Art. 39 DSGVO: Aufgaben des Datenschutzbeauftragten
| veröffentlicht am |
12.11.2019 |
|---|---|
| Änderung | Neu aufgenommen |
| Stand | 18.09.2018 |
|---|---|
| Erstellungsgrundlage | in der Fassung der Datenschutz-Grundverordnung vom 27.04.2016 in Kraft getreten am 25.05.2018 |
| Rechtsgrundlage | |
| Version | 001.01 |
- Inhalt der Regelung
- Aufgaben des Datenschutzbeauftragten
- Sorgfaltsmaßstab des Datenschutzbeauftragten
Inhalt der Regelung
Art. 39 Abs. 1 DSGVO normiert die Mindestaufgaben, die dem Datenschutzbeauftragten obliegen und weist ihm in erster Linie Berichts-, Beratungs-, Kontroll- und Kooperationsaufgaben zu.
Art. 39 Abs. 2 DSGVO spezifiziert den von dem Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu beachtenden risikoorientierten Sorgfaltsmaßstab.
Indirekt stellt Art. 39 DSGVO den Bezug zu den Pflichten des für die Verarbeitung personenbezogener Daten Verantwortlichen (Art. 5, 12, 24, 35 DSGVO) her und konkretisiert diese.
Ergänzende/korrespondierende Regelungen
Die Regelung korrespondiert mit der Benennung (Art. 37 DSGVO) und der Stellung (Art. 38 DSGVO) des Datenschutzbeauftragten nach der DSGVO und den entsprechenden §§ 5, 6 und 7 BDSG.
Darüber hinaus spezifiziert sie die Aufgaben des für die Verarbeitung personenbezogener Daten Verantwortlichen nach Art. 24 DSGVO.
Aufgaben des Datenschutzbeauftragten
Der Datenschutzbeauftragte hat nach Art. 39 Abs. 1 DSGVO folgende Aufgaben:
- Unterrichtung und Beratung des Verantwortlichen und seiner Mitarbeiter (siehe Abschnitt 2.1),
- Überwachung der Einhaltung der Vorschriften der DSGVO sowie der diesbezüglichen Strategien des Verantwortlichen (Datenschutz-Compliance) (siehe Abschnitt 2.2),
- Beratung zur Datenschutz-Folgenabschätzung (siehe Abschnitt 2.3) und
- Anlaufstelle für und Zusammenarbeit mit der Aufsichtsbehörde (siehe Abschnitt 2.4).
Er kann zusätzlich mit weiteren Aufgaben betraut werden, sofern diese die notwendigerweise zu gewährleistende Unabhängigkeit und Weisungsfreiheit (Art. 38 Abs. 3 DSGVO) nicht beeinträchtigen und der Verantwortliche sicherstellt, dass die weiteren Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen (Art. 38 Abs. 6 DSGVO).
Ein Interessenkonflikt besteht, wenn der Datenschutzbeauftragte in erster Linie die Ergebnisse seiner eigenen Arbeit kontrollieren müsste. Das kann vor allem dann der Fall sein, wenn die Person für die Datenschutzkonformität bestimmter Verarbeitungen verantwortlich ist.
Zur Vermeidung von Interessenkonflikten sollten deshalb keine Personen als Datenschutzbeauftragte benannt werden, die von ihrer Stellung innerhalb der Daten verarbeitenden Stelle her für die Datenverarbeitung verantwortlich sind. Naturgemäß darf ein Datenschutzbeauftragter nicht selbst die Einhaltung der Datenschutzvorschriften für den Verantwortlichen oder den Auftragsverarbeiter verantworten.
Die DSGVO geht in ihrer Gesetzesstruktur und Systematik von einem eigenverantwortlichen Überwachungs- und Handlungssystem aus. Der Datenschutzbeauftragte ist danach nicht das zentrale Organ des Datenschutzes.
Dem Datenschutzbeauftragten stehen keine unternehmerischen oder organisatorischen Handlungsbefugnisse zur Verfügung. Seine Aufgabe ist zwar die Überprüfung der Datenschutzkonformität, jedoch erhält er keine originären Handlungsbefugnisse, um mögliche Verstöße abstellen zu können. Er berichtet mögliche Verstöße lediglich an den Verantwortlichen.
Auch in der Sanktionsnorm des Art. 83 DSGVO wird der Datenschutzbeauftragte nicht erwähnt. Ausdrücklich werden der Verantwortliche und der Auftragsverarbeiter genannt. Die verwendeten Begriffe stellen insoweit einen Paradigmenwechsel zum Bundesdatenschutzgesetz alt dar, welches in § 43 BDSG alt mit „Ordnungswidrig handelt, wer“ jeden - auch den Datenschutzbeauftragten - in Bezug nimmt. Dies kann auf Grund des Wortlauts der DSGVO jedoch nicht mehr gelten.
