung beispielsweise eines Onlinehändlers oder eines Pharma-Unternehmens. Die Information spielt damit für die zu erwartende Fachkunde des Datenschutzbeauftragten eine Rolle.
Für die Praxis entscheidend wird sein, ab wann die Aufsichtsbehörden einen einmaligen Kurs zum zertifizierten Datenschutzbeauftragten nicht mehr als genügend ansehen und welche Qualifikation tatsächlich gefordert ist.
Aktuelle Zahl der Kunden der Organisation, wobei zwischen Privatkunden und Firmenkunden unterschieden wird
Die Information spielt wiederum eine Rolle hinsichtlich der Zahl und der Komplexität der zu erwartenden Anfragen an den Datenschutzbeauftragten. Zusätzlich beeinflusst der Kundenkreis die notwendige Fachkunde, da sich die Regelungen im B2B- und B2C-Bereich teilweise unterscheiden. In der Gesamtschau mit den noch später zu beantwortenden Fragen, lassen sich Rückschlüsse auf mögliche Defizite ziehen.
Ist die Organisation die Hauptniederlassung des Unternehmens?
Die rechtliche Selbstständigkeit ist entscheidend für die Verortung der datenschutzrechtlichen Verantwortlichkeit. Welche Stelle muss die datenschutzrechtlichen Anforderungen eigentlich umsetzen und geschieht dies korrekt?
Aktuelle Anzahl weiterer Niederlassungen in EU/EWR
Hat eine verantwortliche Stelle weitere Niederlassungen, die nicht rechtlich selbstständig sind, beeinflusst dies die Tätigkeit des Datenschutzbeauftragten. Kann er auch unter Berücksichtigung des lokalen Landesrechts korrekt beraten? Ist er in der Lage, falls notwendig vertraulich – und damit in der jeweiligen Landessprache – mit Betroffenen zu kommunizieren? Beides ist in der Praxis oft nicht der Fall. Insbesondere hilft es nicht, auf Englisch als vermeintliche Unternehmenssprache zu verweisen.
Aktuelle Anzahl weiterer Niederlassungen in Drittländern
Wird diese Frage bejaht, eröffnet das eine große Zahl möglicherweise unangenehmer Nachfragen, da sämtliche bekannten Probleme in Bezug auf den Transfer von Daten in Drittländern im Raum stehen, die sich allesamt derzeit oft nur schwer lösen lassen.
Besteht ein Betriebsrat
Nachdem der Gesetzgeber mittlerweile in § 79a BetrVG klargestellt hat, dass der Betriebsrat keine eigene verantwortliche Stelle ist, ist der bestellte Datenschutzbeauftragte auch für diesen zuständig. Damit steigen die Anforderungen an die Fachkunde und auch der anzunehmende Beratungsbedarf wird insgesamt höher anzusetzen sein, was erneut die Ressourcenfrage aufwirft.
Name und Kontakt der Antwortenden Personen sowie Rolle in der Organisation
Neben der Sammlung der für eine Kommunikation notwendigen Angaben lässt die Antwort Rückschlüsse darauf zu, wie ernstzunehmend die gegebenen Antworten tatsächlich sind und welche Bedeutung der Anfrage in der Organisation gegeben wird.
Ist die den Fragebogen beantwortende Person der Datenschutzbeauftragte der Organisation
Wird der Fragebogen durch den Datenschutzbeauftragten selbst beantwortet, könnte dies ein Indiz darauf sein, dass einige Antworten möglicherweise geschönt oder sogar unzutreffend sind. Immerhin gibt der Datenschutzbeauftragte Auskunft zu seiner eigenen Stellung und Tätigkeit. Wie auch in anderen Fällen ist fraglich, ob er das in allen Fällen unvoreingenommen machen kann.
Fragen zu Benennung, Fachkenntnis und Erfahrung des Datenschutzbeauftragten
Hat die Organisation einen Datenschutzbeauftragten benannt und falls ja, aufgrund welcher Grundlage?
Hier wird geklärt, ob ein Datenschutzbeauftragter bestellt ist und aufgrund welcher Verpflichtung bzw. ob die Bestellung freiwillig erfolgte. Der Fragebogen zählt sämtliche Faktoren auf, die in Deutschland die Pflicht zur Bestellung eines Datenschutzbeauftragten auslösen. Dies sind neben der Mitarbeiterzahl unter anderem auch bestimmte Tätigkeitsbereiche oder Verarbeitungsumstände.
