Die Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD) veröffentlicht im Rahmen der Einführung der EU-Datenschutzgrundverordnung eine Reihe von Praxishilfen, die dabei helfen sollen, sich für 2018 zu wappnen. Im ersten Teil widmen sich die Experten der Rolle des Datenschutzbeauftragten nach der DSGVO.
PFLICHT STATT ALTERNATIVE
Nach der bis dato gültigen EG-Datenschutzrichtlinie (95/46/EG) wurde die Bestellung eines Datenschutzbeauftragten lediglich als Alternative für die Meldepflicht gegenüber der Datenschutzaufsichtsbehörde gesehen. Dies wird sich allerdings mit der DS-GVO ab dem 25. Mai 2018 ändern: Erstmalig wird sich eine Bestellpflicht unmittelbar aus dem Europarecht ergeben.
VORAUSSETZUNGEN
Unter welchen Voraussetzungen wird man einen Datenschutzbeauftragten bestellen müssen? Der Praxisleitfaden kennt die Antwort:
„Nach der DS-GVO ist ein Datenschutzbeauftragter (DSB) in folgenden Fällen verpflichtend zu bestellen (vgl. Art. 37 Abs. 1):
>> Art. 37 Abs. 1 Buchst. a) DS-GVO: Personenbezogene Datenverarbeitung durch Behörde / öffentliche Stelle (Ausnahme: Rechtsprechung)
>> Art. 37 Abs. 1 Buchst. b) DS-GVO: Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen
Personen erforderlich machen.
>> Art. 37 Abs. 1 Buchst. c) DS-GVO: Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Art. 9 DS-GVO) oder von Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DS-GVO).“
Der Praxisleitfaden gibt aber auch Beispiele für die verschiedenen Bestellpflichten und verweist auf die Öffnungsklausel, die strengere nationale Regelungen zulässt.
AUFGABEN DES DSB
Unterrichtung und Beratung sind zentrale Aufgaben des Datenschutzbeauftragten. Die Unterrichtung zielt dabei auf die allgemeine Information über die bestehenden datenschutzrechtlichen Pflichten, während die Beratung die Unterstützung bei der Lösung von konkreten datenschutzrechtlichen Fragestellungen darstellt. Achtung: „Die Schulung der Mitarbeiter, d.h. die zielgerichtete pädagogische Aufbereitung der für die konkret ausgeübte Tätigkeit relevanten datenschutzrechtlichen Informationen ist hingegen – anders als nach BDSG – nicht Aufgabe des Datenschutzbeauftragten, sondern des für die Verarbeitung Verantwortlichen. Nach der DS-GVO kommt dem Datenschutzbeauftragten bezüglich der Schulung lediglich eine beratende bzw. kontrollierende Funktion zu. Der für die Verarbeitung Verantwortliche ist jedoch frei, dem Datenschutzbeauftragten auch die Durchführung der Schulungsaufgabe zu übertragen.“ Aber auch die Überwachung und Einhaltung des Datenschutzes, Aufgaben im Zusammenhang mit Datenschutz-Folgeabschätzungen oder die Pflicht zur risikoorientierten Tätigkeit sind wichtige Aufgabengebiete.
FAZIT DER GDD
„Die DS-GVO sieht erstmals eine europaweite Verpflichtung zur Bestellung von Datenschutzbeauftragten vor (…) Der Datenschutzbeauftragte als fachkundiges internes Beratungs- und Kontrollorgan leistet insoweit einen wichtigen Beitrag zur Reduzierung von Unternehmensrisiken. Aufgaben und Stellung des Datenschutzbeauftragten nach der DS-GVO entsprechen im Kern den bisherigen nationalen Vorgaben. Mit Blick auf seine Aufgabenstellung nimmt der Datenschutzbeauftragte nach der DS-GVO allerdings verstärkt die Funktion eines Kontrollorgans ein.“