DIY Datenschutz: Teil 9 Datenschutzbeauftragter (DSB)

Vorwort

Im neunten Teil unserer Selbsthilfeserie “Wie kriegen wir die Seiten voll?” geht es um den Datenschutzbeauftragten (DSB).

Ziel der Serie ist es über das bloße Teilen von Informationen hinaus zu unterstützen, indem wir Ihnen auch das Werkzeug für die praktische Umsetzung datenschutzrechtlicher Verpflichtungen zur Verfügung stellen. Wissensbibliotheken zum Datenschutz gibt es wirklich schon genug.

Auch auf unseren Social Media Kanälen wird jede Woche ein neuer Teil gepostet.

Teil 9: Datenschutzbeauftragter (DSB)

Im letzten Teil der Serie DIY Datenschutz schließt sich der Kreis: Wir haben gesehen, dass man vieles alleine machen kann, aber ein Datenschutzbeauftragter (DSB) schafft Sicherheit, kommt bei Kunden gut an und entlastet die eigenen Beschäftigten.

Also:

Wer braucht einen Datenschutzbeauftragten (DSB)?
Und wozu?
Was macht ein DSB überhaupt?

Vorab schon einmal: Auch Unternehmen, die nicht zur Bestellung eines DSB verpflichtet sind, müssen die datenschutzrechtlichen Vorschriften einhalten.

Disclaimer: Dieser Beitrag stellt keine Rechtsberatung dar und erhebt keinen Anspruch auf Vollständigkeit. Auslassungen, Verkürzungen und Vereinfachungen sind beabsichtigt. Für konkrete Fragen wenden Sie sich bitte an einen Rechtsanwalt oder Datenschutzbeauftragten.

Wer braucht einen DSB?

Die Regelung, dass Unternehmen mit mehr als 20 Beschäftigten in aller Regel einen DSB bestellen müssen, ist allgemein bekannt. Auch Praktikanten, Auszubildende, etc. werden dabei übrigens mitgezählt. Aber auch unterhalb dieser Schwelle kann eine Pflicht zur Bestellung eines DSB bestehen.

Die folgenden sind gesetzlich verpflichtet, einen DSB zu bestellen:

  1. Behörden und öffentliche Stellen
  2. Verantwortliche und Auftragsverarbeiter, deren Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
    Hiervon sind z.B. Unternehmen betroffen, die Online-Tracking zu Werbezwecken durchführen
  3. Verantwortliche und Auftragsverarbeiter, deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten (das sind gem. Art. 9 DSGVO personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.
    Unternehmen wie beispielsweise Krankenhäuser sind also zur Benennung eines DSB verpflichtet, da sie Gesundheitsdaten der Patienten verarbeiten.
  4. Verantwortliche und Auftragsverarbeiter, die in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen
  5. Verantwortliche oder Auftragsverarbeiter, deren Verarbeitungen einer Datenschutz-Folgenabschätzung unterliegen, oder die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.
    Bevor eine Form der Verarbeitung eingesetzt wird, die aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben wird, muss eine Datenschutzfolgenabschätzung durchgeführt werden. Beispiel für eine solche Verarbeitung ist die Durchführung von umfangreichen Videoüberwachungsmaßnahmen. Wer eine solche DSFA durchführen muss, muss einen DSB benennen.

Es kommt also tatsächlich auf die Anzahl der Beschäftigten an – aber eben nicht nur.

Die Voraussetzungen sollte man im Blick haben, denn sobald man sie erfüllt, ist die Benennung eines DSB gesetzliche Pflicht.

Darüber hinaus kann es aber auch sinnvoll sein, einen DSB zu bestellen, ohne dass eine Verpflichtung besteht. Auch Unternehmen mit 14 Beschäftigten haben den Datenschutz umzusetzen und ein DSB kann einem diese Arbeit sehr erleichtern. 

Und wer übernimmt diese Aufgabe?

Es ist möglich, einen eigenen Beschäftigten zu benennen. Die meisten Verantwortlichen entscheiden sich jedoch aus guten Gründen gegen einen internen Datenschutzbeauftragten.

  • Internen DSB fehlt es oft an den notwendigen Kenntnissen und Erfahrungen, um die Rolle ausfüllen zu können. Der Aufwand in Sachen Aus- und Weiterbildung ist enorm – einen Mitarbeiter nebenbei zusätzlich zu dessen eigentlichen Aufgaben auch noch „Datenschutz“ machen zu lassen, wird nicht funktionieren.
    Externe Datenschutzbeauftragte sind auf den Datenschutz spezialisiert und bringen entsprechende Erfahrung mit. Sie sind selbst für ihre Weiterbildung zuständig. Meist sind es Juristen oder IT-Fachleute, die diese Leistung anbieten. Ihr rechtliches bzw. technisches Hintergrundwissen bietet für die Erfüllung der Aufgaben eines DSB einen deutlichen Mehrwert. Zudem können sie auch in anderen Angelegenheiten hilfreich sein: Ein Datenschutzjurist hat häufig Spezialwissen aus dem IT-Recht. Kommen dann Fragen im Zusammenhang mit Softwareverträgen, Cloud- oder KI-Diensten auf, muss man sich nicht erst einen Rechtsanwalt suchen, der Kenntnisse in diesem Bereich hat – es besteht bereits ein Kontakt mit einem Spezialisten, der auch noch bestens mit dem Unternehmen vertraut ist.
  • Laut Gesetz darf ein DSB keine Weisungen erhalten und es darf nicht zu Interessenkonflikten kommen. Die internen Strukturen stören aber regelmäßig die unabhängige Ausübung der Tätigkeit als interner DSB. Angenommen, ein Kollege, der bisher Kundenbetreuung gemacht hat, wird plötzlich zum DSB benannt und untersteht damit nun direkt der Geschäftsleitung. Er ist in alle Verarbeitungstätigkeiten einzubeziehen, muss organisatorisch eingebunden werden, etc. Dabei gibt es bereits gewachsene Strukturen. Dieser Umbau bedeutet viel Aufwand und ob er gelingt, steht auf einem anderen Blatt.
  • Schließlich genießen interne DSB umfassenden Kündigungsschutz: Nur eine Kündigung aus wichtigem Grund ist möglich, eine ordentliche Kündigung nicht erlaubt. 
    Den Vertrag mit dem externen DSB kann man dagegen ohne weiteres nach den Regelungen des jeweiligen Vertrags kündigen. Natürlich muss man aber nach der Abberufung des bisherigen DSB jemand anderen zum DSB bestellen, wenn man zur Bestellung gesetzlich verpflichtet ist.