Es wird auch gefragt, warum trotz Verpflichtung gegebenenfalls kein Beauftragter bestellt ist.
Seit wann ist der aktuelle Datenschutzbeauftragte benannt?
Das genannte Datum könnte Rückfragen auslösen, falls das Bestellungsdatum deutlich jünger als die DSGVO ist oder die Bestellung sogar erst nach Zugang des Fragebogens erfolgte.
Fungiert der Datenschutzbeauftragte als gemeinsamer Datenschutzbeauftragte für eine Unternehmensgruppe?
Falls ja, sind die entsprechenden Unternehmen zu nennen. Neben der reinen Erfassung dieser Information lässt der Umstand wiederum Rückschlüsse auf die erforderliche Fachkunde und die benötigten Ressourcen des Datenschutzbeauftragten zu.
Handelt es sich um einen internen oder externen Datenschutzbeauftragten?
Bei Bestellung eines externen Datenschutzbeauftragten wird zusätzlich abgefragt, wie viele Arbeitsstunden pro Monat der Beauftragte für seine Aufgaben aufwenden kann und welche Leistungen nicht in den monatlichen Arbeitsstunden enthalten sind. Die Frage geht eindeutig dahin, ob die beauftragten Ressourcen ausreichen. Hier wird in der Praxis vor allem interessant, wie die Aufsichtsbehörden die nicht gerade seltenen Vertragsgestaltungen beurteilen, bei denen sich der externe Datenschutzbeauftragte für ein geringes Entgelt lediglich auf dem Papier bestellen lässt, ansonsten aber keine Leistungen erbringt.
Für welche Dauer ist der Datenschutzbeauftragte benannt?
Bei Befristung ist neben der Dauer an sich auch die Planung für die Zeit danach offenzulegen.
Die Frage, ob eine Befristung ohne sachlichen Grund überhaupt erfolgen darf, ist nicht eindeutig geklärt. Immerhin werden dadurch gerade beim internen Datenschutzbeauftragten die Schutzmechanismen ausgehebelt, die seine Unabhängigkeit sichern sollen. Geht man davon aus, dass eine Befristung zulässig ist, wird gegebenenfalls eine zu kurze Zeit der Bestellung Rückfragen auslösen. Dies eben auch vor dem Hintergrund, dass der Datenschutzbeauftragte unabhängig sein muss und davor geschützt sein soll, nicht auch unbequem sein zu können.
Beim internen Datenschutzbeauftragten wird nach dessen organisatorischer Zugehörigkeit/Position gefragt.
Hintergrund der Frage ist der Ausschluss eines Interessenskonflikts für den Datenschutzbeauftragten. Etliche Führungspositionen oder Verantwortliche innerhalb einer Organisation dürfen eindeutig nicht zum Datenschutzbeauftragten benannt werden.
Zusätzlich wird das Organigramm der Organisation verlangt, aus dem auch hervorgeht, wo der Datenschutzbeauftragte verortet ist. Auch wenn die Frage sich streng genommen wohl nur an Organisationen mit internen Beauftragten richtet, empfiehlt es sich auch für Organisationen mit externen Datenschutzbeauftragten, das Organigramm mitzusenden.
Ob sich der Datenschutzbeauftragte im Organigramm überhaupt findet und an welcher Position, ist aussagekräftig für Gewichtung der Position und für die Frage, ob das Recht zum unmittelbaren Vortrag an die oberste Managementebene gewahrt ist, wie es Art. 36 Abs. 3 DSGVO zwingend vorsieht.
Der nächste Punkt des Fragebogens befasst sich mit der Qualifikation des Datenschutzbeauftragten.
Es sind aus insgesamt acht Kategorien die passenden anzukreuzen, wobei die Bereiche recht grob gefasst sind. Abgefragt werden Erfahrung oder Fachwissen in den Bereichen:
- Datenschutzfragen und Fragen der Privatsphäre
- Informationssicherheit
- Management und/oder Entwicklung von Informationssystemen
- Datenschutzverfahren/-prozesse
- Geschäftsprozesse der Branche oder des Sektors
- Rechtsvorschriften über die Verarbeitung und den Schutz personenbezogener Daten
- Leitlinien der Aufsichtsbehörden
- Spezifische Rechtsvorschriften für die Branche oder den Sektor
Es fragt sich, inwieweit sich die Aufsichtsbehörden hier tatsächlich brauchbare und belastbare Angaben erhoffen.
