Aufgaben von Datenschutzbeauftragten – Mindestpflichten
Die Datenschutz-Grundverordnung sieht einen umfangreichen Aufgabenkatalog für den Datenschutzbeauftragten vor. Der überwiegende Teil der so genannten „Mindestpflichten“ ergibt sich aus Artikel 39 Absatz 1 DSGVO. Die zentralen Aufgaben des Datenschutzbeauftragten liegen nach der Datenschutz-Grundverordnung bei der Kontrolle und Beratung. Die Zuständigkeit und Verantwortlichkeit für datenschutzkonforme Zustände liegt jedoch weiterhin bei der Leitung des Verantwortlichen. Der Datenschutzbeauftragte kann nur Defizite ausfindig machen und die Leitungsebene darauf hinweisen.
Bestimmte Pflichten, die dem Datenschutzbeauftragten in früherem Recht zugewiesen waren, etwa die Führung eines Verfahrensverzeichnisses (nach Datenschutz-Grundverordnung: Verzeichnis von Verarbeitungstätigkeiten) und die Erteilung von Auskünften darüber an jedermann, sind nach der Datenschutz-Grundverordnung nicht mehr als solche aufgeführt.
Die aufgeführten Mindestpflichten sind nicht abschließend. Weitere Pflichten, wie zum Beispiel die Pflicht zur Führung des Verzeichnisses von Verarbeitungstätigkeiten, die generelle Beantwortung von Auskunftsersuchen durch den Datenschutzbeauftragten oder die Durchführung von Schulungsmaßnahmen, können zusätzlich vereinbart werden. Die über den gesetzlich vorgesehenen Aufgabenkatalog vereinbarten Aufgaben sollten in jedem Fall schriftlich fixiert werden.
Eine Übertragung der Handlungsverantwortung auf den Datenschutzbeauftragten ist jedoch nicht möglich, da er sich dann selbst kontrollieren müsste. Dies würde zu unzulässigen Interessenkollisionen führen.
Nach Artikel 39 Absatz 1 DSGVO bestehen folgende Mindestpflichten:
Der Datenschutzbeauftragte hat gemäß Artikel 39 Absatz 1 Buchstabe a DSGVO den Verantwortlichen und die konkret mit der Datenverarbeitung Beschäftigten hinsichtlich ihrer Pflichten nach der Datenschutz-Grundverordnung sowie nach den sonstigen Datenschutzvorschriften zu unterrichten und zu beraten. Die Unterrichtung umfasst die allgemeine Information über die bestehenden datenschutzrechtlichen Pflichten. Die Beratung umfasst hingegen die Unterstützung bei der Lösung von konkreten datenschutzrechtlichen Fragen.
Wichtig: Die Schulung der Mitarbeiterinnen und Mitarbeiter, insbesondere die zielgerichtete Aufbereitung der für die konkret ausgeübte Tätigkeit relevanten datenschutzrechtlichen Informationen, ist nach der Datenschutz-Grundverordnung keine Aufgabe des Datenschutzbeauftragten, sondern Aufgabe des Verantwortlichen. Der Datenschutzbeauftragte hat in Bezug auf die Schulungen nur noch beratende und kontrollierende Funktion. Der Verantwortliche hat jedoch die Möglichkeit, dem Datenschutzbeauftragten auch die Durchführung von Schulungen zu übertragen.
Eine weitere Aufgabe des Datenschutzbeauftragten ist gemäß Artikel 39 Absatz 1 Buchstabe b DSGVO die Überwachung der Einhaltung des Datenschutzes, im Einzelnen die Einhaltung der Datenschutz-Grundverordnung, anderer Datenschutzvorschriften sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten.
Die Verpflichtung umfasst auch die Kontrolle der Einhaltung der Datenschutzstrategien des Verantwortlichen, zum Beispiel Betriebs- oder Dienstvereinbarungen und Betriebs- oder Dienstanweisungen. Die Kontrollbefugnis erstreckt sich auch auf die gewählte interne Zuständigkeitsverteilung. Der Datenschutzbeauftragte kann daher auch Einfluss auf die organisatorische Umsetzung des Datenschutzrechts nehmen.
