- Es ist kein entsprechender Experte im Unternehmen vorhanden.
- Datenschutz-Beauftragte haben sich permanent weiterzubilden, was für das Unternehmen zusätzliche Kosten bei internen Datenschutz-Beauftragten verursacht.
- Interne Datenschutz-Beauftragte unterliegen einem besonderen Kündigungsschutz.
- Vermeidung von Interessenkonflikten.
In einigen Unternehmen ist ein Beauftragter für den betrieblichen Datenschutz benannt, ohne dass die notwendige Fachkunde vorliegt. Sie haben eine Ausbildung absolviert und weisen ein Zertifikat nach. Aber: Kennen Sie die gesetzlich vorgeschriebenen Aufgaben? Sind die Aufgaben als interner Datenschutzberater umzusetzen? Wir wollen Ihnen eine grobe Übersicht von Aufgaben beschreiben, die in den Unternehmen zu realisieren sind.
Unter der EU-Datenschutz-Grundverordnung (DSGVO) richten sich Benennung, Stellung und Aufgaben des Datenschutz-Beauftragten nach den Artikel 37, 38 und 39 DSGVO. Diese Vorschriften sind von allen Unternehmen und Einrichtungen innerhalb der EU zu beachten, die personenbezogene Daten verarbeiten.
Grundsätzliche Aufgaben
Die Aufgaben, die Sie als Datenschutz-Beauftragter umsetzen, nennt das Gesetz in Artikel 39 DSGVO. Sie haben bei ihrer Arbeit den spezifischen Risiken im Datenschutz gebührend Rechnung zu tragen (Artikel 39 Absatz 2 DSGVO). Handeln Sie risikoorientiert, indem sie die Risiken beim Umgang mit personenbezogenen Daten berücksichtigen. Die entscheidende Rolle spielt der Umfang, die Umstände und der Zweck der Datenverarbeitung. In der Praxis führt das zu einer Rangfolge des Datenschutz-Risikos der Datenverarbeitung, welches zu prüfen ist. Diese Tätigkeiten und Überlegungen sind zu dokumentieren. Sie senken das Risiko eines Bußgelds und tragen durch die Dokumentation ihren Teil zur generellen Rechenschaftspflicht bei (Artikel 5 Absatz 2 DSGVO).
Überwachung
Sie haben die Einhaltung der Vorschriften zum Datenschutz nach Artikel 39 Absatz 1 Buchstabe b DSGVO zu "überwachen", wie beispielsweise die DSGVO, Bundes-Daten-Schutz-Gesetz (BDSG), Tele-Medien-Gesetz (TMG), Tele-Kommunikations-Gesetz (TKG). Die internen Vorgaben, wie die Strategie des Verantwortlichen zum Datenschutz sind abzugleichen. Die Zuständigkeiten und Abläufe in den Prozessen für die Erhebung und Nutzung von Daten sind regelmäßig zu auditieren. Alle Beschäftigten sind zum Thema zu sensibilisieren und alle Maßnahmen auf Wirksamkeit zu prüfen.
Wie kann die Überwachung erfolgen?
Die Informationen sind zu sammeln, um Datenverarbeitungen in den unterschiedlichen Prozessen zu erkennen und zu analysieren. Die Datenverarbeiter und Auftragsverarbeiter außerhalb des Unternehmens (Software-Firmen, Steuerberater) haben sie auf Rechtmäßigkeit zu prüfen. Es sind entsprechende Auftragsverarbeitungsverträge einzufordern.
Auftragsverarbeitung
Für die Verarbeitung von personenbezogenen Daten durch externe Dienstleister (Auftragsverarbeiter) sind die Vorschriften von Artikel 30 DSGVO und Artikel 32 DSGVO einzuhalten. Ein geeignetes Vertragsmuster zur Auftragsverarbeitung hat die Bundesbeauftragten für Datenschutz und Informationssicherheit (BfDI) zur Verfügung gestellt.
Technische und organisatorische Maßnahmen (TOM)
Nach Stand der Technik hat der Verantwortliche geeignete technische und organisatorische Maßnahmen (TOM) zu treffen. Damit gewährleisten er ein dem Risiko angemessenes Schutzniveau. Als Datenschutz-Beauftragter berücksichtigen Folgendes:
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten,
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM zur Gewährleistung der Sicherheit der Verarbeitung.
