Die Aufgaben des Datenschutzbeauftragten, kurz DSB, sind vielfältig und umfangreich. Doch welche Pflichten hat er im Einzelnen? Und muss der Datenschutzbeauftragte wirklich alle Aufgaben selbst übernehmen? Seine Rechte sind nicht immer klar definiert, die Aufsichtsbehörden helfen hier jedoch mit praktischen Hinweisen.[nbsp]
In diesem Artikel geben wir Ihnen einen Überblick über die Rechte und Pflichten des Datenschutzbeauftragten und zeigen auf, welche Aufgaben durch andere Stellen in der Organisation wahrgenommen werden können.
Die Aufgaben des DSB finden sich vor allem in § 4g BDSG, die sich wie folgt darstellen:
- Hinwirkung auf die Einhaltung der datenschutzrechtlichen Vorgaben
- Überwachung der ordnungsgemäßen Anwendung von DV-Programmen
- Schulung aller Personen, die mit der Verarbeitung von personenbezogenen Daten betraut sind
- Bereitstellung der Verfahrensübersicht, mit Ausnahme der technischen und organisatorischen Maßnahmen und den Berechtigungen, an jedermann auf Antrag
Zusätzlich ergeben sich aus weiteren Paragraphen an verschiedenen Stellen Mitwirkungspflichten. Hierunter fällt unter anderem die Vorabkontrolle, die nur durch den DSB vorgenommen werden kann.
Beratung
Der DSB hat auf die Einhaltung der datenschutzrechtlichen Vorgaben hinzuwirken. Diese Feststellung verdeutlicht nochmals, dass der DSB[nbsp] nicht die Entscheidungen über Datenverarbeitungen oder die Umsetzung von Maßnahmen trifft, sondern vielmehr eine beratende und mitwirkende Funktion hat.
So bezieht sich die Beratung sowohl auf die rechtliche Einordnung als auch die Umsetzung von datenschutzgerechten IT-Systemen und Anwendungen (DV-Programmen).
Es ist somit unerlässlich, dass der DSB sowohl in strukturelle und organisatorische Prozesse eingebunden wird, als auch innerhalb der Technik in die Auswahlprozesse bei der Beschaffung von Hard- und Software. Jede nachgelagerte Bewertung und gegebenenfalls notwendige Anpassungen sind in der Regel wesentlich aufwändiger für ein Unternehmen.
Kontrolle
Zu den zentralen Aufgaben des DSB gehört weiterhin die Überwachung der ordnungsgemäßen Anwendung von Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden können. Damit ist nicht gemeint, dass der DSB detektivische Aufgaben übernehmen soll, um die Einhaltung von Richtlinien durch die Mitarbeiter zu überwachen. Disziplinarische Maßnahmen, sofern Mitarbeiter Vorgaben nicht einhalten, obliegen dem Unternehmen und seinen Führungskräfte.
Vielmehr geht es um die Überprüfung von umgesetzten Maßnahmen, ob diese angemessen und wirksam sind, um den gesetzlichen Anforderungen des Datenschutzes zu genügen. Dabei sind stets auch Wirtschaftlichkeit und adäquate Alternativen zu berücksichtigen.
Um seiner Kontrollpflicht nachzukommen, sind dem DSB Zugangs- und Einsichtsrechte einzuräumen,[nbsp] die sich ebenfalls auf die gespeicherten personenbezogenen Daten beziehen. Einzig ausgenommen sind personenbezogene Daten von Betriebs- und Personalräten (Hinweis: Dies ist in einigen Landesdatenschutzgesetzen nicht ausgenommen).
Die Art und den Umfang sowie die Zeiträume von Kontrollen bestimmt der DSB aufgrund seiner Weisungsfreiheit selbst.
