Was erwarten mich für Aufgaben als Datenschutzbeauftragter?

Vorweg, im Folgenden wird vom Datenschutzbeauftragten in der männlichen Form gesprochen. Der Einfachheit halber beim Lesen unterscheiden wir nicht. Es sind natürlich alle Geschlechter angesprochen.

Die Ernennung zum internen Datenschutzbeauftragten kommt vielleicht für manche Mitarbeiter ganz plötzlich. In der Praxis ist es meist üblich, dass ein Mitarbeiter die Aufgaben des Datenschutzbeauftragten „nebenbei“ übernimmt. Er oder sie übernimmt die Funktion des Datenschutzbeauftragten, viele Fragen zum Wie und den Aufgaben bleiben offen.

Welche Qualifikationen benötige ich als Datenschutzbeauftragter?

Grundsätzlich ist erst einmal festzuhalten, dass der Beruf des Datenschutzbeauftragten kein normaler Ausbildungsberuf wie z.B. Einzelhandelskaufmann ist.

Einfach gesagt, was für eine Qualifikation Sie als interner oder externer Datenschutzbeauftragter benötigen ist in der Datenschutzgrundverordnung bzw. im Bundesdatenschutzgesetz – neu festgehalten.

Art. 37 Absatz 5 DSGVO bzw. § 7 BDSG – neu

„Der Datenschutzbeauftragte wird aufgrund der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechtes und der Datenschutzpraxis besitzt […]“.

Was bedeutet dieser Satz? Erst einmal kann sich jeder zum Datenschutzbeauftragten benennen lassen, der Fachwissen und Qualifikationen zum Thema Datenschutz vorweisen kann.

Wie erfolgt so ein Nachweis? In der Praxis werden unterschiedliche Lehrgänge und Weiterbildungen für bereits benannte und zukünftige Datenschutzbeauftragte angeboten. Diese Veranstaltungen werden zumeist von externen Datenschutzbeauftragten oder Rechtsanwälten geleitet. Es muss jedoch keine Prüfung abgelegt werden, um den Titel „Datenschutzbeauftragten“ zu erhalten.

Ich persönlich erhielt die Qualifizierung durch die Belegung eines Vertiefungswahlfaches in meinem Studium. Mit der erfolgreichen Belegung des Moduls „IT- und Datenschutzrecht“ erhielt ich die Befähigung zur Datenschutzbeauftragten.

Ein Studium ist jedoch keine Voraussetzung. Langjährige Mitarbeiter, die sich im Bereich Datenschutz weiterbildeten und einiges an Erfahrung durch ihren beruflichen Werdegang gesammelt haben, können ebenfalls als interner Datenschutzbeauftragter nach dem Gesetz tätig werden.

Welche Aufgaben habe ich als  Datenschutzbeauftragter zu erfüllen?

Wie meine Professoren im Studium immer gerne zu sagen pflegten: „Ein Blick ins Gesetz fördert die Rechtskenntnis“. Dies bedeutet für die Aufgaben des Datenschutzbeauftragten, sich die Art. 39 DSGVO bzw. § 7 BDSG – neu anzusehen. In diesen werden die Aufgaben des Datenschutzbeauftragten aufgezählt. Kurz zusammengefasst bedeutet dies, dass Sie als Datenschutzbeauftragter

• den Verantwortlichen, den Auftragsverarbeiter und die Mitarbeiter unterrichten und beraten,
• die Einhaltung der DSGVO bzw. des BDSG neu überwachen
• die Strategien des Auftragsverarbeiters zum Schutz von personenbezogenen Daten überprüfen, 
• Mitarbeiter schulen, 
• bei einer Datenschutzfolgeabschätzung nach Art. 35 DSGVO beratend agieren und
• mit der Aufsichtsbehörde zusammenarbeiten sowie als Ansprechpartner für diese fungieren.