Bei der Beurteilung des angemessenen Schutzniveaus sind die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind. Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung bzw. Zugang — ob unbeabsichtigt oder unrechtmäßig — sind zu bewerten. Soweit möglich, ist in ihrer EDV eine Trennung zwischen personenbezogenen Merkmalen und Inhaltsdaten mit Verwendung von Pseudonymen zu erfolgen.
Unterrichtung und Beratung
Eine weitere Aufgabe ist die Unterrichtung und Beratung in allen Fragen zum Datenschutz (Artikel 39 Absatz 1 Buchstabe a DSGVO). Diese Aufgabe ist nach innen gerichtet: Als interner Ansprechpartner stehen sie sowohl der Leitungsebene als auch allen Beschäftigten zur Verfügung. Sie klären über den Umgang mit personenbezogenen Daten auf und erläutern gesetzliche Vorgaben. Die Beschäftigten sind über den richtigen Umgang mit personenbezogenen Daten zu schulen.
Datenschutz-Folgenabschätzung
Sie haben an der Datenschutz-Folgenabschätzung (Artikel 39 Absatz 1 Buchstabe c DSGVO) mitzuwirken. Es geht um die Abschätzung und Minimierung möglicher Folgen, wenn sie eine risikobehaftete Verarbeitung planen oder ändern (Artikel 35 DSGVO).
Zusammenarbeit mit und Anlaufstelle für die Aufsichtsbehörde
Eine weitere, erstmals gesetzlich geregelte Aufgabe ist, dass sie unmittelbar mit der Aufsichtsbehörde für den Datenschutz kommunizieren. Sie dienen gegenüber den Behörden als Anlaufstelle und direkter Gesprächspartner in allen Datenschutz-Angelegenheiten (Artikel 39 Absatz 1 Buchstabe d und e DSGVO). Dies stärkt ihre Position mit der Verantwortung nach außen hin aufzutreten. Und die Behörde kann direkt auf die fachkundigste Person der Stelle zugreifen. Sie sind den Behörden als Datenschutzbeauftragter zu melden (Meldebescheinigung).
Weitere Aufgaben (Auszugsweise)
Neben den gesetzlich zugewiesenen Aufgaben überträgt der Verantwortliche auf freiwillige Basis zusätzliche Funktionen. Das Gesetz lässt die Übertragung von weiteren Aufgaben zu (vgl. Artikel 39 Absatz 1 Satz 1 und Artikel 38 Absatz 6 DSGVO). Interessenskonflikte sind zu vermeiden. In Betracht kommen die nachfolgenden Aufgaben.
Verzeichnis der Verarbeitungstätigkeiten
Nach Artikel 30 DSGVO führen sie ein Verzeichnis. Sie listen die personenbezogenen Daten auf, wie und zu welchen Zweck die Daten zu verarbeiten sind. Dieses Verzeichnis haben Unternehmen und Einrichtungen mit mehr als 250 Beschäftigten zu führen. Zu berücksichtigen ist die Ausnahme des Absatz 5: Sie führen das Verzeichnis, sobald sie "besondere Datenkategorien" bearbeiten (Artikel 9 Absatz 1 DSGVO). Hierzu zählen Gesundheitsdaten, Angaben über Krankheitstage und beispielsweise Schwerbehinderungen.
Erstellung von Tätigkeitsberichten
Es besteht keine gesetzliche Pflicht für sie regelmäßige Berichte über ihre Tätigkeiten vorzulegen. Aus Haftungsgründen gilt für die gesamte Organisation die Rechenschaftspflicht des Artikel 5 Absatz 2 DSGVO. Darin führen sie den Nachweis, ob und wie das Unternehmen oder Einrichtung alle Datenschutzvorgaben einhält.