Im Rahmen seiner Überwachungsaufgaben ist der Datenschutzbeauftragte insbesondere befugt,
- Informationen zur Ermittlung von Datenverarbeitungstätigkeiten zu sammeln,
- die Einhaltung der Vorgaben bei Datenverarbeitungstätigkeiten zu analysieren und zu kontrollieren sowie
- den Verantwortlichen zu unterrichten und zu beraten und ihm Empfehlungen zu unterbreiten.
Überwachung der Einhaltung bedeutet jedoch nicht, dass die oder der Datenschutzbeauftragte im Fall der Nichteinhaltung persönlich zur Verantwortung gezogen werden kann. Die Datenschutz-Grundverordnung bestimmt in Artikel 24 Absatz 1 klar, dass es Aufgabe des Verantwortlichen ist, geeignete organisatorische Maßnahmen umzusetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der Datenschutz-Grundverordnung erfolgt. Für die Einhaltung der datenschutzrechtlichen Bestimmungen ist somit nicht persönlich der Datenschutzbeauftragte verantwortlich. Er hat insoweit lediglich eine beratende und unterstützende Funktion.
Die Durchführung der Datenschutz-Folgenabschätzung liegt gemäß Artikel 35 Absatz 1 DSGVO in der Verantwortung des Verantwortlichen. Allerdings kann der Datenschutzbeauftragte dem Verantwortlichen Hilfe leisten. Artikel 35 Absatz 2 der Datenschutz-Grundverordnung sieht ausdrücklich vor, dass der Verantwortliche bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten einholt. Artikel 39 Absatz 1 Buchstabe c DSGVO wiederum überträgt dem Datenschutzbeauftragten die Aufgabe, im Zusammenhang mit der Datenschutz-Folgenabschätzung zu beraten und deren Durchführung gemäß Artikel 35 DSGVO zu überwachen.
Es wird empfohlen, dass der Datenschutzbeauftragte insbesondere dann zu Rate gezogen wird, wenn es um die Frage geht,
- ob eine Datenschutz-Folgenabschätzung durchgeführt wird oder nicht,
- welche Methoden bei der Durchführung einer Datenschutz-Folgenabschätzung angewendet werden sollte,
- welche Sicherheitsvorkehrungen (einschließlich technischer und organisatorischer Maßnahmen) getroffen werden sollten, um bestehenden Bedrohungen der Rechte und Interessen der betroffenen Personen zu begegnen,
- ob eine Datenschutz-Folgenabschätzung ordnungsgemäß durchgeführt worden ist und ob die daraus gezogenen Schlussfolgerungen im Einklang mit der Datenschutz-Grundverordnung stehen.
Falls der Verantwortliche der Empfehlung des Datenschutzbeauftragten nicht zustimmt, ist in der Dokumentation zur Datenschutz-Folgenabschätzung ausdrücklich schriftlich zu begründen, warum der Empfehlung nicht Folge geleistet wurde.
Wichtig: Durch entsprechende Organisationsregelungen sollten die Vorgehensweise bei der Durchführung von Datenschutz-Folgenabschätzungen festgelegt und die in dem Zusammenhang vom Datenschutzbeauftragten wahrzunehmenden Aufgaben und deren Umfang konkretisiert werden. Die Festlegungen sollten allen Beschäftigten zur Kenntnis gegeben werden.
Der Datenschutzbeauftragte ist durch Artikel 39 Absatz 1 Buchstabe Datenschutz-Grundverordnung (DSGVO) ausdrücklich zur Zusammenarbeit mit der Aufsichtsbehörde verpflichtet. Das bedeutet allerdings nicht, dass nun Datenschutzverstöße sofort der Sächsischen Datenschutzbeauftragten zu melden sind. Die in dem Zusammenhang bestehenden Pflichten sind abschließend geregelt, insbesondere in Artikel 33 DSGVO.
Der Datenschutzbeauftragte als interne Kontrollinstanz sollte in erster Linie intern versuchen, Maßnahmen zur Beseitigung von Datenschutzverstößen zu ergreifen. Er kann aber die Sächsische Datenschutzbeauftragte beratend hinzuziehen, wenn er sich über die Auslegung von Datenschutzregelungen oder die Angemessenheit einzelner Datenschutzmaßnahmen im Unklaren ist. Damit ist der Datenschutzbeauftragte auch berechtigt, direkt mit der Aufsichtsbehörde zu kommunizieren.