Welche Faktoren wurden bei der Benennung des Datenschutzbeauftragten als Voraussetzung festgelegt?
Achtung, diese Frage bezieht sich offensichtlich nicht allein auf die Auswahl des letztendlich bestellten Beauftragten, sondern an die im Vorfeld festgelegten Anforderungen, anhand derer die Bestellung dann erfolgte. Die interessante Folgefrage wäre, ob die Organisation den zur Suche des geeigneten Kandidaten erstellen Anforderungskatalog und daran orientierte Auswahl auch nachweisen könnte. Wie in der Frage zuvor sind allerdings die genannten Bereiche erneut sehr offen formuliert:
- Fachwissen zum Datenschutzrecht
- Fachwissen zur Datenschutzpraxis
- Fachwissen über Datenschutzanforderungen, die sich aus besonderen Rechtsvorschriften für die Branche oder den Sektor ergeben
- Fähigkeit zur Erfüllung der Aufgaben
- sonstige berufliche Qualifikation
Dass in der Aufzählung auch die Möglichkeit besteht, anzugeben, dass der Datenschutzbeauftragte keinerlei Expertise besitzt, aber seine Benennung zwingend war, entbehrt nicht einer gewissen Komik.
Wie viele Jahre Berufserfahrung hat der Datenschutzbeauftragte hinsichtlich der Anwendung und Auslegung von datenschutzrechtlichen Anforderungen?
Hier ist die Zeit anzugeben, gestaffelt in mehrere Bereiche in einer Gesamtspanne von unter einem Jahr bis über acht Jahre. Abgefragt wird hier die tatsächliche Qualifikation.
Über wie viele Jahre einschlägige Erfahrung verfügte Datenschutzbeauftragte?
Nach der allgemeinen Erfahrung wird hier nach der branchenspezifischen Berufserfahrung gefragt. Auch hier ist die Zeit in mehreren Bereichen anzugeben, beginnend wieder bei unter einem Jahr bis über acht Jahren.
Interessant ist die Zusatzfrage. Sofern die Organisation mehrere Geschäftsfelder/Kompetenzbereiche besitzt, ist die Berufserfahrung des Datenschutzbeauftragten entsprechend aufzuschlüsseln.
Wie viele Stunden pro Jahr bildet sich der Datenschutzbeauftragte jährlich fort, um seine Qualifikation und sein Fachwissen weiterzuentwickeln bzw. aufrechtzuerhalten?
Die Stunden sind in mehreren Bereichen anzugeben, beginnend von null bis über 32 Stunden.
Fragen zu Aufgaben und Ressourcen des Datenschutzbeauftragten
Hat die Leitung der Organisation die Aufgaben des Datenschutzbeauftragten klar definiert und eine schriftliche Beschreibung der Aufgaben des Datenschutzbeauftragten gefertigt?
Wie allgemein bei der Delegation oder Zuweisung von Aufgaben sonst auch, wird hier abgefragt, ob dies konkret, ausdrücklich und belegbar erfolgte. Auch wenn nach aktuellen Datenschutzrecht, die Bestellung des Datenschutzbeauftragten an sich nicht mehr schriftlich erfolgen muss, empfiehlt sich daher nach wie vor, eine Dokumentation zu führen.
Eine entsprechende Dokumentation wird zusammen mit dem ausgefüllten Fragebogen von der Aufsichtsbehörde angefragt.
Wurden der Belegschaft die Bestellung des Datenschutzbeauftragten und seine Aufgaben mitgeteilt?
Die Antwort auf diese Frage lässt Rückschlüsse darauf zu, welche Bedeutung der Position und Bestellung des Datenschutzbeauftragten intern beigemessen wird. Indirekt wird zusätzlich offengelegt, ob denn auch die Mitarbeiter entsprechend der Pflichten aus Art. 13 und 14 DSGVO über die Verarbeitung ihrer Daten informiert werden. Die Kontaktdaten des Datenschutzbeauftragten sind zwingender Inhalt dieser Informationen.