Unterrichtung und Beratung des Verantwortlichen
Die Hauptaufgabe des Datenschutzbeauftragten besteht darin, die für die Verarbeitungen von personenbezogenen Daten Verantwortlichen und seine Mitarbeiter, hinsichtlich ihrer datenschutzrechtlichen Pflichten zu unterrichten und zu beraten. Zu dieser Aufgabe gehört auch, den Verantwortlichen über datenschutzrelevante Vorgänge zu informieren. Art. 38 Abs. 3 DSGVO weist dem Datenschutzbeauftragten die Aufgabe zu, der höchsten Managementebene des Verantwortlichen Bericht zu erstatten.
Die Beratung erfolgt bedarfsorientiert und anlassabhängig; zum Beispiel wenn der Datenschutzbeauftragte von den Verantwortlichen in konkreten Fragen konsultiert wird.
Überwachung der Einhaltung der Vorschriften der DSGVO sowie der diesbezüglichen Strategien des Verantwortlichen
Eine wichtige Aufgabe des Datenschutzbeauftragten stellt die Überwachung der Einhaltung der gesetzlichen Datenschutzvorschriften und der internen Datenschutzrichtlinien durch den Verantwortlichen dar.
Die Überwachung bezieht sich dabei explizit auch auf die
- Zuweisung von Zuständigkeiten;
- Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und
- diesbezüglichen Überprüfungen.
Diese Aufgabenzuweisungen spiegeln zunächst die entsprechenden Verpflichtungen des Verantwortlichen wider.
Die Festlegung der Aufgaben des Datenschutzbeauftragten spezifizieren so indirekt die Verpflichtungen des Verantwortlichen, die in Art. 24 DSGVO nicht in dem Detaillierungsgrad enthalten sind. Art. 39 Abs. 1 Buchst. b DSGVO lässt sich entnehmen, dass der Verantwortliche als organisatorische Maßnahmen im Sinne von Art. 24 Abs. 1 DSGVO typischerweise Datenschutzstrategien (Datenschutzrichtlinien) festzulegen hat, Zuständigkeiten für die Einhaltung der DSGVO innerhalb des Unternehmens zuweisen und die Mitarbeiter darin schulen sowie auch entsprechende Überprüfungen durchführen muss.
Die Überwachung durch den Datenschutzbeauftragten kann daher nur als eine Überprüfung der datenschutzrechtlichen Organisationsstruktur verstanden werden, die der Verantwortliche selbst nach den Bestimmungen in Art. 5,12, 24 DSGVO aufbauen muss.
Der Datenschutzbeauftragte hat weder die Aufgabe noch die Kompetenz, eine zweite Datenschutzstruktur aufzubauen, um selbst Verstöße gegen Datenschutzbestimmungen zu verhindern.
Die Überwachungspflicht hat eine wichtige präventive Zielrichtung: sie soll verhindern, dass das Recht auf informationelle Selbstbestimmung verletzende Datenverarbeitungen überhaupt erfolgen.
Um sicherzustellen, dass die datenschutzrechtlichen Vorgaben eingehalten werden, sollte der Datenschutzbeauftragte regelmäßige Kontrollen durchführen. Einer Ankündigung solcher Kontrollen bedarf es nicht. Es empfiehlt sich, die Prüfungen und Ergebnisse zu dokumentieren. Dies kann vor allem bei Kontrollen durch die zuständigen Aufsichtsbehörden von Bedeutung sein - etwa um nachzuweisen, dass der Datenschutzbeauftragte seiner Arbeit ordnungsgemäß nachgegangen ist.
Beratung zur Datenschutz-Folgenabschätzung
Art. 35 Abs. 1 DSGVO bestimmt, dass der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführt, wenn eine Form der Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Nach Art. 35 Abs. 2 DSGVO holt der Verantwortliche den Rat des Datenschutzbeauftragten bei der Durchführung einer solchen Datenschutz-Folgenabschätzung ein.
Unter § 4g Abs. 1 S. 1 BDSG alt in Verbindung mit § 4d Abs. 6 BDSG alt war die Vorabkontrolle, die nun in Art. 35 DSGVO geregelt ist, alleinige Aufgabe des Datenschutzbeauftragten. Diese ergänzte seine Kontroll- und Beratungspflicht. Diese originäre Aufgabe ist in der DSGVO in Art. 35 Abs. 1 DSGVO allein dem Verantwortlichen zugewiesen. Im Verhältnis zum Bundesdatenschutzgesetz alt ist also zu sehen, dass eine eigene Vorabkontrolle durch den Datenschutzbeauftragten nicht mehr vorgesehen ist.
