Die Aufgaben eines Datenschutzbeauftragten

von Katharina Weidlich

Berufliches Beratungsgespräch zwei Männer eine Frau

In Gesprächen mit Unternehmen ist relativ eindeutig erklärbar, wann man einen Datenschutzbeauftragten bestellen muss. Die Frage, ob ein interner oder externer Datenschutzbeauftragter (DSB) vorteilhafter ist, ist jedoch schon etwas komplizierter zu beantworten.

Beides kann in bestimmten Fällen der bessere Weg sein. Ob ein interner DSB jedoch von den Unternehmen überhaupt leistbar ist, sollte objektiv betrachtet werden.

Ein sehr guter Anhaltspunkt im Bezug auf das generelle Aufgabengebiet lässt sich aus dem Artikel 39 der DS-GVO Absatz 1 ablesen.

Diese Punkte sind jedoch noch sehr grob ausgeführt und gehen nur ansatzweise auf die tatsächlichen praktischen Tätigkeiten ein.

Daher haben wir Ihnen im Folgenden eine detailliertere Liste der Aufgaben zusammengestellt, die als Entscheidungshilfe gerne herangezogen werden kann.

#1 Der DSB ist Ansprechpartner für alle Fragen im Bezug auf Datenschutzthemen

Der Datenschutzbeauftragte muss bestellt werden und ist der zuständigen Aufsichtsbehörde zu melden. Darüber hinaus ist der direkte Kontakt zum DSB in der Datenschutzerklärung (auf der Website) anzugeben.

Als erstes muss also sichergestellt sein, dass der DSB auch genügend Zeit hat, sich um Anfragen zu kümmern. Hier sind teils auch Fristen gegeben, die für die Beantwortung der Anfragen einzuhalten sind. Insofern sind entsprechende Urlaubs- und Krankheitssituationen bei der Wahl eines Mitarbeiters unbedingt zu berücksichtigen.

Darüber hinaus ist erforderlich, dass der Datenschutzbeauftragte fach- und sachkundig ist. Die zu bearbeitenden Themen sind umfangreich und erfordern das notwendige Wissen. Es muss also sichergestellt sein, dass sich der DSB neben einer „Grundausbildung“ ständig weiterbilden kann. Hierfür ist der Besuch einer initialen mehrtägigen Schulung, aber auch von periodischen Veranstaltungen und das Lesen von entsprechender Literatur aus diesem Themenbereich und auch das Verfolgen etwaiger Rechtssprechung und Urteilen von Vorteil.

#2 Sicherstellung der Umsetzung der DS-GVO

Mit der DS-GVO liegt eine Verordnung vor, die 99 Artikel enthält und von allen Unternehmen einzuhalten ist, die personenbezogene Daten verarbeiten.

Der Datenschutzbeauftragte hat dafür Sorge zu tragen, dass die Anforderungen umgesetzt und im Unternehmen eingehalten werden.

Der DSB ist somit als Beauftragter der Geschäftsleitung auch an vielen anstehenden Entscheidungen im Unternehmen beteiligt. Insbesondere wenn es sich um IT-Themen handelt.

Als Persönlichkeit muss der DSB hier auch die notwendigen Standpunkte vertreten und wenn erforderlich, auch gegen Vorschläge argumentieren und Hinweise geben, wie die Umsetzung mit geltendem Recht vereinbar sein kann. Im Zweifel muss er sich mit einem spezialisierten Fachanwalt für Datenschutz in Verbindung setzen, um der Geschäftsführung einen rechtskonformen Weg aufzuzeigen.

#3 Berater der Geschäftsleitung

In der täglichen Arbeit stehen Entscheidungen über IT-Strategien, verwendete Lösungen und andere auf persönliche Daten bezogene Themen an.

Die Geschäftsleitung verlässt sich hier auf die Expertise der IT-Abteilung und wird dort beraten. In Datenschutzthemen muss sich die Leitung auf die Expertise des DSB verlassen. Hier wird in aller Regel über IT-Themen beraten. Der Datenschutzbeauftragte muss in der Lage sein, die notwendigen Zusammenhänge zu erkennen und idealerweise ein gewisses IT-Wissen vorweisen. Wichtig bei der Bestellung eines internen DSB ist es, dass dieser keinen Sachbezug in seiner hauptamtlichen Tätigkeit haben darf. Der IT-Leiter kann ebenso nicht bestellt werden, wie Personalverantwortliche oder ein Mitglied der Geschäftsleitung.

#4 Dokumentation und Einhaltung der Datenschutzregeln

In der DS-GVO sind viele Vorgaben enthalten, was zu dokumentieren ist. Beispielsweise muss jedes Unternehmen eine „Leitlinie für den Datenschutz“ erstellen. Diese ist bindend für die Arbeitsweise im Unternehmen und der damit verbundene Umgang mit personenbezogenen Daten.

So ist als Aufgabe für den Datenschutzbeauftragten die Erstellung und Pflege der Dokumentation zu nennen. Darüber hinaus muss er die Einhaltung der aufgestellten Regeln überwachen.