Entspricht die dokumentierte Beschreibung der Aufgaben des Datenschutzbeauftragten den tatsächlichen Aufgaben in der Organisation?
Hier wird überprüft, ob sich Auswahl und Bestellung sowie Aufgaben des Datenschutzbeauftragten mit den tatsächlichen Anforderungen des Unternehmens decken.
Welche Aufgaben werden dem Datenschutzbeauftragten übertragen?
Bei dieser Frage sind wiederum aus einer Liste mit mehreren Punkten die zutreffenden anzukreuzen. Die Liste entspricht den Aufgaben des Datenschutzbeauftragten, wie sie sich aus dem Gesetz ergeben. Berechtigte Rückfragen dürften die Aufsichtsbehörde also insbesondere haben, wenn einzelne Kreuze fehlen.
Welche Aufgaben sind dem Datenschutzbeauftragten zusätzlich zu seinen gesetzlichen Aufgaben übertragen?
Die hier zu findende Liste enthält einige typische Beispiele aus der Praxis sowie Raum für freie Angaben. Bemerkenswert ist, dass hier tatsächlich eine Fangfrage gestellt wird. Jedes hier gesetzte Kreuz bietet Raum für unangenehme Rückfragen, da die ausformulierten Aufgaben ausschließlich solche sind, die der Datenschutzbeauftragten nicht verantwortlich übernehmen darf.
Gerade welche Auswirkungen die hier gegebenen Antworten in der Praxis haben werden, ist sehr interessant. Immerhin gibt es nicht wenige externe Datenschutzbeauftragte, die eben gerade die Übernahme genau solcher unliebsamen Aufgaben versprechen.
Beim internen Datenschutzbeauftragten wird nun nach dem Umfang Beschäftigung gefragt; Voll- oder Teilzeit.
Anzugeben ist, welcher Teil der Arbeitszeit den Aufgaben des Datenschutzbeauftragten gewidmet ist. Es sind Spannen vorgesehen von 0-100 %.
Neben der Antwort darauf, ob die resultierenden Zeiten den Anforderungen des Unternehmens angemessen sind, wird hier auch geklärt, ob die Frage der Ressourcen überhaupt jemals thematisiert und korrekt geklärt wurde. Nachdem der Zeitanteil eines internen Mitarbeiters für diesen auch arbeitsrechtlich erhebliche Auswirkungen haben kann – die Bestellung zum internen Datenschutzbeauftragten ist immerhin eine Änderung des eigenen Arbeitsvertrages –, ist es sehr verwunderlich, dass in der Praxis sehr oft gar nicht darüber gesprochen wird.
Die unmittelbar folgende Frage ist auf den ersten Blick ähnlich wie die gerade gestellte. Nun wird aber unabhängig vom vertraglichen Beschäftigungsumfang nach der tatsächlichen Arbeitszeit gefragt, die der Datenschutzbeauftragte für die Wahrnehmung seiner Aufgaben und Pflichten hat.
Die Antwort ist anzukreuzen. Es sind mehrere Bereiche von unter 5 % bis 100 % vorgesehen. Der Rückschluss auf die Angemessenheit der zeitlichen Ressourcen liegt auf der Hand.
Steht dem Datenschutzbeauftragten ein Team zu seiner Unterstützung zur Verfügung und wenn ja, in welchem personellen Umfang?
Es sind auch hier verschiedene Bereiche vorgegeben, aus denen die zutreffende Antwort anzukreuzen ist. Je nach Organisation wird klar sein, dass der Datenschutzbeauftragten die Aufgaben nicht alleine bewältigen kann. Letztlich geht es auch hier wieder um die Angemessenheit der Ressourcen bzw. der aufgebauten Organisation.
Hat der Datenschutzbeauftragter einen Stellvertreter? Ja oder nein.
Auch wenn gesetzlich nirgends festgeschrieben ist, stellt sich ab einer gewissen Schwelle die Frage nach einer Vertretung. Ist das zu erwartende Grundrauschen datenschutzrelevanter Anfragen hoch genug, wird es nicht mehr ausreichend sein, Abwesenheiten des Datenschutzbeauftragten nicht durch eine weitere Person abzufangen.
In der nächsten Frage ist man zum Selbstbekenntnis berufen. Betrachtet man die Ressourcen für ausreichend oder nicht?
