Datenschutzbeauftragte FAQ Aufgaben | LDI - Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Welche Aufgaben haben Datenschutzbeauftragte?

Datenschutzbeauftragte haben mindestens die Aufgaben nach Art. 39 DS-GVO zu erfüllen. Dazu zählen:

Unterrichtung und Beratung der Verantwortlichen (oder der Auftragsverarbeiter) und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DS-GVO sowie sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
(Art. 39 Abs. 1 Buchstabe a) DS-GVO)
Überwachung der Einhaltung der DS-GVO und anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien der Verantwortlichen oder der Auftragsverarbeiter für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an Verarbeitungsvorgängen beteiligten Mitarbeitenden und der diesbezüglichen Überprüfungen;
(Art. 39 Abs. 1 Buchstabe b) DS-GVO)
Beratung - auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DS-GVO;
(Art. 39 Abs. 1 Buchstabe c) DS-GVO)
Zusammenarbeit mit der Aufsichtsbehörde (Art. 39 Abs. 1 Buchstabe d) DS-GVO)
Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen einschließlich der vorherigen Konsultation gemäß Art. 36 DS-GVO und gegebenenfalls Beratung zu allen sonstigen Fragen (Art. 39 Abs. 1 Buchstabe e) DS-GVO)
Ansprechperson für Betroffene in allen Fragen zur Verarbeitung ihrer personenbezogenen Daten (Art. 38 Abs. 4 DS-GVO).

Was bedeutet die Überwachung der Einhaltung der Verordnung für Datenschutzbeauftragte?

Datenschutzbeauftragten obliegt die Überwachung der Einhaltung der DS-GVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien von Verantwortlichen oder Auftragsverarbeitern für den Schutz personenbezogener Daten (Art. 39 Abs. 1 Buchstabe b) DS-GVO).

Erwägungsgrund 97 der DS-GVO spezifiziert, dass Verantwortliche oder Auftragsverarbeiter bei der Überwachung der internen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person, die über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügt, unterstützt werden sollte.

Der Schwerpunkt bei der Aufgabenwahrnehmung durch Datenschutzbeauftragte liegt demnach bei der Unterstützung der Verantwortlichen oder Auftragsverarbeiter, etwa durch folgende Maßnahmen:

Sammlung von Informationen, um Verarbeitungsaktivitäten zu identifizieren
Analyse und Überprüfung der Verarbeitungsaktivitäten auf Einhaltung der rechtlichen Vorgaben
Information und Beratung der Verantwortlichen oder Auftragsverarbeiter sowie Abgabe von Empfehlungen an diese.

Sind Datenschutzbeauftragte persönlich verantwortlich für die (Nicht-)Einhaltung der Datenschutzvorschriften?

Nein, Datenschutzbeauftragte sind nicht persönlich verantwortlich für die (Nicht-)Einhaltung der rechtlichen Vorgaben. Die DS-GVO stellt ausdrücklich klar, dass es die Pflicht der Verantwortlichen bleibt, sicherzustellen und nachzuweisen, dass die Datenverarbeitungen im Einklang mit den Regelungen der DS-GVO stehen (Art. 24 Abs. 1 DS-GVO).

Datenschutzbeauftragte haben insoweit lediglich eine beratende und unterstützende Funktion.

Wie stellt sich die Zusammenarbeit mit der Aufsichtsbehörde dar?

Datenschutzbeauftragte sind berechtigt, direkt mit der Aufsichtsbehörde zu kommunizieren. Die Pflicht zur Zusammenarbeit und Kooperation mit der Aufsichtsbehörde ist eine wichtige Regelung (Art. 39 Abs. 1 Buchstabe d) DS-GVO). Datenschutzbeauftragte sind Ansprechpersonen für die Aufsichtsbehörde (Art. 39 Abs. 1 Buchstabe e) DS-GVO).

Welche Rolle spielen Datenschutzbeauftragte bei der Datenschutz-Folgenabschätzung (Art. 35 DS-GVO)?

Es ist Aufgabe der Verantwortlichen und nicht der Datenschutzbeauftragten, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, falls sie erforderlich ist (Art. 35 Abs. 1 DS-). Datenschutzbeauftragte beraten und überwachen bei der DSFA.

Dabei können sie eine wichtige und nützliche Rolle als Assistenz der Verantwortlichen einnehmen. Verantwortliche holen bei der Durchführung der DSFA den Rat der Datenschutzbeauftragten ein., (Art. 35 Abs. 2 DS-GVO, § 38 Abs. 1 Satz 2 BDSG).

Verantwortliche sollen zu folgenden Gesichtspunkten den Rat der Datenschutzbeauftragten einholen:

Erforderlichkeit einer DSFA
Strategie bei Durchführung der DSFA
Entscheidung für eine interne oder ausgelagerte DSFA (Einbindung Externer)
Sicherheitsvorkehrungen (inklusive technischer und organisatorischer Maßnahmen), um die Risiken in Bezug auf die Rechte der Betroffenen zu minimieren
Prüfung, ob die Durchführung der DSFA richtig vorgenommen wurde und ob die Schlussfolgerungen daraus mit den Vorgaben der DS-GVO übereinstimmen (z. B. Vorschläge zur Eindämmung des erkannten Risikos anhand der Implementierung verschiedener technischer und organisatorischer Maßnahmen).