Die DSGVO weist dem Datenschutzbeauftragten eine Nebenrolle zu, dessen Rat der im Zentrum des Datenschutzes stehende Verantwortliche einholt. Denn grundsätzlich könnte auch die Datenschutz-Folgenabschätzung allein in dem Begriff des „Überwachens“ mit umfasst sein. Dann aber hätte es der Klarstellung nicht bedurft, dass der Datenschutzbeauftragte nur zu Rate zu ziehen ist. Den Datenschutzbeauftragten trifft keine eigenständige Rolle zur Einhaltung der Vorgaben des Art. 35 DSGVO.
Der Datenschutzbeauftragte hat die ordnungsgemäße Durchführung der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO zu überwachen. Darüber hinaus hat der Datenschutzbeauftragte auf Anfrage des Verantwortlichen im Zusammenhang mit der Durchführung einer Datenschutz-Folgenabschätzung zu beraten.
Mit Blick auf die Pflicht zur frühzeitigen Einbindung des Datenschutzbeauftragten (Art. 38 Abs. 1 DSGVO), seine Hinweispflicht (ErwG 77 DSGVO) und die gebotene Risikoorientierung ist eine Beteiligung des Datenschutzbeauftragten schon bei der Ermittlung der Notwendigkeit einer Datenschutz-Folgenabschätzung notwendig.
Die Beteiligung des Datenschutzbeauftragten bezieht sich der Sache nach auf die Beratung des Verantwortlichen im Hinblick auf alle Elemente der Datenschutz-Folgenabschätzung, namentlich:
- der Prüfung der Rechtsgrundlage (zum Beispiel Reichweite einer Einwilligung);
- der Identifikation von Risiken für Schutzziele des Datenschutzes (zum Beispiel Rechtmäßigkeit der Datenverarbeitung, Datenqualität, Betroffenenrechte, Vertraulichkeit und Sicherheit der Datenverarbeitung);
- die Bewertung der Wahrscheinlichkeit einer Realisierung der Risiken;
- der Bestimmung berechtigter Interessen und
- der Festlegung von Garantien und Maßnahmen zur Minimierung etwaiger Risiken.
Der Umfang der Beratung durch den Datenschutzbeauftragten ist nicht festgelegt. Hier besteht Spielraum zur Ausgestaltung. Mindestens muss der Datenschutzbeauftragte Ratschläge einbringen können.
Anlaufstelle für und Zusammenarbeit mit der Aufsichtsbehörde
Nach Art. 39 Abs. 1 Buchst. d und e DSGVO obliegt es dem Datenschutzbeauftragten, mit der Aufsichtsbehörde zusammenzuarbeiten und für diese als Anlaufstelle zu fungieren; das schließt explizit Verfahren der vorherigen Konsultation nach Art. 36 DSGVO ein.
Sorgfaltsmaßstab des Datenschutzbeauftragten
Nach Art. 39 Abs. 2 DSGVO hat der Datenschutzbeauftragte vor allem
- dem mit den Verarbeitungsvorgängen verbundenen Risiko einschließlich
- der Art, des Umfangs und der Zwecke der Verarbeitung.
Rechnung zu tragen.
Diese Regelung spiegelt den risikobasierten Ansatz, der sich stellenweise in der DSGVO findet, wider. Sie bedeutet, dass der Datenschutzbeauftragte seine Tätigkeiten je nach Risiko für die Rechte und Freiheiten der betroffenen Personen priorisieren und ihnen unterschiedliche Bearbeitungszeiten widmen soll. Wird der Datenschutzbeauftragte beispielsweise bei einer Datenschutz-Folgenabschätzung herangezogen, die wegen einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten notwendig ist, wäre diese Aufgabe hoch zu gewichten.
| Verordnung (EU) 2016/679 des Europäischen Parlaments und Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) |
Inkrafttreten: 24.05.2016, Gültigkeit: 25.05.2018 Quelle: Amtsblatt der Europäischen Union vom 04. Mai 2016 unter L 119/1 |
Die Datenschutzgrundverordnung (VO (EU) 2016/679) trat am 24.05.2016 in Kraft und gilt seit dem 25.05.2018 unmittelbar in allen Mitgliedstaaten der Europäischen Union.