Neu als Datenschutzbeauftragter – Neues Datenschutzgesetz und was Sie beachten müssen
Neu als Datenschutzbeauftragter – Neues Datenschutzgesetz und was Sie beachten müssen
Datenschutzbeauftragter – Aufgaben im Überblick
Die wichtigsten Aufgaben des Datenschutzbeauftragten haben wir Ihnen im S+P Informationsblog „Datenschutzbeauftragter – Aufgaben im Überblick“ zusammengefasst.
- Aufgaben und Pflichten des Datenschutzbeauftragten unter der DSGVO
- Gesetzliche Aufgaben des Datenschutzbeauftragten
- Überwachungs- und Kontrollhandlungen des Datenschutzbeauftragten
- Unterrichtung und Beratung – zwei wesentliche Aufgaben des Datenschutzbeauftragten
- Datenschutz-Folgenabschätzung
- Zusammenarbeit mit und Anlaufstelle für die Aufsichtsbehörde
- Verzeichnis der Verarbeitungstätigkeiten
- Mitwirkung bei der Realisierung von Betroffenenrechten
Aufgaben und Pflichten des Datenschutzbeauftragten unter der DSGVO – Neu als Datenschutzbeauftragter – Neues Datenschutzgesetz und was Sie beachten müssen
Betriebliche und behördliche Datenschutzbeauftragte gibt es seit der ersten Fassung des Bundesdatenschutzgesetzes, also seit Jahr 1978. 1995 wurden dann durch die Europäische Gemeinschaft erstmals Regelungen zum Datenschutz in öffentlichen und nicht-öffentlichen Stellen getroffen (Richtlinie 95/46/EG). Mit Inkrafttreten der DSGVO wird nun europaweit geregelt, wann ein Datenschutzbeauftragter zu benennen ist und welche Stellung und Aufgaben er besitzt. Weil die Verordnung unmittelbar in allen EU-Mitgliedstaaten zur Anwendung kommt (und anders als eine Richtlinie nicht erst in nationales Recht umzusetzen ist), wird ab diesem Zeitpunkt die Position des betrieblichen und behördlichen Datenschutzbeauftragten generell auf europäischer Ebene eingeführt.
Regelungen der DSGVO – Neu als Datenschutzbeauftragter – Neues Datenschutzgesetz und was Sie beachten müssen
Benennung, Stellung und Aufgaben des Datenschutzbeauftragten werden in den Art. 37, 38 und 39 DSGVO geregelt. Diese Vorschriften müssen alle, die personenbezogene Daten verarbeiten, gleichermaßen beachten. Zusätzlich gilt das Bundesdatenschutzgesetz in novellierter Form („BDSG-neu“). Darin werden die Öffnungsklauseln genutzt, welche die DSGVO einräumt.
Eine Pflicht zur Bestellung soll beispielsweise weiterhin in denselben Fällen erfolgen, wie sie auch das BDSG in alter Fassung festgeschrieben hat. Die Aufgaben des Beauftragten sind jedoch abschließend in der DSGVO aufgezählt, so dass es insoweit auf das deutsche BDSG in der Neufassung nicht mehr ankommt.
Mit dem neuen DSGVO kommt es zu einer deutlichen Aufgabenschärfung beim Datenschutzbeauftragten. Ein bloßes „Hinwirken“ auf die Einhaltung des Datenschutzes ist nicht mehr ausreichend. Datenschutzbeauftragte müssen nun auch konkrete Überwachungs- und Kontrollahndlungen durchführen. Außerdem müssen Datenschutzbeauftragte ihre Tätigkeiten verstärkt dokumentieren, damit iSd des Accountability-Prinzips ausreichend Rechenschaft abgelegt werden kann.
Gesetzliche Aufgaben des Datenschutzbeauftragten
Die Aufgaben, die ein Datenschutzbeauftragter zwingend zu beachten hat, werden in Art. 39 DSGVO genannt.
Bei all den nachfolgend dargestellten Aufgaben gilt:
- Der Beauftragte muss bei seiner Arbeit den spezifischen, datenschutzrechtlichen Risiken gebührend Rechnung tragen (Pflicht zur risikoorientierten Tätigkeit gem. Art. 39 Abs. 2 DSGVO). Das heißt, er muss risikoorientiert handeln, indem er die besonderen Risiken beim Umgang mit personenbezogenen Daten berücksichtigt. Dabei spielen Umfang, Umstände und Zwecke der Datenverarbeitung die entscheidende Rolle.