Rat von Datenschutzbeauftragten einzuholen, bedeutet nicht, dass Verantwortliche in jedem Fall dem Rat der Datenschutzbeauftragten zu folgen haben. Falls Verantwortliche sich dazu entscheiden sollten, vom Rat der Datenschutzbeauftragten abzuweichen, sollten sie die Gründe für die Abweichung schriftlich dokumentieren, um ihre Rechenschaftspflicht zu erfüllen (Art. 5 Abs. 2 DS-GVO).

Welche Schwerpunkte sollten Datenschutzbeauftragte bei ihrer täglichen Arbeit setzen?

Datenschutzbeauftragte nehmen ihre Aufgaben risikoorientiert wahr (Art. 39 Abs. 2 DS-GVO). Sie tragen bei der Erfüllung ihrer Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei sie die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigen. Sie sollen die Verarbeitungsaktivitäten danach unterscheiden, wie hoch jeweils das Datenschutzrisiko ausfällt und ihre Tätigkeitsschwerpunkte dementsprechend auf Verarbeitungsaktivitäten mit einem hohen Risikolevel setzen.

Diese Vorgehensweise erlaubt es Datenschutzbeauftragten, die Verantwortlichen oder Auftragsverarbeiter angemessen u. a. in folgenden Datenschutzfragen zu beraten:

Welche Bereiche sollen durch eine interne/externe Datenschutzprüfung beleuchtet werden?

Welche Schulungs- bzw. Fortbildungsangebote sollten den Beschäftigten angeboten werden?

Wann ist eine Datenschutz-Folgenabschätzung durchzuführen und welche Methode ist bei der Durchführung einer Datenschutz-Folgenabschätzung anzuwenden?

Welche Rolle haben Datenschutzbeauftragte beim Verarbeitungsverzeichnis?

Verantwortliche und Auftragsverarbeiter müssen ein Verzeichnis aller Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen (Art. 30 Abs. 1 und Abs. 2 DS-GVO).

Das Verarbeitungsverzeichnis ermöglicht den Verantwortlichen und den Datenschutzbeauftragten, die Verarbeitungstätigkeiten innerhalb der Organisation zu überblicken. Dies ist Voraussetzung für eine gute Überwachungstätigkeit und fördert die Nachvollziehbarkeit der internen Verarbeitungsprozesse.

Das Verzeichnis von Verarbeitungstätigkeiten ist durch die Verantwortlichen bzw. Auftragsverarbeiter lediglich intern zu führen und auf Anforderung nur der Aufsichtsbehörde zur Verfügung zu stellen, damit die betreffenden Verarbeitungsvorgänge überprüft werden können (Art. 30 Abs. 4 DSGVO).

Unternehmen oder Einrichtungen mit weniger als 250 Beschäftigten müssen keine Verzeichnisse führen (Art. 30 Abs. 5 DS-GVO).

Dies gilt ausnahmsweise nicht, falls

die von ihnen vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt oder
die Verarbeitung nicht nur gelegentlich erfolgt oder
die Verarbeitung besondere Datenkategorien gemäß Art. 9 Abs. 1 DS-GVO (z.B. Gesundheitsdaten) bzw. personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO betrifft.

Die Dokumentationsverpflichtung tritt dann wieder ein, wenn mindestens eine der genannten Bedingungen erfüllt ist („oder“). Dies wird der Regelfall sein, da die Verarbeitung in den meisten Fällen nicht nur gelegentlich erfolgt. Auch sobald ein datenverarbeitender Betrieb Lohn- und Gehaltsdaten mit dem Merkmal „Religionszugehörigkeit“ (bedingt durch die Kirchensteuergesetze zwingend) versieht, ist die Rückausnahme „besondere Arten von Daten“ gegeben, was zur Dokumentationspflicht führt.

Die LDI NRW empfiehlt zur Gewährleistung eines effektiven Datenschutz-Managementsystems und zu Dokumentationszwecken in jedem Fall die Erstellung eines schriftlichen, internen Verzeichnisses von Verarbeitungstätigkeiten, auch wenn dies an sich nicht erforderlich wäre.

Weitere Dokumentation empfohlen

Die LDI NRW empfiehlt, weitere, dem Verständnis des Verarbeitungsverzeichnisses dienende, Informationen zur Dokumentation datenschutzrelevanter Vorgänge außerhalb des Verarbeitungsverzeichnisses zu erstellen und vorzuhalten (z. B. ein Sicherheits- und Rechte-und-Rollen-Konzept, ein Wiederanlaufkonzept sowie die Dokumentation des Ergebnisses einer gegebenenfalls durchgeführten Datenschutz-Folgenabschätzung).

Diese Dokumente stellen keine Anlagen zum Verarbeitungsverzeichnis dar, sondern weitere, darüberhinausgehende Bausteine einer umfassenden Dokumentation der organisationsinternen Datenschutzstrategie.

Wir empfehlen, diese Dokumente als Referenz im Verarbeitungsverzeichnis aufzuführen. Auf Anfrage können diese Referenzdokumente zusätzlich zum Verarbeitungsverzeichnis der Aufsichtsbehörde vorgelegt werden. Sie dienen zusammen mit dem Verarbeitungsverzeichnis der Umsetzung der Dokumentations- und Nachweispflichten der Verantwortlichen nach Art. 24 Abs. 1 DS-GVO.