Unterweisungen
Die Schulung aller Personen, die im Zuge ihrer normalen Tätigkeit mit der Verarbeitung von personenbezogenen Daten betraut sind, ist eine zentrale Aufgabe des Datenschutzbeauftragten. Dabei legt das Gesetz nicht zwingend fest, in welcher Form die Unterweisung zu erfolgen hat. Den Umfang und die konkreten Inhalte legt der DSB fest, da er aufgrund seiner betrieblichen Kenntnisse und der Fachkunde die Angemessenheit beurteilen kann. Die Schulung selbst muss nicht zwangsläufig durch den DSB durchgeführt werden, sondern kann auch über Multiplikatoren in Präsenzveranstaltungen oder webbasierte Lernsystemen erfolgen. Die Kontrolle über die Durchführung erfolgt dann wieder durch den DSB.
Weitere unterstützende Maßnahmen wie
- Information der Mitarbeiter über E-Mail, Intranet oder interne Mitteilungen
- Vorträge zu speziellen Themen in Abteilungen oder Projekten
- Herausgabe von Merkblättern
sind in jedem Fall wünschenswert, um eine anhaltende Sensibilisierung sicherzustellen.
Verfahrensbeschreibung
Die Erstellung und das Führen der Verfahrensübersicht werden oft als Aufgabe des DSBs verstanden. Nach dem Gesetz ist er jedoch nur dafür verantwortlich, die notwendigen Angaben bei Anfrage jedermann zur Verfügung zu stellen. Die Verfahrensbeschreibungen selbst sind dem DSB vom Unternehmen zu übergeben. In der Praxis zeigt sich jedoch, dass die zu dokumentierenden Angaben, speziell die Zweckbestimmung und Rechtsgrundlagen, nur mithilfe des DSBs erstellt werden können. Somit ist die Koordination der Erstellung, die Vervollständigung der Verfahrensbeschreibungen und auch die Überwachung der regelmäßigen Aktualisierung eine klassische Aufgabe des DSB.
Vorabkontrolle
Die Vorabkontrolle, als datenschutzrechtliche Prüfung vor einer Erhebung und Verarbeitung von personenbezogenen Daten, obliegt nach § 6b Abs. 6 BDSG eindeutig dem DSB. Dabei ist sowohl die Vorabkontrolle als auch die Prüfung der Notwendigkeit einer Vorabkontrolle Aufgabe des DSB.
Aus den genannten Gründen ist es zwingend notwendig, dass der DSB in alle geplanten Veränderungen oder Neuerungen an IT-Systemen oder Geschäftsprozessen aktiv mit eingebunden wird.[nbsp]
Unterstützung des DSB
Das BDSG gibt dem Unternehmen vor, dass es den DSB bei der Erfüllung seiner Aufgaben zu unterstützen hat. Unterstützung kann auf verschiedene Weise erfolgen.
Unterstützung bedeutet, dass der DSB
- die notwendige Zeit bekommt, seine Aufgaben zu erfüllen
- eine Rückzugsmöglichkeit hat, um in Gesprächen mit Betroffenen Vertraulichkeit gewährleisten zu können
- seine Dokumentation und Aufzeichnungen sicher speichern und ablegen kann
- für seine Tätigkeit als DSB ein eigene E-Mailadresse zur Kommunikation bekommt
- Ansprechpartner, vor allem im Personal und der IT, zur Verfügung hat, um seine Kontrollfunktion angemessen wahrzunehmen
Das vielfältige Themenspektrum zeigt deutlich, dass der DSB ein umfassendes Wissen über die reine Fachkunde der datenschutzrechtlichen Vorgaben hinaus besitzen muss. Deshalb ist in § 4f Abs. 2 BDSG definiert:
„[…] Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde hat die verantwortliche Stelle dem Beauftragten für den Datenschutz die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen.“
Die Themen und Inhalte, die benötigt werden, orientieren sich dabei an der Organisation und deren Geschäftszwecken und an der vorhandenen Fachkunde des DSB. Ein auf das Unternehmen thematisch abgestimmtes Inhouse-Seminar oder Workshop ist ebenfalls eine effektive Möglichkeit, die Fachkunde mit direktem Praxisbezug zu erweitern.
Weiter Hinweise an die Anforderungen des DSBs und seiner Aufgaben finden Sie auch im Beschluss des Düsseldorfer Kreises vom 24./25. November 2010 unter https://www.ldi.nrw.de/.