Das Aufgabengebiet des Datenschutzbeauftragten scheint zunächst überschaubar zu sein. Es kommt vor allem auf die Unternehmensgröße und das Tätigkeitsfeld der Firma an, wie „leicht“ sich das Thema Datenschutz bewältigen lässt. Während in manchen Firmen die Aufgaben des Datenschutzbeauftragten tatsächlich mit ein paar Stunden pro Woche erledigt werden können, ist es in anderen Unternehmen ein Vollzeitjob.

Unterrichtung und Beratung

Diese beiden Begriffe können sehr weit ausgelegt werden. Das Wort „beraten“ bedeutet, Sie sprechen als Datenschutzbeauftragter Empfehlungen aus. Wenn Sie Risiken in einem Verfahren bei der Datenverarbeitung sehen (z.B. die PCs der Mitarbeiter sind ohne Passwort geschützt), weisen Sie den Verantwortlichen (meist Geschäftsführer oder Vorstand) darauf hin. Ob dieser nun das Risiko verringern möchten oder nicht, liegt in seinem Verantwortungsbereich. Jedoch haben Sie als Datenschutzbeauftragter den Verantwortlichen unterrichtet und ihm auch bestenfalls Lösungsvorschläge (z.B. Passworteinrichtung auf den Mitarbeiter PCs) empfohlen sowie auch das Risiko und den Lösungsvorschlag im Verfahrensverzeichnis dokumentiert.

Das heißt allerdings nicht, einmal darauf hinweisen und dann zurück lehnen. Natürlich müssen Sie auch weiterhin das Thema adressieren und regelmäßig zur Sprache bringen. Trotzdem können Sie nicht in Ihrer Rolle als DSB für die Umsetzung von Schutzmaßnahmen verantwortlich sein.

Überwachung der Einhaltung

Das Thema Datenschutz in keine einmalige Sache. Nein! Vielmehr ist es ein stetiger Prozess, der ggf. angepasst wird oder neu konzipiert wird.

Überwachung bedeutet auch, dass z.B. festgelegte Sicherheitsstandards in einer Betriebsvereinbarung auch nicht nur auf dem Papier vorhanden sind, sondern auch im Unternehmen gelebt werden. Was bringt es großartige Konzepte und Ideen ausgearbeitet zu haben, wenn niemand im Unternehmen diese vor- und auslebt? Übrigens finden Sie in dem Blogartikel „IT-Sicherheitsrichtlinie“ eine Mustervorlage für eine Sicherheitsrichtlinie.

Leider kann keine allgemeine Aussage getroffen werden, wie eine Überwachung auszusehen hat. Diese ist von verschiedenen Faktoren (Größe des Unternehmens, Mitarbeiterzahl usw.) abhängig und auch durch die Kultur in den Firmen von Unternehmen zu Unternehmen sehr unterschiedlich.

Überprüfung der Auftragsverarbeiter

Im Interview mit den verantwortlichen Stellen (z.B. beim Erstellen des Verfahrensverzeichnisses) wird man auch immer auf die Frage stoßen, ob ein externer Dienstleister z.B. bei der Betreuung der IT-Infrastruktur beauftragt wurde. Wenn ja, ist es ratsam einen Auftragsverarbeitungsvertrag zu schließen.

Doch damit ist die Aufgabe des Datenschutzbeauftragten noch nicht vollendet. Es ist zu prüfen, welche Strategien der Auftragsverarbeiter zum Schutz von personenbezogenen Daten einsetzt. Meist werden die Maßnahmen bereits im Auftragsverarbeitungsvertrag im Anhang TOMs (technische und organisatorische Maßnahmen) festgeschrieben. Die Dokumentation darüber im Vertrag genügt jedoch nicht aus.

