Die Aufgaben eines Datenschutzbeauftragten
Data Privacy von Ioannis Dimas
In Gesprächen mit Unternehmen ist relativ eindeutig erklärbar, wann man einen Datenschutzbeauftragten bestellen muss. Die Frage, ob ein interner oder externer Datenschutzbeauftragter (DSB) vorteilhafter ist, ist jedoch schon etwas komplizierter zu beantworten.
Beides kann in bestimmten Fällen der bessere Weg sein. Ob ein interner DSB jedoch von den Unternehmen überhaupt leistbar ist, sollte objektiv betrachtet werden.
Ein sehr guter Anhaltspunkt im Bezug auf das generelle Aufgabengebiet lässt sich aus dem Artikel 39 der DS-GVO Absatz 1 ablesen.
Diese Punkte sind jedoch noch sehr grob ausgeführt und gehen nur ansatzweise auf die tatsächlichen praktischen Tätigkeiten ein.
Daher haben wir Ihnen im Folgenden eine detailliertere Liste der Aufgaben zusammengestellt, die als Entscheidungshilfe gerne herangezogen werden kann.
#1 Der DSB ist Ansprechpartner für alle Fragen im Bezug auf Datenschutzthemen
Der Datenschutzbeauftragte muss bestellt werden und ist der zuständigen Aufsichtsbehörde zu melden. Darüber hinaus ist der direkte Kontakt zum DSB in der Datenschutzerklärung (auf der Website) anzugeben.
Als erstes muss also sichergestellt sein, dass der DSB auch genügend Zeit hat, sich um Anfragen zu kümmern. Hier sind teils auch Fristen gegeben, die für die Beantwortung der Anfragen einzuhalten sind. Insofern sind entsprechende Urlaubs- und Krankheitssituationen bei der Wahl eines Mitarbeiters unbedingt zu berücksichtigen.
Darüber hinaus ist erforderlich, dass der Datenschutzbeauftragte fach- und sachkundig ist.
Datenschutz einfach für jeden. Hier Infos anfordern!
Gerne stellen wir Ihnen kostenloses Material zu den Aufgaben eines Datenschutzbeauftragten und unserer Softwarelösung EDIRA zur Verfügung.
Die zu bearbeitenden Themen sind umfangreich und erfordern das notwendige Wissen. Es muss also sichergestellt sein, dass sich der DSB neben einer „Grundausbildung“ ständig weiterbilden kann. Hierfür ist der Besuch einer initialen mehrtägigen Schulung, aber auch von periodischen Veranstaltungen und das Lesen von entsprechender Literatur aus diesem Themenbereich und auch das Verfolgen etwaiger Rechtssprechung und Urteilen von Vorteil.
#2 Sicherstellung der Umsetzung der DS-GVO
Mit der DS-GVO liegt eine Verordnung vor, die 99 Artikel enthält und von allen Unternehmen einzuhalten ist, die personenbezogene Daten verarbeiten. Der Datenschutzbeauftragte hat dafür Sorge zu tragen, dass die Anforderungen umgesetzt und im Unternehmen eingehalten werden. Der DSB ist somit als Beauftragter der Geschäftsleitung auch an vielen anstehenden Entscheidungen im Unternehmen beteiligt. Insbesondere wenn es sich um IT-Themen handelt.
Als Persönlichkeit muss der DSB hier auch die notwendigen Standpunkte vertreten und wenn erforderlich, auch gegen Vorschläge argumentieren und Hinweise geben, wie die Umsetzung mit geltendem Recht vereinbar sein kann. Im Zweifel muss er sich mit einem spezialisierten Fachanwalt für Datenschutz in Verbindung setzen, um der Geschäftsführung einen rechtskonformen Weg aufzuzeigen.
#3 Sichere Software
Datenschutzkonforme Arbeit setzt auch die Verwendung von sicherer Software voraus. Prüfen Sie Ihre Software auf Datenschutzkonformität oder schauen Sie sich nach Alternativen um. Es gibt viele deutsche/europäische Softwarelösungen, bei denen die Daten in deutschen Rechenzentren verarbeitet werden.
Wir empfehlen Ihnen Open Source Lösungen, die mit einem offenen Quellcode vollständige Transparenz bieten. Als Cloud Service setzen wir auf ETES.IO als M365 Alternative mit E-Mails, Dateiaustausch und Videokonferenzen. Alle Daten werden sicher in unserem ISO 27001 zertifizierten Rechenzentrum verarbeitet und Sie können Outlook bei Interesse weiterhin nutzen, da unsere Lösungen im Hintergrund aktiv sind.
#4 Berater der Geschäftsleitung
In der täglichen Arbeit stehen Entscheidungen über IT-Strategien, verwendete Lösungen und andere auf persönliche Daten bezogene Themen an.
Die Geschäftsleitung verlässt sich hier auf die Expertise der IT-Abteilung und wird dort beraten. In Datenschutzthemen muss sich die Leitung auf die Expertise des DSB verlassen. Hier wird in aller Regel über IT-Themen beraten. Der Datenschutzbeauftragte muss in der Lage sein, die notwendigen Zusammenhänge zu erkennen und idealerweise ein gewisses IT-Wissen vorweisen. Wichtig bei der Bestellung eines internen DSB ist es, dass dieser keinen Sachbezug in seiner hauptamtlichen Tätigkeit haben darf. Der IT-Leiter kann ebenso nicht bestellt werden, wie Personalverantwortliche oder ein Mitglied der Geschäftsleitung.
