Was gehört zu den Aufgaben und Pflichten eines Datenschutzbeauftragten?

Ab Mai 2018 gilt die Datenschutzgrundverordnung der EU (DSGVO) in allen EU-Mitgliedsstaaten ohne Übergangsfrist. Wie in Art. 35 DSGVO festgelegt, müssen ab dann europaweit alle Unternehmen einen Datenschutzbeauftragten benennen, deren Tätigkeit aus datenschutzrechtlicher Sicht einer besonderen Kontrolle bedarf.

Für in Deutschland ansässige Unternehmen ändert sich mit der DSGVO bezogen auf einen Datenschutzbeauftragten auf den ersten Blick nicht viel. Auch bisher mussten die meisten Unternehmen aufgrund des bis dato geltenden Bundesdatenschutzgesetzes (BDSG), einen Datenschutzbeauftragten bestellen. In Art. 39 listet die DSGVO folgende Aufgaben auf:

1. Unterrichtung und Beratung

Ein Datenschutzbeauftragter muss die Verantwortlichen, die Auftragsverarbeiter und die Beschäftigten, die personenbezogene Daten verarbeiten, hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen Datenschutzvorschriften der EU und gemäß der nationalen Gesetzgebung beraten.

2. Überwachung der Einhaltung

Zu den Aufgaben des Datenschutzbeauftragten gehört es außerdem, die Einhaltung der DSGVO und andere Datenschutzvorschriften zu überwachen. Darunter fällt auch, die strategischen Maßnahmen für den Schutz personenbezogener Daten zu kontrollieren. Dies schließt die Zuweisung von Aufgaben, Sensibilisierung und Schulung der jeweiligen Mitarbeiter mit ein.

3. Beratung

Im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Art. 35 DSGVO muss der Datenschutzbeauftragte das Unternehmen beraten.

4. Zusammenarbeit mit der Aufsichtsbehörde

Der Datenschutzbeauftragte fungiert als Schnittstelle zu den Aufsichtsbehörden und ist für sie die erste Anlaufstelle im Unternehmen, wenn es um den Datenschutz personenbezogener Daten geht.

Art. 39 DSGVO richtet die Aufgaben des Datenschutzbeauftragten im Vergleich zum alten BDSG verstärkt auf Beratungs-, Kontroll- und Überwachungsaufgaben aus. Betont wird vor allem die Zusammenarbeit mit der Aufsichtsbehörde – gerade, wenn es um die Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO geht.

Stellung des Datenschutzbeauftragten

Angesichts des oben genannten Aufgabenspektrums und des großen Verantwortungsbereichs regelt die DSGVO ausdrücklich die Stellung des Datenschutzbeauftragten. So heißt es in Art. 38 Abs. 1 DSGVO, dass er „ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen“ einzubinden ist.

Die rechtliche und organisatorische Stellung des Datenschutzbeauftragten ist in der DSGVO zwar weniger ausführlich, aber ähnlich wie im BDSG geregelt. Der Datenschutzbeauftragte berichtet gemäß Art. 38 Abs. 3 DSGVO der höchsten Managementebene, unterliegt aber keinen Weisungen. Seine Unabhängigkeit muss sichergestellt werden. Außerdem darf er wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.

Anforderungen an den Datenschutzbeauftragten

Unternehmen haben grundsätzlich die Wahl, ob sie einen internen oder externen Datenschutzbeauftragten benennen. Art. 37 Abs. 5 DSGVO schreibt unter anderem vor, dass er insbesondere Fachwissen in den Bereichen Datenschutzrecht und Datenschutzpraxis vorweisen können muss. Die Anforderungen an den Datenschutzbeauftragten entsprechen damit grundsätzlich den bisherigen fachlichen Anforderungen durch das alte BDSG.