Also ein Externer. Und für wen entscheidet man sich? Es gibt zahllose externe Datenschutzbeauftragte. Die Anforderungen, die das Gesetz an DSB stellt sind recht abstrakt:

Erforderlich sind gemäß Art. 37 Abs. 5 DSGVO Berufliche Qualifikation, Fachwissen in Sachen Datenschutzrecht und Datenschutzpraxis sowie die Fähigkeit, die Aufgaben eines DSB zu erfüllen (näher dazu unten).

Nicht einfach, da den richtigen für die eigenen Bedürfnisse zu finden. Indikatoren können Zertifikate angesehener Institute sein. Hat jemand bei der IHK, dem TÜV oder anderen eine Ausbildung zum Datenschutzbeauftragten absolviert und die Prüfung bestanden, kann er damit bei Verantwortlichen punkten – oft zurecht. Viele DSB bieten auch Leistungen an, die über die gesetzlichen Aufgaben hinausgehen. Hier kann man wählen, welche Services man möchte, und welche es vielleicht nicht braucht. Die Anforderungen an DSB sind vielfältig und daher sind es auch die Angebote. Es gibt kein One Size Fits All.

Was macht ein DSB überhaupt?

Eine weitverbreitete Annahme ist, dass ein DSB „den Datenschutz macht“, sodass die übrigen Beschäftigten sich nicht mehr darum kümmern müssen. Diese Erwartung kann allerdings nur enttäuscht werden.

Die Aufgaben sind in Art. 39 DSGVO aufgeführt. Ein DSB ist demnach Berater, der Verantwortlichen und Auftragsverarbeitern bei Fragen zur Seite steht. Er hilft bei organisatorischen Fragen, prüft Auftragsverarbeitungsverträge und Datenschutzerklärungen, stellt Muster zur Verfügung, unterstützt bei Datenschutzfolgenabschätzungen, führt Schulungen durch, arbeitet mit der Aufsichtsbehörde zusammen und kommuniziert mit dieser, usw. Dafür ist Voraussetzung, dass er bei allen Angelegenheiten mit datenschutzrechtlichem Bezug eingebunden wird. Es wird ein IT-Projekt geplant? Ein Unternehmensteil soll veräußert werden? Die Beschäftigten brauchen Unterstützung bei der Pflege des Verzeichnisses der Verarbeitungstätigkeiten? Sprechen Sie mit Ihrem DSB!

Der DSB steht den Beschäftigten übrigens nicht nur bei Fragen zum Datenschutz im Zusammenhang mit Kundendaten uä zur Verfügung. Es geht auch um den Schutz der Daten der Beschäftigten im Verhältnis zum Arbeitgeber – also dem Verantwortlichen bzw. Auftragsverarbeiter, der den DSB selbst bestellt hat. Der DSB ist weisungsfrei und kann daher unabhängig agieren. Zudem ist er gesetzlich zur Verschwiegenheit verpflichtet. Beschäftigte können sich also vertrauensvoll an ihn wenden, wenn sie Zweifel an der Rechtmäßigkeit von Verarbeitungstätigkeiten haben, die ihre eigenen Daten betreffen, ohne Repressionen des Arbeitgebers fürchten zu müssen.

Beispiele: Es wurden Fotos des letzten Sommerfests auf die Unternehmenswebsite hochgeladen, die Beschäftigte beim Feiern zeigen. Einwilligungserklärungen wurden jedoch nicht eingeholt. Oder ein Hotelangestellter hat Zweifel an der Rechtmäßigkeit der Videoüberwachung in den Aufenthaltsräumen der Beschäftigten. Oder jemand fragt sich, ob es in Ordnung ist, dass der Kollege Bewerbungen der letzten 3 Jahre in seinem E-Mailpostfach aufbewahrt.

Die Kontaktdaten des DSB werden in der Datenschutzerklärung auf der Website veröffentlicht, damit sich jeder bei Fragen an ihn wenden kann. Zudem muss die Bestellung der zuständigen Aufsichtsbehörde gemeldet werden.

Ein Datenschutzkonzept und vor allem die Sensibilisierung und regelmäßige Schulung der Beschäftigten ist daher unerlässlich. Die Verantwortung bleibt beim Verantwortlichen. Wenn der DSB nichts erfährt, kann er nicht helfen.

Alle Beiträge der Reihe:
Teil 1 Datenschutzerklärung
Teil 2 Verzeichnis der Verarbeitungstätigkeiten (VVT)
Teil 3 Videoüberwachung
Sonderbeitrag 1: KI-generierte Datenschutzunterlagen
Teil 4 Vorgehen bei Datenpannen
Teil 5 Einwilligung bietet keine ultimative Sicherheit
Teil 6 Cookie-Banner
Teil 7 Auftragsverarbeitungsvertrag (AVV)
Teil 8 Vorgehen bei Betroffenenanfragen
Teil 9 Datenschutzbeauftragter (DSB)

admin

, , , , , , , ,