Datenschutz-Grundverordnung: Datenschutzbeauftragter - Aufgaben
Am 25. Mai 2018 ist die neue EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Zum gleichen Zeitpunkt tritt das parallel geltende neue Bundesdatenschutzgesetz (BSDG n. F.) in Kraft, in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat. In diesem Praxiswissen informieren wir Sie detailliert über die Aufgaben des Datenschutzbeauftraten.
Vorbemerkung
Zum 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Seitdem gilt parallel auch das neue Bundesdatenschutzgesetz (BSDG n. F.), in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat.
Hierdurch ergeben sich vielfältige neue Anforderungen in Bezug auf alle datenschutzrechtlichen Aspekte, insbesondere im Rahmen der Verarbeitung personenbezogener Daten. Betroffen sind nicht nur der Umgang mit Kunden- und Arbeitnehmerdaten, sondern z. B. auch die technischen Aspekte der Datensicherheit.
Die Arbeitsgruppe Datenschutz des HDE hat daher zu den einzelnen Themenfeldern Merkblätter erarbeitet, die wir Ihnen – gesondert für jedes Thema – zur Verfügung stellen. Die Hinweise in den Merkblättern spiegeln die Diskussionen in der Arbeitsgruppe wider, in die auch die derzeit verfügbaren Kommentierungen zur DS-GVO eingeflossen sind. Viele Auslegungsfragen des neuen Datenschutzrechts werden höchstrichterlich allerdings erst im Laufe der nächsten Jahre geklärt werden.
Datenschutzbeauftragter – Aufgaben (Art. 39, EG 97)
| Inhalt (grob | Nicht abschließender Aufgabenkatalog des Datenschutzbeauftragten, gegliedert in unterschiedliche Pflichtenkategorien (Unterrichtung, Beratung, Überwachung sowie Zusammenarbeit mit/Anlaufstelle für die Aufsichtsbehörde), differenziert bezogen auf bestimmte Aufgabengebiete (z. B. Einhaltung der DS-GVO, Zuweisung von Zuständigkeiten innerhalb der verantwortlichen Stelle, Durchführung der Datenschutzfolgeabschätzung usw.) |
| Sanktionen bei Verstoß | Geldbuße bis zu 10 Mio. EUR oder bis 2 % des gesamten weltweit erzielten Jahresumsatzes sowie behördliche Maßnahmen und ggf. Strafbarkeit |
| Thema | Erklärung | Rechtsgrundlage |
|---|---|---|
| Regelungsinhalte | Aufgaben des Datenschutzbeauftragten | Art. 39 |
| Durch die einleitende Formulierung, dass dem Datenschutzbeauftragten zumindest folgende Aufgaben obliegen, wird klargestellt, dass es sich um eine nicht abschließende Aufzählung handelt und dem Datenschutzbeauftragten die Pflicht zur Wahrnehmung weiterer Aufgaben obliegen kann. | Art. 39 (1) | |
| - Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten | Art. 39 (1) a) | |
| Umfassende Unterrichtungs- und Beratungspflicht des Datenschutzbeauftragten zur Verarbeitungsdurchführung sowie zu allen maßgeblichen Datenschutzvorschriften (DS-GVO und alle weiteren europarechtlichen Normen und nationales Recht). | ||
| - Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen | Art. 39 (1) b) | |
| Umfassende Überwachungspflicht des Datenschutzbeauftragten bzgl. aller maßgeblichen externen Datenschutzvorschriften (DS-GVO und alle weiteren europarechtlichen Normen und nationales Recht) und aller internen Vorschriften (Datenschutzrichtlinien und Betriebsvereinbarungen). Dazu zählt auch die Datenschutzorganisation (Datenschutzstrategien, Zuweisung von Zuständigkeiten, Sensibilisierung/Schulung von Mitarbeitern und deren Überprüfung) der verantwortlichen Stelle. | ||
| - Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz- Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 | Art. 39 (1) c) | |
| Dem Datenschutzbeauftragten obliegt die Pflicht, auf Anfrage zur Datenschutzfolgenabschätzung zu beraten sowie zu überwachen, ob und wie die Datenschutzfolgenabschätzung durchgeführt wird. Hieraus folgt, dass der Datenschutzbeauftragte weder initiativ noch auf Wunsch der verantwortlichen Stelle, die Datenschutzfolgenabschätzung selbst vornehmen kann. | ||
| - Zusammenarbeit mit der Aufsichtsbehörde | Art. 39 (1) d) | |
| - Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen | Art. 39 (1) e) | |
| Ausdrückliche Pflicht des Datenschutzbeauftragten, neben einer ggfs. bestehenden Treue- und Loyalitätspflicht gegenüber der verantwortlichen Stelle mit der Aufsichtsbehörde zusammenzuarbeiten und als deren Anlaufstelle zu fungieren. | ||
| Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt. | Art. 39 (2) EG 97 | |
| Besonderer, differenzierter Sorgfaltsmaßstab im Hinblick auf das für die Betroffenen mit der Verarbeitungstätigkeit verbundene Risiko. | ||
| Die Zuweisung weiterer Aufgaben ist zulässig, wenn sie die Wahrnehmung der Aufgaben als Datenschutzbeauftragter nicht beeinträchtigt und nicht zu einem Interessenskonflikt führt (z. B. die Erstellung des Verarbeitungsverzeichnisses). | Art. 38 (6) | |
| Haftung des Datenschutzbeauftragten | Aus der Neubestimmung der Pflichten des Datenschutzbeauftragten, insbesondere aus der Implementierung der umfassenden Überwachungspflichten, kann sich eine Verschärfung der straf- und zivilrechtlichen Haftung des Datenschutzbeauftragten ergeben, etwa wenn er vorsätzlich oder fahrlässig die ihm obliegende Überwachung unterlässt. Unterschiedliche Auffassungen werden derzeit noch zu der Frage vertreten, ob und in welchem Umfang eine Garantenstellung des Datenschutzbeauftragten besteht. |
Verantwortliche müssen frühzeitig prüfen, ob die derzeitige Tätigkeit ihres Datenschutzbeauftragten noch mit der künftigen Rechtslage vereinbar ist oder Anpassungen erforderlich sind:
- In der Praxis fungiert der Datenschutzbeauftragte oft (teilweise eher) als „Datenschutzmanager“, es wird von ihm erwartet, dass er „alle Aufgaben rund um den Datenschutz“ wahrnimmt. Dies steht nicht im Einklang mit den künftigen umfassenden Überwachungspflichten des Datenschutzbeauftragten, die eine gesonderte Managementtätigkeit der verantwortlichen Stelle voraussetzen.
- Die neuen Überwachungspflichten können dazu führen, dass andere Tätigkeiten, die der Datenschutzbeauftragte neben dieser Funktion wahrnimmt, zukünftig von anderen Stellen wahrgenommen werden müssen (z.B., wenn der Datenschutzbeauftragte auch in seiner anderen Funktion mit Fragestellungen zur Verarbeitung personenbezogener Daten befasst ist).
- Die Überwachungspflichten werden voraussichtlich ferner dazu führen, dass Datenschutzbeauftragte künftig (erheblich) mehr Zeit in ihre Aufgabenwahrnehmung investieren müssen, um diese Pflichten zu erfüllen. Nach alter Rechtslage bezieht sich die Überwachungspflicht nur auf die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme. Auf die Einhaltung der datenschutzrechtlichen Vorschriften muss der Datenschutzbeauftragte hingegen derzeit nur hinwirken.
Ihre Ansprechpartner zu diesem Thema