Man darf die Antwort auch verweigern …
Ist dem Datenschutzbeauftragten ein Budget zugewiesen?
Diese Frage stellt sich insbesondere beim internen Beauftragten. Beim externen ergibt sich diese durch den Auftrag und dessen Inhalt. Im Ergebnis geht es erneut um die Angemessenheit der gestellten Ressourcen.
Sofern dem Datenschutzbeauftragten ein Budget zugewiesen wurde, kann er darüber unabhängig bestimmen?
Neben der Angemessenheit der Ressourcen dürfte hier auch abgeprüft werden, wie es um die gesetzlich vorgesehene Weisungsfreiheit des Beauftragten tatsächlich bestellt ist.
An nächster Stelle wird erneut abgefragt, ob der Datenschutzbeauftragte in der entsprechenden Organisation weitere gegebenenfalls kritische Aufgaben oder Rollen übernimmt.
Aus einer Liste, die in etwa der oben bereits genannten entspricht, können die entsprechenden Bereiche ausgewählt werden. Auch hier sind einige Punkte vorhanden, die einen Interessenskonflikt mit sich bringen und daher kritisch zu betrachten sind.
Wie viele interne Anfragen erhält der Datenschutzbeauftragte durchschnittlich pro Monat?
Die Frage ist zweischneidig. Die Antwort lässt einerseits Rückschlüsse darauf zu, inwieweit die Ressourcen ausreichend sind, wenn die Zahl recht hoch ausfällt.
Eine zu geringe Anzahl an Anfragen könnte aber auch ein deutlicher Hinweis darauf sein, dass der Datenschutzbeauftragte bei weitem nicht so frühzeitig und umfangreich in die täglichen Prozesse einbezogen wird, wie es gesetzlich vorgesehen ist.
Fragen zu Rolle und Stellung des Datenschutzbeauftragten
In welchem Umfang wird der Datenschutzbeauftragte an der Bearbeitung und Lösung von datenschutzrechtlichen Fragen beteiligt?
Hier wird geklärt, ob der Datenschutzbeauftragte angemessen einbezogen, komplett übergangen oder – wie immer noch oft üblich – bis kurz vor Schluss vergessen wird.
Im direkten Zusammenhang wird jetzt gefragt, ob denn die Einbeziehung des Datenschutzbeauftragten überhaupt vorgeschrieben bzw. vorgesehen ist.
Ist in den Prozessen berücksichtigt, unter welchen Voraussetzungen und wie der Datenschutzbeauftragte zu beteiligen ist? Damit wird eine der wesentlichen Grundvoraussetzungen für ein funktionierendes Datenschutz-Managementsystem abgefragt.
Erhält der Datenschutzbeauftragte die für seine Aufgaben notwendigen Informationen?
Auch diese Frage berührt das Fundament eines funktionierenden Datenschutz-Managementsystems.
Wird dem Rat des Datenschutzbeauftragten gefolgt?
Die möglichen Folgen einer Antwort auf diese Frage sind selbsterklärend. Je weniger dem Rat des Datenschutzbeauftragten gefolgt wird, desto mehr wird die Aufsichtsbehörde gegebenenfalls wissen wollen, warum.
Werden die Gründe dokumentiert, warum dem Rat des Datenschutzbeauftragten nicht gefolgt wird?
Die Frage wird auf die Fälle zielen, in denen es (hoffentlich…) mehrere rechtlich akzeptable Vorgehensweisen gibt. Letztendlich wird die dokumentierte Entscheidungsfindung unter Berücksichtigung datenschutzrechtlicher Erwägungen beim Verantwortlichen geprüft.
Werden dem Datenschutzbeauftragten Weisungen hinsichtlich seiner Aufgaben und Pflichten erteilt?
Auch dies ist eine Fangfrage. Nachdem der Datenschutzbeauftragte nach dem Gesetz weisungsfrei ist, dürfte es nur eine mögliche Antwort geben.
Wurde der Datenschutzbeauftragte jemals für die Wahrnehmung seiner Aufgaben und Pflichten sanktioniert?
Hier gilt das gleiche wie bei der Frage zuvor. Eine Benachteiligung des Datenschutzbeauftragten aufgrund der Wahrnehmung seiner Aufgaben ist unzulässig. Dementsprechend gibt es nur eine Antwort, die nicht zu Rückfragen führt.