Meldung von Datenschutzverstößen
Wenn es zu einer Verletzung des Schutzes von personenbezogenen Daten kommt, ist die Aufsichtsbehörde und die davon betroffenen Personen (Artikel 33, 34 DSGVO) zu unterrichten. Die Durchführung der Meldung liegt in der Verantwortung der Unternehmens- oder Behördenleitung und haben binnen 72 Stunden zu erfolgen. Sie übernehmen diese Aufgabe von vornherein. Bei Rückfragen wendet sich die Aufsichtsbehörden an Sie (Artikel 39 Absatz 1 Buchstabe d und e DSGVO). Im Übrigen sind sie nur dann gesetzlich verpflichtet, wenn sie frühzeitig über derartige Vorgänge informiert sind.
Mitwirkung bei der Realisierung von Betroffenenrechten
Die Betroffenen besitzen vielfältige Rechte gegenüber dem Unternehmen oder Einrichtungen der von ihnen gespeicherten personenbezogene Daten. Dazu zählen vor allem …
- das Recht auf Auskunft (Artikel 15 DSGVO)
- das Recht auf Berichtigung (Artikel 16 DSGVO)
- das Recht auf Löschung ("Recht auf Vergessenwerden", Artikel 17 DSGVO)
- das Recht auf Einschränkung der Artikel 15 DSGVO (Artikel 18 DSGVO)
- das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)
- das Widerspruchsrecht (Artikel 21 DSGVO)
Sie achten darauf, dass die gesetzliche Aufgabe beachtet und umgesetzt sind. Die Anfragen der Betroffenen sind entgegen zu nehmen, zu bearbeiten und zu beantworten. Das begehrte Recht des Betroffenen ist unmittelbar zu prüfen.
Fazit
Sie besitzen als Datenschutz-Beauftragter vielfältige Aufgaben und Pflichten. Ohne eine Fachausbildung oder Unterstützung von außen ist das Pensum der gesetzeskonformität kaum zu erfüllen. Die Tätigkeiten sind verstärkt zu dokumentieren. Dies ist sinnvoll, um sich gegen mögliche Haftungsansprüche zu schützen und um der Rechenschaftspflicht nach Artikel 5 Absatz 2 DSGVO nachzukommen. Schließlich drohen bei Verstößen erheblich höhere Bußgelder.
H&S Leistungsprofil zum Datenschutz
Wir als Datenschutz-Auditoren und Unternehmensberater kennen die Prozesse in den Unternehmen und Einrichtungen. Die Anforderungen sind mit geringen individuellen Anpassungsaufwand unseres Muster-Datenschutz-Handbuches zu erfüllen.
- Wir bilden zum „zertifizierten Datenschutz-Beauftragten (w/m/d)“ mit 40 Unterrichtseinheiten (UE) im Rahmen eines Live-Online-Seminar aus. Die Prüfung erfolgt durch eine akkreditierte Zertifizierungsstelle unmittelbar nach dem Lehrgang.
- Für interne und bestellte Datenschutz-Beauftragte bieten wir ein Coaching-Programm an. Damit halten wir mit unseren Experten ihre Dokumente und Wissen aktuell und ermöglichen den Zugriff auf unser Muster-Datenschutz-Handbuch.
- Sie bestellen uns für 24 Monaten zu Ihrem externen Datenschutz-Beauftragten. In unserem Angebot sind alle erforderliche Aufwände und Leistungen enthalten.
- Cyberrisiko minimieren – ihre digitalen Spuren im Internet analysieren. Aufgrund der steigenden Digitalisierungsanspruch in den Unternehmen wächst das Risiko zum Datenschutz und IT-Sicherheit. Wir liefern eine umfangreiche Risikoeinschätzung.
H&S ist ein Beratungsunternehmen und Bildungsträger, insbesondere für die Pflegebranche zur Implementierung und Aufrechterhaltung moderner Managementsysteme. Wir zertifizieren im Auftrag akkreditierter Zertifizierungsstellen Unternehmen im Gesundheits- und Sozialwesen, Handel und Bildungseinrichtungen. Häfele & Schuster sind die Autoren des VDAB-QM-Handbuches.
H&S QM-Support UG (haftungsbeschränkt) & Co. KG
Kurzes Geländ 6
86156 Augsburg
Telefon: +49 (821) 9076334
Telefax: +49 (821) 90763-35
http://www.hs-qmsupport.de
Geschäftsführer
Telefon: 0821/9076334
Fax: 0821-9076335
E-Mail: kh.schuster@hs-qmsupport.de