Laut dem Muster eines Auftragsverarbeitungsvertrags sind verschiedene Wege möglich, um als Auftragsverarbeiter diesen Schutz nachzuweisen:  

• Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO,
• Zertifizierung nach einem genehmigten Zertifizierungsverfahren nach Art. 42 DSGVO,
• aktuelle Testate, Berichte/Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Datenschutzbeauftragten, Datenschutzauditoren etc.),
• geeignete Zertifizierung durch IT–Sicherheits- oder Datenschutzaudits (z.B. nach BSI-Grundsatz)

In einigen Fällen ist jedoch Eigeninitiative gefragt und der Auftragsverarbeiter ist persönlich zu auditieren und zu besuchen.

Mitarbeiterschulung

Wir empfehlen gerne unseren Kunden, die Mitarbeiterschulung nach der Abarbeitung der grundlegenden Datenschutzthemen (Verfahrensverzeichnis, Informationspflichten, AV-Verträge etc.) durchzuführen.

Mit der Erarbeitung der Datenschutzunterlagen wurde der sog. IST-Zustand im Unternehmen aufgenommen. Risiken sind dokumentiert und Optimierungen vorgeschlagen oder sogar schon beschlossen. Mit den bestehenden und geplanten Schutzmaßnahmen hat man die besten Grundlagen, eine Mitarbeiterschulung durchzuführen.

Es ist ratsam, den Mitarbeitern immer eine Begründung an die Hand zu geben, warum und weshalb ein bereits bestehender Prozess aufgrund des Datenschutzes bzw. der IT-Sicherheit geändert bzw. optimiert wird.

Sätze wie: „Wir müssen aufgrund des Datenschutzes jeden PC beim Verlassen des Arbeitsplatzes sperren“ sind weder für die Mitarbeiter begründend noch erhält man als Datenschutzbeauftragter Sympathiepunkte. Ein wichtiges Anliegen von mir persönlich sowie des Teams der Datenbeschützerin ist es, den Mitarbeitern auf Augenhöhe zu begegnen und ihnen wirklich gute Begründungen darzulegen. Eine bessere Formulierung des erwähnten Satzes wäre: „Aufgrund der aktuellen Gegebenheiten, dass unsere Büros nicht verschlossen werden können und wir in unserem Gebäude Kunden und Besucher empfangen, empfehlen wir, den PC beim Verlassen des Arbeitsplatzes z.B. beim Toilettengang oder Gang in die Mittagspause zu sperren. Vorteil ist, die offenen Programme und Tools brauchen nicht geschlossen werden. Dies dient dem Schutz der persönlichen Daten unserer Kunden.“

Datenschutzfolgeabschätzung

Aktuell ist das Thema der Datenschutzfolgeabschätzung für viele noch undurchsichtig. Ich möchte hier noch nicht zu sehr ins Detail gehen. Wir widmen diesem Thema einen eigenen Blogartikel.

Es ist grundlegend festzuhalten, dass eine Datenschutzfolgeabschätzung benötigt wird, sofern ein Verfahren geplant ist, welches ein hohes Risiko für die Rechte und Freiheiten des Betroffenen birgt (z.B. Geolokalisierung von Beschäftigten).

Natürlich ist die Datenschutzfolgeabschätzung wieder kein einmaliges Unterfangen, sondern ebenfalls ein Prozess, welcher auch dokumentiert werden muss.

Zusammenarbeit mit der Aufsichtsbehörde

Diese Aussage klingt schlimmer als es tatsächlich ist. In § 40 Absatz 6 BDSG – neu ist auch festgehalten, dass die Aufsichtsbehörde den Datenschutzbeauftragten bei seinen Aufgaben unterstützt und berät. Aus meiner persönlichen Erfahren kann ich mitteilen, dass die Aufsichtsbehörde bei Fragen sehr hilfsbereit ist und gerne Tipps und Hilfestellungen an die Hand gibt. 