Berichtet der Datenschutzbeauftragte regelmäßig der höchsten Führungsebene und wenn ja, wie oft?
Mögliche Antworten sind anzukreuzen, die Bandbreite reicht von null bis mehr als vier Berichte pro Jahr.
Die Verantwortung für die Umsetzung des Datenschutzes verbleibt immer bei Management. Dieses kann zwar teilweise Aufgaben delegieren, die Gesamtverantwortung aber nicht abgeben. Es verbleiben auch einige Pflichten beim Management, die nur wahrgenommen werden können, wenn es angemessen informiert ist.
Dementsprechend wird ein angemessenes Berichtswesen erwartet. Es ist ohnehin unverzichtbarer Bestandteil eines funktionsfähigen Datenschutz-Managementsystems.
Die Vorfrage wird abgerundet durch die Frage nach der Berichtsform und ob der Bericht vorgestellt wird und falls ja, wem.
Auch hier sind mehrere Antwortmöglichkeiten vorgegeben. Keine Rückfragen offen lassen dürfte allein ein schriftlicher Bericht, der der Unternehmensleitung übermittelt und/oder vorgestellt wird.
Soweit Berichte o.ä. vorhanden sind, möchte die Aufsichtsbehörde den aktuellsten überlassen bekommen.
Sind die Kontaktdaten des Datenschutzbeauftragten veröffentlicht und ist die Meldung an die Aufsichtsbehörde erfolgt?
Hier wird kurz und knapp abgefragt, ob zwei ganz wesentliche gesetzliche Pflichten erfüllt wurden. Wer nicht zu beiden Punkten ja sagen kann, wird Rückfragen erwarten müssen.
Ergänzend wird die Frage nach dem Weg gestellt, auf dem die Kontaktdaten des Datenschutzbeauftragten veröffentlicht sind.
Es stehen mehrere Optionen zur Auswahl. Im Ergebnis entscheidend wird die Erreichbarkeit und Auffindbarkeit der Angaben für sämtliche Personen sein, denen diese Information zur Verfügung gestellt werden muss.
Haben betroffene Personen die Möglichkeit, sich bei Fragen zur Verarbeitung ihrer personenbezogenen Daten oder bei der Ausübung ihrer Rechte als Betroffene an den Datenschutzbeauftragten zu wenden?
Die Frage kann mit Ja oder Nein beantwortet werden. Bei Ja sind ergänzend noch die hierfür angebotenen Kommunikationswege zu nennen.
Überraschenderweise wird nicht nach der gesetzlich geforderten Vertraulichkeit gefragt, obwohl in der Praxis gerade bei vielen externen Datenschutzbeauftragten lediglich eine allgemeine Adresse angeboten wird, bei der die Vertraulichkeit nicht zweifelsfrei gewahrt werden kann.
Wie oft wenden sich betroffene Personen pro Monat an den Datenschutzbeauftragten?
Antworten sind in Bereichen von null bis über 200 vorgesehen und entsprechend anzukreuzen. Neben einem Rückschluss auf die Angemessenheit der insbesondere zeitlichen Ressourcen des Datenschutzbeauftragten könnte eine besonders hohe Zahl von Anfragen auch auf andere grundlegende Probleme im Datenschutz hinweisen.
Fragen zur Unterstützung seitens der Aufsichtsbehörde
Der Fragebogen endet mit einer kleinen Umfrage in Bezug auf die Tätigkeiten und Unterstützung der Aufsichtsbehörden. Hier sind keine Angaben hinsichtlich der Organisation mehr notwendig, daher geben wir die beiden Fragen zusammengefasst und unkommentiert wieder:
- Sollte die Aufsichtsbehörde die Kontaktdaten der Datenschutzbeauftragten veröffentlichen?
- Welche Art weiterer Unterstützung wird von den Aufsichtsbehörden gewünscht?
[/vc_column_text][/vc_tta_section][/vc_tta_accordion][vc_column_text]Seit dem 16. Januar 2024 liegt nun die Auswertung der mehr als 17.000 Antworten durch den Europäischen Datenschutzausschuss vor.
- Hier finden Sie den vollständigen Bericht des EDSA.
- Die detaillierten Ergebnisse pro Mitgliedsstaat können Sie in diesem Dokument einsehen.