#5 Schulungen der Mitarbeiter

Vermutlich werden personenbezogene Daten von mehreren Mitarbeitern im Unternehmen verarbeitet. Wie bereits im vorigen Punkt genannt, ist im Unternehmen eine Leitlinie für den Umgang zu erstellen und auch durch alle Mitarbeiter einzuhalten. Damit dies möglich ist, müssen alle Mitarbeiter mit einbezogen werden und idealerweise periodisch Schulungen angeboten werden. Die DS-GVO fordert nicht wörtlich die Schulung der Mitarbeiter, verlangt aber, dass alle sich an die Regeln halten. Hierzu ist natürlich das Basiswissen über die Anforderungen der DS-GVO zu vermitteln und die firmeninternen Regelungen zu erläutern.

Der Datenschutzbeauftragte ist also idealerweise in der Lage, während den Schulungen die Mitarbeiter „mitzunehmen“, um so das Verständnis der Mitarbeiter zu erreichen.

#6 Datenschutz-Folgenabschätzungen

Der DSB muss für Verarbeitungsvorgänge, die gemäß Artikel 35 DS-GVO eine Datenschutz-Folgenabschätzung erfordern, eine entsprechende erstellen. Hierbei wird eine Risikoanalyse erstellt, die zusätzlich auch die Bedrohungen der betroffenen Person betrachtet. Dazu nutzt ein DSB entsprechende Softwaretools wie EDIRA um diese Risikoanalysen durchzuführen und entsprechende Vorlagen zu nutzen.

Der Datenschutzbeauftragte erhält einen Einblick in Unternehmenskennzahlen wie Umsatz usw. Bei der Bestellung eines internen Datenschutzbeauftragten ist dies zu beachten.

#7 Fristeinhaltung bei Datenschutzvorfällen und Betroffenenanfragen

Bei Datenschutzvorfällen und Betroffenenanfragen sind Fristen einzuhalten. Auch sind insbesondere bei Datenschutzvorfällen die richtigen Stellen zu informieren. Eine Frist bspw. die Frist bei Datenschutzvorfällen. Innerhalb von 72h muss die zuständige Datenschutzbehörde hierüber informiert werden. Ansonsten sind Geldbußen zu erwarten. 72 Stunden klingt zunächst einmal nach einem sehr langen Zeitraum, allerdings ist im Falle des Falles der Zeitraum kürzer als man denkt. Daher ist es immens wichtig, dass alle Vorarbeiten des DSB sorgfältig gemacht sind und der DSB die notwendige Zeit eingeräumt bekommen hat. Der Datenschutzbeauftragte erstellt Prozessabläufe, die zwingend einzuhalten sind. Weiter muss er dafür Sorge tragen, dass die Mitarbeiter entsprechend sensibilisiert sind, selbst Vorfälle zu erkennen.

Der DSB ist während der Prozesse der Ansprechpartner für alle sonstigen Beteiligten und im Sinne des Unternehmens auch weisungsbefugt als Erfüllungsgehilfe.

#8 Strukturierte Arbeitsweise und Denken

Da neben viel Dokumentation, Datenschutz-Folgeabschätzungen auch Prozesspläne und Abläufe definiert werden müssen, ist eine strukturierte Arbeitsweise erforderlich. Idealerweise greift der Datenschutzbeauftragte auf eine Dokumentationslösung, wie z. B. EDIRA zu. Diese Lösungen bieten viele Vorlagen und Arbeitshilfen an.

Fazit

Wie bereits am Anfang dieses Blogposts geschrieben, kann ein interner Datenschutzbeauftragter im Unternehmen Sinn machen. Je intensiver personenbezogene Daten verarbeitet werden und der Geschäftszweck sich darauf aufbaut, desto wichtiger ist eine sehr enge Zusammenarbeit zwischen Datenschutz und den Abteilungen.

In den allermeisten Fällen ist es aber effizienter und kostengünstiger einen externen Datenschutzbeauftragten zu bestellen.

Wir bieten die Leistung als externer Datenschutzbeauftragter an. Dabei stützen wir uns auf jahrelange Erfahrung sowohl im Informationssicherheitsumfeld als auch durch etliche Mandate als ext. DSB . Gerne unterstützen wir Sie bei der Entscheidung für oder gegen einen externen Datenschutzbeauftragten. Nehmen Sie sich ein paar Minuten Zeit und klären Sie Ihre Fragen in einer kurzen Videokonferenz.

 

Kontaktieren Sie uns

X

Sie sind Ihrer digitalen Souveränität bereits einen großen Schritt näher gekommen.

Wir freuen uns auf Ihr Interesse und Ihre Fragen.

Bitte rechnen Sie 7 plus 9.
Diese Anfrage ist für Sie unverbindlich und keine Zahlungsmittel sind notwendig.
eteslogo4
Autoren
Markus Espenhain

Unser Geschäfts­führer und Gründer ist für die Strategie und den Kontakt zu Kunden & Partnern verantwortlich. Im Blog stellt er Ihnen neue Partnerschaften und Unternehmens-News vor.

Ioannis Dimas

Datenschutz und Informationssicherheit sind seine Herzensangelegenheit. Er berät Unternehmen zu diesen Themen und kann viel dazu berichten.

Marco Welter

Als Vertriebsleiter liegt sein Schwerpunkt in dem Kontakt mit Kunden. Durch jahrelange Erfahrungen im IT Bereich kennt er alle unsere Produkte und weiß immer über Neuigkeiten Bescheid.