Bei Datenschutzvorfällen wendet sich die Aufsichtsbehörde an Sie als Datenschutzbeauftragter. Es ist Ihre Aufgabe als Datenschutzbeauftragter als Schnitt- bzw. Vermittlungsstelle zwischen dem Verantwortlichen und der Behörde zu agieren und zu koordinieren.

Aufgaben Datenschutzbeauftragter – Umfrage Ergebnisse

Aufgaben Datenschutzbeauftragter

Im Q3 / 2018 haben wir eine Umfrage zum Thema Datenschutz und Aufgaben Datenschutzbeauftragter veröffentlicht. Gerne möchte ich hier auf die uns übermittelten Ergebnisse und Problematiken aus der Praxis eingehen.

Die Bewältigung der Aufgaben als Datenschutzbeauftragter im Tagesgeschäft ist je nach Größe des Unternehmens breit gefächert. Wir baten die Teilnehmer um eine Einschätzung, inwieweit sie ihre Aufgaben des Datenschutzes erfüllen.

Über 50 % der 70 Befragten gaben an, dass sie die Aufgaben wahrscheinlich gut meistern, jedoch Verbesserungspotential sehen. Auch im Hinblick auf die Strukturierung der Tätigkeiten und um den Überblick zu behalten gaben 30 % an, dass ihnen das noch nicht gelingt.

DSGVO-Vorlagen, DSGVO-Hilfen und Tools

In Bezug auf DSGVO-Vorlagen, DSGVO-Hilfen gaben die Befragten an, dass sie zwar einige DSGVO-Vorlagen besitzen, jedoch nicht genügend, um die Aufgaben des Datenschutzbeauftragten und die damit verbundene Dokumentation zu erfüllen.

Die Kritik der Datenschutzbeauftragten liegt darin, dass es zwar Vorlagen gibt, diese jedoch entweder nicht sehr hilfreich sind, unübersichtlich oder sogar sehr teuer erworben werden können.

Die DSGVO schreibt die Art der Dokumentation nicht vor. Wie soll man als Datenschutzbeauftragter nun vorgehen? Es können natürlich verschiedene Tools eingesetzt werden. Meist ist dies jedoch mit hohen Kosten verbunden.

Grundsätzlich reichen Tabellen oder Dokumente. Nur wie sind diese am besten anzulegen? Wie behalten Sie den Überblick?

Bewältigung der Aufgaben als Datenschutzbeauftragter

Die Tatsache, dass es keinen konkreten Leitfäden/Checklisten und zentrale Austauschstellen und Ansprechpartner für Gleichgesinnte gibt, war im Ergebnis überaus deutlich.

Damit wir die Datenschutzbeauftragten und Verantwortlichen am besten unterstützen können, haben wir uns ein ganz spezielles Angebot überlegt. Damit gehen wir genau auf die genannten Praxisprobleme ein und unterstützen die Unternehmen im Hintergrund.

Wir übernehmen keine aktive Datenschutzbeauftragung, sondern stehen den DSBs und Verantwortlichen konkret zur Verfügung. Dies haben wir in unserem Programm DSB Mentoring der Datenbeschützerin umgesetzt.

DSB Mentoring

Ihnen fehlt ein strukturiertes Vorgehen sowie Vorlagen und Checklisten für die Umsetzung der DSGVO Anforderungen? Sie möchten einen kompetenten Partner im Hintergrund auf den Sie zurückgreifen können?

Hier setzt unser DSB Mentoring Programm an.

Mit unserem eigens entwickelten Datenschutzbeauftragten-Mentoring möchten wir Sie begleitend anleiten. Welche Vorgehensweise ist sinnvoll, um die relevanten Themen im Bezug auf die Aufgaben des Datenschutzbeauftragten abzudecken? Unser Ziel ist es, Sie als Datenschutzbeauftragten mit DSGVO-Vorlagen und DSGVO-Hilfen in einem 12-Wochen-Programm zu begleiten, anzuleiten und zu unterstützen.

