Die Aufgaben eines Datenschutzbeauftragten (DSB) sind nach Art. 39 DSGVO klar umrissen. Ein DSB muss zumindest Folgendes tun:
- Den Verantwortlichen oder Auftragsverarbeiter und deren Beschäftigte, die Daten verarbeiten, hinsichtlich ihrer Pflichten nach Datenschutzgesetzen unterrichten und beraten.
- „Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;“
- Auf Anfrage im Zusammenhang mit der Datenschutzfolgenabschätzung beraten und ihre Durchführung überwachen.
- Mit der Aufsichtsbehörde zusammenarbeiten
- „Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.“
Außerdem trägt der DSB „bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.“
Zu kompliziert? Dann übersetzt in „DSGVO einfach“:
Ein DSB hat viele Aufgaben. Mindestens muss er das alles können und wissen:
- Er muss alle wichtigen Datenschutzgesetze kennen. Denn neben der DSGVO gibt es noch mehr Gesetze. Damit Unternehmen, die Daten verarbeiten, möglichst wenig falsch machen, schult und berät ein DSB die Beschäftigten.
- Er passt auf, dass alle Datenschutzgesetze eingehalten werden. Er passt auf, dass das Unternehmen möglichst nichts falsch macht, wenn der Chef sich überlegt, wer was tun soll.
- Er hilft, wenn ein Unternehmen evtl. riskante Datenverarbeitungen durchführen will.
- Er arbeitet mit der Aufsichtsbehörde zusammen, wenn was schiefging.
- Er beantwortet der Aufsichtsbehörde ihre Fragen.
Dazu muss er einen Haufen über Gesetze, IT bzw. Technik wissen – und auch wissen, wie ein Unternehmen Geld verdient. Weil ITler eine andere Sprache sprechen als Juristen, muss er außerdem diese Sprachen „übersetzen“ können.
Fazit? Vor allem muss ein DSB ein Kommunikationstalent sein, aber auch ein bisschen eierlegende Wollmilchsau – und fliegen sollte er möglichst auch noch können.
Wer darf (nicht) DSB sein?
Datenschutzbeauftragter kann ein Externer sein, der sich auf dieses Gebiet spezialisiert hat. Prinzipiell kann aber auch ein Beschäftigter des Unternehmens DSB werden, wenn er ausreichend sachkundig ist. Dabei ist wichtig, dass die DSGVO unterscheidet zwischen den Aufgaben und Pflichten des Datenschutzbeauftragten und den anderen Aufgaben und Pflichten, die er wahrnimmt. Gleichzeitig muss nach Art. 38 DSGVO Folgendes erfüllt sein: „Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“ Sobald der interne Beschäftigte also neben seiner Tätigkeit als DSB eine Position im Unternehmen bekleidet, deren Interessen mit denen DSB kollidieren (können), darf er nicht DSB sein. In der Regel fallen damit Geschäftsführung, Ehegatten, Leitungspositionen im Marketing, dem Personalwesen oder ähnlichen Funktionen aus als DSB. Wer DSB sein kann, hängt davon ab, welchen Umfang die Datenverarbeitung im Unternehmen einnimmt und welche Daten verarbeitet werden. Übrigens ist ein Datenschutzbeauftragter immer weisungsfrei und genießt ein Sonderkündigungsrecht.
Zu kompliziert? Dann übersetzt in „Datenschutz einfach“:
Eigentlich kann jeder Beschäftigte eines Unternehmens DSB werden. Damit ein DSB seine Arbeit ordentlich machen kann, muss er eine Menge wissen und immer wieder „zur Schule gehen“. Das Unternehmen muss ihm also genug Zeit und Geld zur Verfügung stellen, damit er seine Arbeit als DSB machen kann. Außerdem ist es die Aufgabe eines Datenschutzbeauftragten, Dinge im Unternehmen zu kontrollieren. Damit er sich nicht selbst kontrollieren muss, darf er keine Aufgabe im Unternehmen haben, deren Tätigkeiten er kontrolliert. Denn wenn er selbst bestimmte Dinge mit personenbezogenen Daten machen will, würde er ja seine eigentliche Arbeit stören. Weil man davon ausgeht, dass das keiner machen sollte, ist es verboten, jemanden zum DSB zu benennen, der dann unterschiedliche Interessen unter einen Hut bringen müsste. Übrigens: Der Chef darf dem DSB nicht sagen, was er zu tun und zu lassen hat – und kündigen darf er ihm auch nicht so einfach.