Bei der Tätigkeit als Anlaufstelle gemäß Artikel 39 Absatz 1 Buchstabe e DSGVO handelt es sich um einen Unterfall der Kooperationspflicht. Der Datenschutzbeauftragte ist danach Anlaufstelle für alle im Zusammenhang mit der Verarbeitung stehenden Fragen, einschließlich vorheriger Konsultationen im Rahmen der Datenschutz-Folgenabschätzung.
Die Sächsische Datenschutzbeauftragte hat insbesondere die Möglichkeit, sich direkt an den Datenschutzbeauftragten zu wenden, ohne vorab etwa die Leiterin oder den Leiter des Verantwortlichen kontaktieren zu müssen.
Betroffene Personen können gemäß Artikel 38 Absatz 4 DSGVO den betrieblichen oder behördlichen Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer Daten und mit der Wahrnehmung ihrer Rechte aus der Datenschutz-Grundverordnung im Zusammenhang stehenden Fragen zu Rate ziehen.
Der Datenschutzbeauftragte ist verpflichtet, Datenschutzbeschwerden nachzugehen und die betroffene Person über das Ergebnis seiner Prüfung zu informieren. Bei festgestellten Datenschutzverletzungen hat er darauf hinzuwirken, dass diese abgestellt werden.
Der Datenschutzbeauftragte ist des Weiteren nach Artikel 38 Absatz 5 DSGVO „nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung und Vertraulichkeit gebunden“. Für die Datenschutzbeauftragten nichtöffentlicher Stellen ergeben sich diese Geheimhaltungs- und Schweigepflichten aus § 38 Absatz 2 in Verbindung mit § 6 Absatz 5 Satz 2 des Bundesdatenschutzgesetzes, für die Datenschutzbeauftragten sächsischer öffentlicher Stellen dagegen unmittelbar aus Artikel 38 Absatz 5 DSGVO, da das Sächsische Datenschutzdurchführungsgesetz dazu keine Regelung enthält. Die Verschwiegenheitspflicht aller betrieblichen oder behördlichen Datenschutzbeauftragten ist darüber hinaus nach § 203 Absatz 4 des Strafgesetzbuchs strafbewehrt, wonach die unbefugte Offenbarung von Privatgeheimnissen mit Geldstrafe oder Freiheitsstrafe bis zu einem Jahr geahndet werden kann.
Die Datenschutzbeauftragten öffentlicher Stellen des Bundes und nichtöffentlicher Stellen haben nach § 6 Absatz 6 des Bundesdatenschutzgesetzes auch ein Zeugnisverweigerungsrecht, soweit sie bei ihrer Tätigkeit Kenntnis von Daten erhalten, für die der Leitung oder einer bei der öffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht. Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Gründen zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. Soweit das Zeugnisverweigerungsrecht des Datenschutzbeauftragten reicht, unterliegen seine Akten und anderen Dokumente einem Beschlagnahmeverbot. Für die Datenschutzbeauftragten sächsischer öffentlicher Stellen ergibt sich dies mangels einer landesrechtlichen Regelung aus §§ 1 Absatz 1 Nummer 2, 6 Absatz 5 Satz 2 des Bundesdatenschutzgesetzes. Denn gemäß § 1 Absatz 1 Satz 1 Nummer 2 des Bundesdatenschutzgesetzes findet dieses auch auf öffentliche Stellen der Länder Anwendung, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie entweder Bundesrecht ausführen oder als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt.
Risikoorientierter Ansatz
Nach Artikel 39 Absatz 2 DSGVO trägt der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
Dieser Ansatz soll dem Datenschutzbeauftragten dabei helfen, den Verantwortlichen darüber zu beraten, nach welcher Methode bei einer Datenschutz-Folgenabschätzung vorgegangen werden sollte, welche internen Schulungen für welche Gruppen von Beschäftigten durchgeführt werden sollten und welche Datenverarbeitungsvorgänge mehr Ressourcen benötigen.
Empfehlung: Der Datenschutzbeauftragte sollte seine Aufgaben in einem Katalog anhand einer Gegenüberstellung der Verarbeitungsaktivitäten und der zu erwartenden Risiken nach Priorität ordnen und seine Bemühungen in erster Linie auf Fragen konzentrieren, von denen größere Bedrohungen für den Datenschutz ausgehen. Die Überwachung der Einhaltung von Vorschriften bei vergleichsweise weniger risikobehafteten Datenverarbeitungsvorgängen ist dennoch nicht zu vernachlässigen.