Das dürfen Sie von dem Datenschutzbeauftragten-Mentoring erwarten:

• Leitfäden/Checklisten mit Vorlagen
• Online-Gruppenmeetings und Einzelstunden
• Austausch von Fragen in einem Forum
• Tipps und Hilfen aus Praxis

Informationen zum Datenschutzbeauftragten-Mentoring finden Sie hier. Für Rückfragen stehen wir Ihnen gerne zur Verfügung. Schreiben Sie uns eine E-mail.

Zusammenfassung Aufgaben Datenschutzbeauftragter

Ich hoffe, ich konnte Ihnen mit diesem Blogartikel einen guten Überblick über die Aufgaben eines Datenschutzbeauftragten geben.

Sie dürfen sich auf einen zweiten Teil zum Thema Datenschutzbeauftragter freuen. In diesem werde ich auf die rechtliche bzw. arbeitsrechtliche Stellung eines Datenschutzbeauftragten eingehen und in welchem Umfang ein Datenschutzbeauftragter haftet.

Welche Erfahrungen Sie als Datenschutzbeauftragter bereits gesammelt haben, dürfen Sie uns gerne in den Kommentaren mitteilen. Ich freue mich auf eine rege Diskussion und Anregungen.

 

Quelle Titelbild: Pixabay

Quelle

FAQ zum Thema Datenschutzbeauftragter

Wann muss ein DSB bestellt werden?

Nach Art. 37 Abs. 1 lit. a – c DSGVO, wenn

• eine öffentliche Stellen oder Behörden die Daten verarbeitet (Ausnahme: Gerichte),
• die Kerntätigkeit/Haupttätigkeit umfangreiche oder systematische Überwachung von Personen betrifft oder
• die Kerntätigkeit/Haupttätigkeit umfangreich sensible Daten (Art 9, 10 DSGVO) betrifft.

Müssen Ärzten oder Rechtsanwälten auch einen DSB bestellen?

• Bei einzelnen Ärzten oder Anwälten entfällt die Benennungspflicht , da es sich um keine auslösende umfangreiche Verarbeitung handelt
• Es ist jedoch der Einzelfall zu prüfen, ob die Benennungspflicht entfällt

Darf ein DSB benannt werden, obwohl keine Pflicht besteht?

Ja, nach Art. 37 Abs. 4 Satz 1 DSGVO darf freiwillig ein DSB benannt werden.

Gibt es noch weitere Fälle, in denen ein DSB zu benennen ist?

Nach § 38 BDSG-neu ist ein DSB zu benennen, wenn

• mindestens zwanzig Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind oder
• Verarbeitungen vorgenommen werden, die einer DSFA unterliegen oder
• Daten geschäftsmäßig zum Zweck der Übermittlung, Markt- oder Meinungsforschung verarbeitet (Anzahl der Mitarbeiter unabhängig) werden.

Darf auch ein gemeinsamer DSB benannt werden?

• Unternehmensgruppen dürfen einen gemeinsamen DSB benennen (Art. 37 Abs. 2 DSGVO)
• Auch Behörden dürfen bei einheitlicher Organisationsstruktur einen gemeinsamen DSB benennen (Art. 37 Abs. 3 DSGVO)

Wer darf DSB werden? Welche Qualifikationen werden benötigt?

Der DSB wird aufgrund seiner beruflichen Qualifikation und seines Fachwissens im Datenschutzrecht und seiner Fähigkeit, die Aufgaben nach Art. 39 DSGVO zu erfüllen, benannt.

Was sind die Aufgaben des DSB?

• Unterrichtung und Beratung des Verantwortlichen und Beschäftigten
• Überwachung und Einhaltung der Datenschutzvorschriften sowie deren Strategien
• Sensibilisierung und Schulung der Mitarbeiter
• Beratung bei Datenschutz-Folgeabschätzungen
• Zusammenarbeit mit der Aufsichtsbehörde
• Beratung der Betroffenen