Das Amt des Datenschutzbeauftragten hat durch die Datenschutz-Grundverordnung („DSGVO“) an Bedeutung gewonnen. So sind seit der DSGVO viele Unternehmen verpflichtet, einen Datenschutzbeauftragten zu benennen. Doch selbst, wenn keine Pflicht besteht, so empfiehlt es sich in den meisten Fällen dennoch einen Datenschutzbeauftragten zu benennen. Die französische Aufsichtsbehörde (CNIL) hat nun ein Papier, namentlich: Practical Guide for Data Protection Officers („GDPR“), zur Benennung des Datenschutzbeauftragten herausgegeben. Der Guide bietet Unterstützung bei dessen Benennung und bei der Einrichtung des dazugehörigen Amtes.
Im Folgenden wird nun auf die Einzelheiten, die die Benennung des Datenschutzbeauftragten mit sich bringt, eingegangen. Dabei wird der GDPR zur Hilfe genommen.
Welche Unternehmen sind verpflichtet?
Art. 37 Abs. 1 DSGVO regelt die Pflicht zur Benennung eines Datenschutzbeauftragten. Die Pflicht zur Benennung eines Datenschutzbeauftragten trifft Unternehmen je nach deren Kerntätigkeit. Kerntätigkeiten sind Tätigkeiten, die essenziell für die Erreichung der Unternehmensziele sind. Umfassen diese die Verarbeitung personenbezogener Daten, so muss ein Datenschutzbeauftragter benannt werden. Ergänzend zu den Vorgaben der DSGVO bestehen nach deutschem Recht die zusätzlichen Vorgaben des Bundesdatenschutzgesetzes („BDSG“). So ist gemäß § 38 Abs. 1 Satz 1 BDSG n.F. ein Datenschutzbeauftragter zu benennen, soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Als „ständig beschäftigt“ gilt eine Person, wenn sie eine Aufgabe regelmäßig wahrnimmt. Die Aufgabe muss dabei nicht die Hauptaufgabe der Person sein. Gemäß § 38 Abs. 1 Satz 2 BDSG n.F. ist schwellenwertunabhängig ein Datenschutzbeauftragter zu benennen, wenn Verarbeitungen erfolgen, die einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
Wie wird ein Datenschutzbeauftragter benannt?
Durch die Benennung wird der Datenschutzbeauftragte zum Träger von Rechten und Pflichten und übt sodann seine Funktion offiziell aus. Die Kontaktdaten müssen nach Art.37 Abs.7 DSGVO veröffentlicht und der Aufsichtsbehörde mitgeteilt werden.
Was umfasst das Amt des Datenschutzbeauftragten?
Das Amt des Datenschutzbeauftragten umfasst die Information, Beratung und Kontrolle der für die Verarbeitung Verantwortlichen innerhalb der Organisation in Hinblick auf dem bestmöglichen Umgang mit personenbezogenen Daten. Damit der Datenschutzbeauftragter sein Amt effektiv ausführen kann, ist es wichtig, dass dieser vollständig in die operativen Tätigkeiten der Organisation, die ihn zum Beauftragten benennt, integriert ist.
Gemäß Art. 30 DSGVO sind die für die Verarbeitung Verantwortlichen verpflichtet, ein Verarbeitungsverzeichnis zu führen. In der Praxis wird diese Tätigkeit oft von dem Datenschutzbeauftragten übernommen. Dies hat den Vorteil, dass dieser dann zugleich die durchgeführten Verarbeitungen überwachen und kontrollieren kann. Falls das Führen des Verzeichnisses zu den Aufgaben des Datenschutzbeauftragten gehört, so empfiehlt die französische Aufsichtsbehörde, dies in der Aufgabenbeschreibung des Datenschutzbeauftragten festzuhalten. Dabei muss zugleich darauf hingewiesen werden, dass die Informationen zu jeder Verarbeitung von den Personen mitgeteilt werden, die für sie verantwortlich sind oder sie durchführen. Auch, falls der Datenschutzbeauftragte diese Aufgabe nicht übernimmt, so muss er zumindest die Möglichkeit haben, jederzeit das Verzeichnis einsehen zu können. Der Datenschutzbeauftragte kann auch zusätzlich weitere als die in Art. 39 DSGVO vorgesehen Aufgaben wahrnehmen. Falls dem so ist, so muss darauf geachtet werden, dass die durch Art. 39 DSGVO zugewiesenen Aufgaben nicht vernachlässigt werden und kein Interessenkonflikt besteht. Der Datenschutzbeauftragte muss zwar nicht persönlich auf alle externen Anfragen antworten, er muss jedoch sicherstellen, dass jede Anfrage von der zuständigen Dienststelle innerhalb der vorgesehenen Zeit bearbeitet wird. Zudem muss die Dokumentation der Datenverarbeitung sichergestellt sein, damit der Datenschutzbeauftragte seine Aufgaben ordnungsgemäß ausführen kann und damit auch im Streitfall nachgewiesen werden kann, dass Verpflichtungen eingehalten und erforderliche Schritte unternommen wurden. Aufgabe des Datenschutzbeauftragten ist in diesem Zusammenhang auch, die Dokumentation regelmäßig zu überprüfen.