Was ergab die Kontrolle der Datenschutzbeauftragten?
Vorweg – die Ergebnisse sind nicht so schlecht, wie man es hätte annehmen können. Zu einem beachtlichen Anteil werden die Anforderungen an die Bestellung eines Datenschutzbeauftragten offenbar recht gut erfüllt.
Von diesem Ergebnis wird man allerdings realistischerweise einige Abstriche machen müssen. Immerhin haben offenbar 2/3 (!) der angeschriebenen Stellen die erbetenen Auskünfte gar nicht erst erteilt.
Dass in den verbleibenden Fällen die Mehrzahl der befragten Stellen unter anderem angibt, dass ihr Datenschutzbeauftragter für seine Aufgaben geeignet ist, die notwendige Unterstützung erhält und immer korrekt einbezogen wird, war vorhersehbar und sollte niemanden wirklich überraschen. Angesichts der Umstände der Erhebung waren eher positiv formulierte Antworten zu erwarten, denen gegenüber eine gesunde Skepsis angebracht ist. Es ist gut, dass der EDSA sich dessen bewusst ist und dies an etlichen Stellen des Berichts auch klar durchblicken lässt.
Unterm Strich ergab die Kontrolle aber eindeutig, dass es in zu vielen Fällen noch nicht richtig läuft. Die Pflichten im Zusammenhang mit der Bestellung eines Datenschutzbeauftragten müssen insgesamt noch deutlich ernster genommen werden.
Welche wesentlichen Defizite identifizierten die Aufsichtsbehörden?
In diesem Abschnitt geben wir einen knappen Überblick über die Mängel, die mittels der Kontrolle der Datenschutzbeauftragten aufgedeckt wurden, und zeigen Ansätze zur Lösung, soweit diese nicht auf der Hand liegen.
Bestellungspflicht
Etliche Verantwortliche sind sich nicht darüber im Klaren, dass sie einen Datenschutzbeauftragten bestellen müssen, andere kommen dieser Pflicht bewusst nicht nach. In einer nennenswerten Zahl von Fällen erachten es Stellen auch nicht für nötig, sich hinsichtlich der Frage ausreichend zu informieren. Insbesondere öffentliche Stellen haben offenbar gehäuft verkannt, dass sie als solche einen Datenschutzbeauftragten bestellen müssen.
Ressourcen
Häufig haben Datenschutzbeauftragte zu wenig Ressourcen. Bei internen Beauftragten müssten diese von der benennenden Organisation selbst ausreichend bereitgestellt werden. Gerade bei Beauftragten, die diese Aufgabe nur in Teilzeit wahrnehmen, wurde jedoch oft festgestellt, dass diesen eine insgesamt zu hohe Arbeitslast aufgebürdet wird, was zwangsläufig dazu führt, dass Aufgaben vernachlässigt werden. Explizit der öffentliche Sektor ist offenbar besonders stark von diesem Problem betroffen.
Aber auch bei Bestellung eines externen Datenschutzbeauftragten bleibt der Verantwortliche weiterhin in der Pflicht und muss sicherstellen, dass der externe Berater erstens in ausreichendem Umfang beauftragt wird und zweitens dann auch ausreichend Ressourcen bietet. In diesem Zusammenhang werden im Bericht ausdrücklich die in der Praxis häufigen Fälle angesprochen, in denen der externe Datenschutzbeauftragte so viele Mandate angenommen hat, dass es faktisch ausgeschlossen ist, die einzelne Bestellung noch korrekt zu erfüllen. Verantwortliche werden explizit aufgerufen, diesen Umstand sorgfältig zu prüfen und in ihre Auswahlentscheidung einzubeziehen.
Auch bemängelt wurde, dass für den Datenschutzbeauftragten oftmals keine Vertretung besteht, obwohl dies notwendig wäre.
Fachkunde
Datenschutzbeauftragte sind oft nicht ausreichend qualifiziert. Die notwendige Fachkunde fehlt gehäuft bereits im Zeitpunkt der Bestellung und wird auch nicht kontinuierlich aufrechterhalten oder bei Notwendigkeit vertieft. Im Bericht wird ausdrücklich betont, dass der Datenschutzbeauftragte ausgewiesenes Expertenwissen besitzen muss, welches nicht durch Berufserfahrung ersetzt werden kann. Übrigens haben in der Umfrage 30% der Datenschutzbeauftragten eine Berufserfahrung von nur drei bis fünf Jahren angegeben, weitere gut 12% sogar noch weniger. Offensichtlich schuf die Einführung der DSGVO einen Bedarf, der einen extrem leichten Marktzugang eröffnete.