#5 Dokumentation und Einhaltung der Datenschutzregeln
In der DS-GVO sind viele Vorgaben enthalten, was zu dokumentieren ist. Beispielsweise muss jedes Unternehmen eine „Leitlinie für den Datenschutz“ erstellen. Diese ist bindend für die Arbeitsweise im Unternehmen und der damit verbundene Umgang mit personenbezogenen Daten. So ist eine Aufgabe des Datenschutzbeauftragten, die Erstellung und Pflege der Dokumentation. Darüber hinaus muss die Einhaltung der aufgestellten Regeln überwacht werden.
Unser Online-Dokumentationstool EDIRA bietet Ihnen Dokumentationsvorlagen und weitere Hilfsmittel für die Anforderungen eines Datenschutzbeauftragten. Mit diesem Tool werden Sie bei Ihrer Arbeit unterstützt und vergessen keine wichtige Richtlinie. Alle Ihre Informationen werden gesichert in dem Tool gespeichert und so haben Sie die wichtigen Daten an einem zentralen Ort.
Datenschutz einfach für jeden. Hier Infos anfordern!
Gerne stellen wir Ihnen kostenloses Material zu den Aufgaben eines Datenschutzbeauftragten und unserer Softwarelösung EDIRA zur Verfügung.
#6 Schulungen der Mitarbeiter
Vermutlich werden personenbezogene Daten von mehreren Mitarbeitern im Unternehmen verarbeitet. Wie bereits im vorigen Punkt genannt, ist im Unternehmen eine Leitlinie für den Umgang zu erstellen und auch durch alle Mitarbeiter einzuhalten. Damit dies möglich ist, müssen alle Mitarbeiter mit einbezogen werden und idealerweise periodisch Schulungen angeboten werden. Die DS-GVO fordert nicht wörtlich die Schulung der Mitarbeiter, verlangt aber, dass alle sich an die Regeln halten. Hierzu ist natürlich das Basiswissen über die Anforderungen der DS-GVO zu vermitteln und die firmeninternen Regelungen zu erläutern.
Der Datenschutzbeauftragte ist also idealerweise in der Lage, während den Schulungen die Mitarbeiter „mitzunehmen“, um so das Verständnis der Mitarbeiter zu erreichen.
#7 Datenschutz-Folgenabschätzungen
Der DSB muss für Verarbeitungsvorgänge, die gemäß Artikel 35 DS-GVO eine Datenschutz-Folgenabschätzung erfordern, eine entsprechende erstellen. Hierbei wird eine Risikoanalyse erstellt, die zusätzlich auch die Bedrohungen der betroffenen Person betrachtet. Dazu nutzt ein DSB entsprechende Softwaretools wie EDIRA um diese Risikoanalysen durchzuführen und entsprechende Vorlagen zu nutzen.
Der Datenschutzbeauftragte erhält einen Einblick in Unternehmenskennzahlen wie Umsatz usw. Bei der Bestellung eines internen Datenschutzbeauftragten ist dies zu beachten.
#8 Fristeinhaltung bei Datenschutzvorfällen und Betroffenenanfragen
Bei Datenschutzvorfällen und Betroffenenanfragen sind Fristen einzuhalten. Auch sind insbesondere bei Datenschutzvorfällen die richtigen Stellen zu informieren. Eine Frist bspw. die Frist bei Datenschutzvorfällen. Innerhalb von 72h muss die zuständige Datenschutzbehörde hierüber informiert werden. Ansonsten sind Geldbußen zu erwarten. 72 Stunden klingt zunächst einmal nach einem sehr langen Zeitraum, allerdings ist im Falle des Falles der Zeitraum kürzer als man denkt. Daher ist es immens wichtig, dass alle Vorarbeiten des DSB sorgfältig gemacht sind und der DSB die notwendige Zeit eingeräumt bekommen hat. Der Datenschutzbeauftragte erstellt Prozessabläufe, die zwingend einzuhalten sind. Weiter muss er dafür Sorge tragen, dass die Mitarbeiter entsprechend sensibilisiert sind, selbst Vorfälle zu erkennen.
Der DSB ist während der Prozesse der Ansprechpartner für alle sonstigen Beteiligten und im Sinne des Unternehmens auch weisungsbefugt als Erfüllungsgehilfe.
#9 Strukturierte Arbeitsweise und Denken
Da neben viel Dokumentation, Datenschutz-Folgeabschätzungen auch Prozesspläne und Abläufe definiert werden müssen, ist eine strukturierte Arbeitsweise erforderlich. Idealerweise greift der Datenschutzbeauftragte auf eine Dokumentationslösung, wie z. B. EDIRA zu. Diese Lösungen bieten viele Vorlagen und Arbeitshilfen an.
Fazit
Wie bereits am Anfang dieses Blogposts geschrieben, kann ein interner Datenschutzbeauftragter im Unternehmen Sinn machen. Je intensiver personenbezogene Daten verarbeitet werden und der Geschäftszweck sich darauf aufbaut, desto wichtiger ist eine sehr enge Zusammenarbeit zwischen Datenschutz und den Abteilungen.
In den allermeisten Fällen ist es aber effizienter und kostengünstiger einen externen Datenschutzbeauftragten zu bestellen.
Wir bieten die Leistung als externer Datenschutzbeauftragter an. Dabei stützen wir uns auf jahrelange Erfahrung sowohl im Informationssicherheitsumfeld als auch durch etliche Mandate als ext. DSB . Gerne unterstützen wir Sie bei der Entscheidung für oder gegen einen externen Datenschutzbeauftragten. Nehmen Sie sich ein paar Minuten Zeit und klären Sie Ihre Fragen in einer kurzen Videokonferenz.