- In der Praxis führt das beispielsweise dazu, dass er Datenverarbeitungen, die ein höheres Datenschutz-Risiko aufweisen, vorrangig zu prüfen hat.
- Der Beauftragte sollte seine Tätigkeiten und Überlegungen stärker als bisher dokumentieren.
- Dadurch kann er das Risiko eines Bußgelds senken (das gegenüber der früheren Rechtslage in mehr Fällen und mit erheblich höheren Beträgen verhängt werden kann).
- Zudem kann er durch eine Dokumentation seinen Teil zur generellen Rechenschaftspflicht beitragen (Art. 5 Abs. 2 DSGVO).
Überwachungs- und Kontrollhandlungen des Datenschutzbeauftragten
Nach Art. 39 Abs. 1 Buchst. b DSGVO hat der Datenschutzbeauftragte die Einhaltung der Datenschutzvorschriften zu überwachen.
Zu den zu überwachenden Datenschutzvorschriften zählen
- die DSGVO,
- andere Datenschutzvorschriften in der EU und in den Mitgliedsstaaten und
- die internen Vorgaben und die Strategie des Verantwortlichen einschließlich der Zuweisung der Zuständigkeiten, der Sensibilisierung und Schulung der Mitarbeiter und der diesbezüglichen Überprüfungen.
Bis zum Inkrafttreten der DSGVO musste der Datenschutzbeauftragte in Deutschland auf die Einhaltung der Vorschriften lediglich hinwirken. Nun ist seine Aufgabe die Überwachung. Dies erfordert auch entsprechende Kontrollhandlungen des Datenschutzbeauftragten.
Die Überwachung kann beispielsweise dadurch erfolgen, dass der Beauftragte
- Informationen sammelt, um Datenverarbeitungen zu erkennen,
- diese Datenverarbeitungen analysiert und auf ihre Rechtmäßigkeit hin überprüft und
- den Datenverarbeiter und Auftragsverarbeiter informiert, berät und Empfehlungen über die Umsetzung des Datenschutzes ausspricht.
Wenn der Beauftragte dieser Pflicht nicht nachkommt, besteht die Gefahr, dass er dafür persönlich haftbar gemacht wird. Diese Verschärfungen kenne wir bereits beim Compliance-Officer und Geldwäsche-Officer. Um Risiken sachgerecht zu reduzieren ist es erforderlich, daß der Datenschutzbeauftragte seine Tätigkeiten und Überlegungen dokumentiert und somit nachweisen kann.
Unterrichtung und Beratung – zwei wesentliche Aufgaben des Datenschutzbeauftragten
Eine weitere Aufgabe für den Beauftragten ist die Unterrichtung und Beratung in allen datenschutzrechtlichen Fragen (Art. 39 Abs. 1 Buchst. a DSGVO). Diese Aufgabe ist nach innen gerichtet: Als interner Ansprechpartner steht er sowohl der Leitungsebene als auch allen Beschäftigten zur Verfügung. Dabei soll er über den Umgang mit personenbezogenen Daten aufklären und gesetzliche Vorgaben erläutern.
Wie auch bisher müssen die Beschäftigten über den richtigen Umgang mit personenbezogenen Daten sensibilisiert und geschult werden. Jedoch ist für die Schulung nicht mehr zwingend der Datenschutzbeauftragte zuständig, sondern der Arbeitgeber (das ergibt sich indirekt aus Art. 5 DSGVO).
Der Datenschutzbeauftragte hat jedoch zu kontrollieren, ob diese Schulungen tatsächlich durchgeführt werden.
Dass Mitarbeiter in Bezug auf den Datenschutz zu schulen sind, ergibt sich nicht mehr unmittelbar, sondern nur noch mittelbar aus dem Gesetz. Beispielsweise verlangt Art. 5 DSGVO, dass nicht nur alle gesetzlichen Vorgaben einzuhalten sind, sondern auch, dass dies nachgewiesen werden muss. Das Unternehmen muss daher Maßnahmen treffen, die sicherstellen, dass ihre Beschäftigten über Kenntnisse im Datenschutz verfügen und wissen, was sie tun dürfen und was nicht. Auch wenn die Verantwortlichkeit dafür bei der jeweiligen Geschäftsführung liegt, spricht einiges dafür, wenn der Datenschutzbeauftragte die Schulungen durchführt.
Datenschutz-Folgenabschätzung – Neu als Datenschutzbeauftragter – Neues Datenschutzgesetz und was Sie beachten müssen
Der Datenschutzbeauftragte hat auch mitzuwirken an einer Datenschutz-Folgenabschätzung (Art. 39 Abs. 1 Buchst. c DSGVO). Bei der Folgenabschätzung geht es um die Abschätzung und Minimierung möglicher Folgen, sobald eine risikobehaftete Verarbeitung geplant wird (Art. 35 DSGVO).
Der Beauftragte muss dann überwachen, dass eine Folgenabschätzung durchgeführt wird. Für die Durchführung ist er weder selbst verantwortlich (denn das ist die verantwortliche Stelle, also der Arbeitgeber), noch muss auf seinen Rat zwingend gehört werden.
Konkret könnte der Beauftragte seinen Rat abgeben in Bezug auf diese Punkte:
- ob die Voraussetzungen für die Durchführung einer Folgenabschätzung vorliegen oder nicht,
- welche Methodik für die Folgenabschätzung angewendet werden könnte,
- ob die Folgenabschätzung intern durchgeführt oder outgesourct wird,
- welche Maßnahmen (auch technische und organisatorische Maßnahmen) angewendet werden können zu Abschwächung jeglicher Risiken für die Rechte und Freiheiten der Betroffenen,
- ob die Datenschutz-Folgenabschätzung korrekt durchgeführt worden ist und welche Ergebnisse sich aus ihr ableiten lassen (insbesondere, ob die Datenverarbeitung durchgeführt werden darf und welche Schutzmaßnahmen getroffen werden müssen).
Zusammenarbeit mit und Anlaufstelle für die Aufsichtsbehörde
Eine weitere, erstmals gesetzlich geregelte Aufgabe ist, dass der Datenschutzbeauftragte unmittelbar mit der Aufsichtsbehörde für den Datenschutz kommuniziert. Er dient als deren Anlaufstelle und direkter Gesprächspartner in allen Datenschutz-Angelegenheiten (Art. 39 Abs. 1 Buchst. d und e DSGVO).
Verzeichnis der Verarbeitungstätigkeiten
Nach Art. 30 DSGVO muss in jedem Unternehmen ein Verzeichnis geführt werden, das auflistet, welche personenbezogenen Daten zu welchen Zwecken und wie verarbeitet werden. Dieses Verzeichnis muß in erster Linie nur von Unternehmen mit mehr als 250 Beschäftigten führen.
Die Ausnahme des Abs. 5 greift aber auch in den meisten Fällen:
Demnach muss das Verzeichnis immer geführt werden, sobald „besondere Datenkategorien“ bearbeitet werden (im Sinn des Art. 9 Abs. 1 DSGVO). Dazu zählen auch Gesundheitsdaten. Wenn es angestellte Mitarbeiter und damit eine Personalverwaltung gibt, ist diese Voraussetzung gegeben, da Angaben über Krankheitstage und beispielsweise Schwerbehinderungen anfallen.
Der Hauptzweck des Verzeichnisses liegt darin, dass es auf Nachfrage der Aufsichtsbehörde für den Datenschutz vorgelegt werden kann. Aber auch für den Datenschutzbeauftragten und seine Arbeit kann dieses Verzeichnis eine wichtige Grundlage und Informationsquelle darstellen.
Es ist daher denkbar, dass der Beauftragte das Verzeichnis nach Art. 30 DSGVO selber führt – oder zumindest maßgeblich bei dessen Erstellung eingebunden ist. Und falls nicht, ist es zumindest seine gesetzlich zugewiesenen Aufgaben zu prüfen, ob das Verzeichnis der Verarbeitungstätigkeiten grundsätzlich geführt wird (aufgrund von Art. 39 Abs. 1 Buchst. b BDSG).
Erstellung von Tätigkeitsberichten – Datenschutzbeauftragter – Aufgaben im Überblick
Es besteht keine gesetzliche Pflicht für betriebliche Datenschutzbeauftragte, regelmäßige Berichte über ihre Tätigkeiten vorzulegen. Jedoch gilt die Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO.
Ein wichtiger Baustein ist daher, daß der Datenschutzbeauftragte seine Tätigkeiten dokumentiert. Dies ist nicht nur gegenüber der Aufsichtsbehörde sinnvoll, sondern sorgt auch für größere Transparenz gegenüber dem eigenen Arbeitgeber.
Meldung von Datenschutzverstößen – Datenschutzbeauftragter – Aufgaben im Überblick
Wenn es zu einer Verletzung des Schutzes von personenbezogenen Daten kommt, sind in der Regel die Aufsichtsbehörde zu unterrichten und oft auch die davon Betroffenen (Artt. 33, 34 DSGVO). Die Durchführung der Meldung liegt in der Verantwortung der Unternehmensleitung.
Es empfiehlt sich, dass der Datenschutzbeauftragte diese Aufgabe übernimmt. Denn wenn die Aufsichtsbehörde Rückfragen stellt, darf sie sich an ihn wenden (Art. 39 Abs. 1 Buchst. d und e DSGVO.
Mitwirkung bei der Realisierung von Betroffenenrechten
Mit den neuen Regelungen zu den lnformationspflichten in Artikel 13 und 14 DSGVO wird der Grundsatz der Transparenz der Verarbeitung personenbezogener Daten gegenüber dem Betroffenen näher konkretisiert. Unterschieden wird – wie auch schon bislang – danach, ob der Verantwortliche die Daten beim Betroffenen (also mit setner Kenntnis) erhebt oder aus Drittquellen (also ohne seine Kenntnis) bezieht. Der Betroffene soll in beiden Konstellationen insbesondere Klarheit darüber erhalten, welche Daten zu welchem Zweck im Unternehmen verarbeitet werden.
Dazu zählen vor allem
- das Recht auf Auskunft (Art. 15 DSGVO)
- das Recht auf Berichtigung (Art. 16)
- das Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17)
- das Recht auf Einschränkung der Verarbeitung (Art. 18)
- das Recht auf Datenübertragbarkeit (Art. 20)
- das Widerspruchsrecht (Art. 21)
Eine gesetzliche Aufgabe des Datenschutzbeauftragten ist es darauf zu achten, dass diese Rechte beachtet und umgesetzt werden. Darüber hinaus könnte dem Beauftragten die zusätzliche Aufgabe übertragen werden, die Anfragen der Betroffenen entgegenzunehmen, zu bearbeiten und zu beantworten. Dabei würde er zwischen dem Anfragenden und der zuständigen internen Stelle vermitteln.
Compliance & Geldwäschebeauftragter – Seminar Datenschutzbeauftragter – Aufgaben im Überblick
Unsere Praxisseminare Geldwäsche und Fraud – Basisseminar, Geldwäsche und Fraud – Aufbauseminar, Geldwäsche & Fraud – Update und Geldwäsche & Fraud – Forum verschaffen Ihnen einen umfassenden Überblick zu den aktuellen gesetzlichen Neuerungen und unterstützen Sie dabei, Geldwäsche- und Betrugsstrukturen zu erkennen, zu bewerten und rechtzeitig zu verhindern. In den Compliance-Seminaren wie Compliance, Compliance für Vertriebsbeauftragte, Neue Compliance-Funktion gemäß MaRisk oder auch Compliance im Fokus der Bankenaufsicht werden Ihnen die Ausgestaltung der Schnittstellen zwischen Compliance, Datenschutz, IT, Zentrale Stelle und Interner Revision näher gebracht. Auch die Mindestanforderungen zum Aufbau eines Gesamt-IKS werden hier beispielsweise näher erläutert.
Zudem haben Sie die Chance, nach Teilnahme der Seminare die Zertifizierungslehrgänge zum Compliance Officer, zum AML & Fraud Officer oder zum Geldwäsche-Beauftragter zu absolvieren.
Aktuelle Informationen zu neuen Geldwäschegesetz sowie zur 5. Geldwäscherichtlinie erhalten Sie direkt hier.
Depot A Management und Asset Management – Neu als Datenschutzbeauftragter – Neues Datenschutzgesetz und was Sie beachten müssen
Bauen Sie für Ihr Unternehmen eine eigenständige Kreditanalyse zur verlässlichen Beurteilung Ihrer Emittenten- und Kontrahentenlimite auf! In den Seminaren Depot A im Fokus der Bankenaufsicht, Depot A Management: Kompaktwissen für die Niedrigzinsphase und Depot A Management erhalten Sie Leitlinien für eine aufsichts- und haftungsrechtlich sichere Kreditanalyse und Limiteinräumung bei Eigenanlagen. Darüber hinaus helfen Ihnen anerkannte Beurteilungsstandards, Checklisten und Musterbeschlüsse bei einer fundierten und zuverlässigen Kreditanalyse im Depot A.
Neu als Datenschutzbeauftragter - Neues Datenschutzgesetz und was Sie beachten müssen