Datenschutzbeauftragte und Datenschutz-Management

Durch die Datenschutz-Grundverordnung (DS-GVO) wurde in Art. 37 Abs. 1 DS-GVO für alle Verwaltungen, bestimmte Unternehmen und private Verantwortliche die Pflicht eigeführt, eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen. 

Im privaten Sektor betrifft dies solche Stellen, deren Haupttätigkeit entweder in einer systematischen Überwachung von Personen oder der umfangreichen Verarbeitung besonders schutzbedürftiger Daten besteht (z.B. Internetprovider oder Krankenhäuser). § 38 Abs. 1 S. 1 Bundesdatenschutzgesetz konkretisiert diese Pflicht dahingehend, dass nicht-öffentliche Stellen wie Unternehmen und Vereine Datenschutzbeauftragte benennen müssen, soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Zudem müssen alle Verantwortlichen eine oder einen Datenschutzbeauftragten benennen, wenn ihre Verarbeitungsvorgänge der Datenschutz-Folgenabschätzung unterliegen oder sie im Bereich der Markt- und Meinungsforschung tätig sind oder eine Wirtschaftsauskunftei betreiben. Ein Verstoß gegen die Bestellungspflicht kann sanktioniert werden.

Für die Meldung der Kontaktdaten des/der Datenschutzbeauftragten steht ein Online-Formular zur Verfügung. 


Anforderungsprofil
Maßgeblich für die Personalauswahl von Datenschutzbeauftragten ist deren Fähigkeit, die von der DS-GVO genannten Aufgaben zu erfüllen. Neben profunden Kenntnissen der rechtlichen und technisch-organisatorischen Grundlagen setzt dies insbesondere die Fähigkeit zum Risikomanagement voraus (Art. 39 Abs. 2 DS-GVO). Die Bestellung externer Dienstleister ist möglich, allerdings nicht in jedem Fall empfehlenswert. Abhängig von der Größe und Komplexität der Stelle kann die Berufung eines Teams, das aus der oder dem Datenschutzbeauftragten und weiteren Personen besteht, geboten sein.


Aufgabenspektrum von Datenschutzbeauftragten
Neben der Beratungsfunktion nehmen Datenschutzbeauftragte die Rolle von Compliance-Beauftragten zum Datenschutz ein, die intern nicht nur die Einhaltung der datenschutzrechtlichen Vorgaben überwachen, sondern auch die dazu innerhalb der Organisation entwickelten Strategien zum Schutz personenbezogener Daten inhaltlich bewerten sollen (Art. 39 Abs. 1 lit. b und c), z.B. bei der Datenschutz-Folgenabschätzung. So überprüfen Datenschutzbeauftragte nach dem Willen der Verordnung dabei z.B. die Datenschutzverträglichkeit der intern getroffenen Zuweisung von Zuständigkeiten oder die zur Sensibilisierung der Beschäftigten durchgeführten Maßnahmen. Zusammen mit ihrer unmittelbaren Berichtspflicht gegenüber der höchsten Managementebene verfügen die Datenschutzbeauftragten damit über umfassende Einflussmöglichkeiten in den von ihnen betreuten Organisationen.


Datenschutzmanagement/Pflichten der Verantwortlichen
Die mit der Benennung einer oder eines Datenschutzbeauftragten einhergehenden Pflichten der Verantwortlichen werden von der Verordnung deutlich benannt (insbesondere Art. 38 Abs. 1, Abs. 2, Abs. 3, Abs. 6 Satz 2). Für die interne Einbindung der Datenschutzbeauftragten ist bereits die Pflicht zur Veröffentlichung ihrer Kontaktdaten bedeutsam (Art. 37 Abs. 7). Inhaltlich mehr Gewicht dürfte allerdings die klare Verpflichtung der Verantwortlichen haben, den Datenschutzbeauftragten die zur Aufgabenerfüllung erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen zur Verfügung zu stellen (Art. 38 Abs. 2). Vor allem die Bereitstellung ausreichender Personalressourcen ist in der Praxis oft nicht gewährleistet. Da nach Art. 83 Abs. 4 lit. a u.a. ein Verstoß gegen die Vorgaben der Art. 37 bis 39 mit hohen Bußgeldern sanktioniert werden kann, ist zu empfehlen, dass Datenschutzbeauftragte angemessen ausgestattet werden. Daneben ist vor diesem Hintergrund auch die von der Datenschutz-Grundverordnung explizit verlangte und in die Verantwortlichkeit der Organisation gestellte frühzeitige Einbindung der Datenschutzbeauftragten in alle mit dem Schutz personenbezogener Daten zusammenhängende Fragen (Art. 38 Abs. 1) wichtig.


Fazit
Mit der Datenschutz-Grundverordnung wurde die Rolle der Datenschutzbeauftragten deutlich gestärkt. Zugleich überträgt der Verordnungsgeber der einzelnen Organisation als der für die Datenverarbeitung verantwortlichen Stelle klare Handlungsaufträge zur Unterstützung der Datenschutzbeauftragten, deren Missachtung sanktioniert werden kann. Datenschutz wird damit in das Bewusstsein aller gerückt – eine Grundvoraussetzung für den effektiven Schutz personenbezogener Daten und der zugrundeliegenden Datenschutzrechte.