Die notwendige Fachkenntnis ist von Fall zu Fall zu bestimmen und muss vorhanden sein oder geschaffen werden. Entsprechender Schulungsbedarf ist also nicht nur bei Mitarbeitern festzustellen und zu erfüllen, sondern auch in Bezug auf den Datenschutzbeauftragten. Dass die bestellte Person tatsächlich ausreichend qualifiziert ist, fällt zuerst einmal in den Verantwortungsbereich des Bestellenden. Der Beauftragte selbst haftet erst in zweiter Linie, wenn er mehr Fachkunde vorspiegelt, als tatsächlich vorhanden ist.
Einbeziehung des Datenschutzbeauftragten
Die Einbindung des Beauftragten erfolgt in großem Umfang nicht korrekt.
Der Datenschutzbeauftragte müsste rechtzeitig und angemessen in alle Angelegenheiten einbezogen werden, die datenschutzrelevant sein können. Der vom Beauftragten erteilte Rat sollte dann auch Berücksichtigung finden und davon abzuweichen, sollte begründet werden. All dies ist oft leider nicht der Fall.
Aufgabenverteilung und -trennung
Die Aufgaben des Verantwortlichen und die Aufgaben bzw. Pflichten des Datenschutzbeauftragten werden unzulässigerweise vermischt und nicht sauber voneinander getrennt. An einer Beschreibung der Aufgaben des Datenschutzbeauftragten mangelt es offenbar oft.
Es gibt diverse Aufgaben, die der Datenschutzbeauftragte nicht wahrnehmen darf, die ihm in der Praxis aber immer wieder angetragen werden. Er darf insbesondere keine Aufgaben übernehmen, die das Gesetz dem Verantwortlichen selbst zugewiesen hat. Auf der anderen Seite ist oft nicht sichergestellt, dass der Datenschutzbeauftragte alle seine gesetzlichen Aufgaben erfüllen kann. Der Beauftragte darf schließlich keinen Interessenskonflikten ausgesetzt sein.
Weiterlesen: Verantwortung, Haftung und Delegierbarkeit des Datenschutzes.
Unabhängigkeit
In etlichen Fällen sind Datenschutzbeauftragte durch Vertrag oder Budget gebunden und nicht unabhängig in der Ausübung ihrer Tätigkeit. Es darf aber für den Beauftragten kein wie auch immer gearteter Druck aufgebaut werden, gefällig im Sinne der Organisation zu beraten und nicht unbequem zu sein.
Berichtswesen und Vortragsrecht
Der Beauftragte für den Datenschutz ist deutlich zu häufig nicht korrekt unmittelbar dem obersten Management unterstellt und berichtet nicht ausreichend an dieses. Beides muss aber gewährleistet sein.
Was sollten Verantwortliche nun unternehmen?
Die Defizite hinsichtlich Benennung, Position und Aufgaben der Datenschutzbeauftragten sind bekannt, der Handlungsbedarf liegt auf dem Tisch. Ob jetzt auch die Durchsetzung erfolgt, bleibt abzuwarten. Die Aufmerksamkeit der Aufsichtsbehörden ist jedenfalls geweckt und die an der Kontrolle beteiligten Behörden sind offenbar weiterhin mit der Aufarbeitung der Ergebnisse beschäftigt. Mit der Veröffentlichung des Berichts steht aber die Erwartungshaltung in vielen Bereichen fest.
Organisationen und deren Verantwortliche sollten daher zur Sicherheit die oben angesprochenen Punkte prüfen und nötigenfalls Korrekturmaßnahmen ergreifen. Mit der Bestellung irgendeines Beauftragten oder dem Bezug irgendwelcher Software zur Umsetzung von Datenschutzanforderungen sind die Pflichten nicht zweifelsfrei erfüllt. Ggfs. ist über die Abberufung des internen Datenschutzbeauftragten oder die Vertragsbeendigung mit anschließendem Wechsel des externen Datenschutzbeauftragten nachzudenken.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!