Der Datenschutzbeauftragte nach der DSGVO: Veränderungen als Chance nutzen

PrintMailRate-it

veröffentlicht am 10. August 2016,zuletzt aktualisiert am 4. Mai 2017
 
Durch die EU-Datenschutzgrundverordnung wird es einige Veränderungen für die Stellung des Datenschutzbeauftragten geben. Sie tritt am 25. Mai 2018 in Kraft. Zudem wurde am 27. April 2017 das Anpassungsgesetz für das neue Bundesdatenschutzgesetz verabschiedet. Der Gesetzgeber hat einige Sachverhalte, die in der Realität des Datenschutzes immer wieder zu kontroversen Diskussionen geführt haben, sinnvoll neu geregelt.

 

 

 

Ausgangsbasis

Die Bestellung des Datenschutzbeauftragten hängt in Deutschland auch künftig u.a. an der Anzahl der Personen, die in der Verarbeitung personenbezogener Daten eingebunden sind. Ein Datenschutzbeauftragter wird im privatwirtschaftlichen Umfeld unter folgenden Voraussetzungen in jedem Fall zu benennen sein:
  • Die Kerntätigkeit des Unternehmens (als Verantwortlicher oder als Auftragsdatenverarbeiter) erfordert eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen.
     
  • Oder die Kerntätigkeit des Unternehmens liegt in der umfangreichen Verarbeitung von Daten besonderer Kategorien (Daten über Rasse, ethnische Herkunft, politische Meinung, religiöse und weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten, Gesundheitsdaten, Daten zum Sexualleben/sexuelle Orientierung) oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten.
     
  • Oder das Unternehmen nimmt Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung unterliegen. Dies ist der Fall, wenn

- die Form der Verarbeitung, insbesondere die Verwendung neuer Technologien, 
- aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung 
- voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

  • Oder das Unternehmen verarbeitet die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung.

 

Außerhalb dieser Kriterien ist es dem Unternehmen freigestellt, einen Datenschutzbeauftragten zu benennen oder nicht.
     
Der Datenschutzbeauftragte muss über eine entsprechende berufliche Qualifikation und insbesondere datenschutzrechtliches und praxisrelevantes Fachwissen verfügen. Weiterhin ist auch ein externer Datenschutzbeauftragter im Rahmen eines Dienstleistungsvertrags möglich.
      
Der Datenschutzbeauftragte kann zusätzliche Aufgaben oder Pflichten haben. Sie dürfen jedoch nicht in einem Interessenkonflikt stehen. Konflikte können kapazitativer und inhaltlicher Natur sein. Dem Datenschutzbeauftragten muss nach wie vor ausreichend Zeit für seine Datenschutztätigkeit verbleiben. Zudem verbieten sich andere Aufgaben, bei denen er sich selbst überwachen müsste.
      

Die „neuen und alten” Aufgaben des Datenschutzbeauftragten

Der Gesetzgeber führt eine Mindestliste an Aufgaben an. Dazu zählen:
  • Unterrichtung und Beratung des Verantwortlichen bzw. des Auftragsdatenverarbeiters sowie der Beschäftigten, die die Verarbeitung durchführen;
  • Überwachung über die Einhaltung der Vorgaben;
  • Anlaufstelle für und Zusammenarbeit mit der Aufsichtsbehörde sowie
  • Rat geben bei Anfragen von betroffenen Personen.

    
Das aktuelle Bundesdatenschutzgesetz sieht lediglich vor, dass ein Datenschutzbeauftragter auf die Einhaltung der datenschutzrechtlichen Regelungen hinwirkt. Nun soll er aber die Einhaltung überwachen. Aus dieser Rolle ergeben sich erhebliche Folgefragen, gerade in Bezug auf die Haftung eines Datenschutzbeauftragten. Folgerichtig ist zudem, dass dem Datenschutzbeauftragten nicht mehr die Sensibilisierung bzw. die Schulung der Beschäftigten selbst obliegt, sondern lediglich die Überwachung der Umsetzung durch den Verantwortlichen.
      
Zudem ist die Stellung des Datenschutzbeauftragten in mehreren Passagen der Norm deutlicher gefasst worden. So ist seitens des Verantwortlichen bzw. des Auftragsdatenverarbeiters sicherzustellen, dass er den Datenschutzbeauftragten keine Weisungen erteilt. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene.
 

Daher empfehlen wir:

  • Ermittlung des Status Quo im Hinblick auf die Änderungen, die sich durch die EU-DSGVO ergeben sowie
  • Ableitung von entsprechenden Handlungsbedarfen in der Zeit, bis die EU-DSGVO rechtlich bindend wird (25. Mai 2018, das sind „nur” noch 12 Monate, Stand Frühjahr 2017).
     

Kontakt

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

Contact Person Picture

Falk Hofmann

ISO/IEC27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden

Wirtschaftsmagazin

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu