Kategorien
Neueste Beiträge
Anforderungen an einen Datenschutzbeauftragten
In unseren früheren Beiträgen gingen wir schon auf die Vorgaben der DSGVO ein, die es zur Benennung und zur Tätigkeit eines Datenschutzbeauftragten zu beachten gibt, ein. Welche Anforderungen an einen Datenschutzbeauftragten sind aber zu stellen?
Notwendigkeit der Benennung
Nicht jeder Verantwortlicher ist dazu verpflichtet, einen Datenschutzbeauftragten zu benennen. Unser Artikel „Benennung eines Datenschutzbeauftragten“ erklärt näher, wann diese Pflicht besteht. Ganz gleich aber, ob die Benennung nun vorgeschrieben oder freiwillig erfolgt, sind bestimmte Voraussetzungen durch den Datenschutzbeauftragten zu erfüllen.
Gesetze und Verordnungen
Um seinen Pflichten als Datenschutzbeauftragten gemäß Art. 39 DSGVO nachkommen zu können, benötigt die Person, die Datenschutzbeauftragte ist, das dafür notwendige Wissen. Das bedeutet, dass sie nicht nur die DSGVO kennen muss. Nebenher gibt es auch noch länderspezifische Gesetze wie das BDSG, das TTDSG und die Landesdatenschutzgesetze. Auch ist es wichtig, die Hierarchie der Verordnungen und Gesetze zueinander zu kennen. So weiß ein Datenschutzbeauftragter, welche Verarbeitung von personenbezogenen Daten eventuell auf einer gesetzlichen Grundlage, die möglicherweise in der Abgabenordnung (AO) zu finden ist, beruht. Die Folge ist dann nämlich, dass eventuell eine normalerweise als fragwürdig angesehene Verarbeitung durchgeführt werden muss.
Das Wissen zum Datenschutz
Das Datenschutzwissen setzt sich aus verschiedenen Aspekten zusammen. Zum einen ist es natürlich das Grundwissen zum Datenschutz zu erlangen. Dies gelingt meist im Zuge von Schulungen, auf Wunsch auch mit anschließender Prüfung. Weiterführend ist es aber essentiell, das Wissen ständig zu erweitern und auf dem neuesten Stand zu halten. Dabei spielt es eine Rolle, Rechtsprechungen und Urteile im Auge zu behalten. Auch sollte ein Datenschutzbeauftragter sich informieren, inwiefern sich die Datenschutzaufsichtsbehörden zu bestimmten Themen äußern oder Hilfestellungen geben. Der Austausch mit anderen Personen, die sich mit dem Datenschutz beschäftigen, liefert oft auch hilfreiche Erkenntnisse. Des Weiteren können Podcasts, Blogs, Konferenzen etc. auch dabei helfen, das Datenschutzwissen ständig aktuell zu erhalten und es zu erweitern. Ermöglicht ein Verantwortlicher seinem Datenschutzbeauftragten dies, hält er schon mal Art. 38 Abs. 2 DSGVO ein.
Weisungsfreiheit
Ein Datenschutzbeauftragter muss seine Aufgaben unabhängig und weisungsungebunden ausführen können (Art. 38 Abs. 3 DSGVO). Dem Verantwortlichen steht es nicht zu, dem Datenschutzbeauftragten Weisungen zu erteilen. Praktisch bedeutet dies, dass ein Datenschutzbeauftragter Fragen und Themen zum Datenschutz so bearbeiten muss, dass er bei seiner Tätigkeit ausschließlich geltende Gesetze und Verordnungen einbezieht.
Keine Interessenkonflikte
Die Notwendigkeit der Weisungsfreiheit führt zum nächsten Punkt: der Vermeidung von Interessenkonflikten. In „Interessenkonflikt beim Datenschutzbeauftragten“ gingen wir schon auf dieses Thema ein und nannten ein paar Beispiele für Interessenkonflikt behaftete Konstellationen. Unterschwellig kann hierbei die nicht wirkliche Weisungsungebundenheit zu einem Interessenkonflikt führen. Ein Beispiel wäre eventuell der Ehemann, den eine Geschäftsführerin zum Datenschutzbeauftragten ihres Unternehmens benannt hat. Nun kann es sein, dass hierbei die Grenze zwischen Ehemann und Angestellten verschwimmen. Folglich zieht der Ehemann als Datenschutzbeauftragter eventuell etwaige Äußerungen der Ehefrau als Geschäftsführerin bei der Bewertung von Datenschutzthemen ein. – Interessenkonflikte dürfen also nicht auftreten. –
Keine Entscheidungsbefugnis
Es ist allerdings auch wichtig, dass der Datenschutzbeauftragte immer beachtet, dass er keine Entscheidungsbefugnis hat. Diese liegt beim Verantwortlichen; also seinem Arbeitgeber oder Auftraggeber (für den Fall, es handelt sich um einen externen Datenschutzbeauftragten). Der Datenschutzbeauftragte berät und unterstützt in Datenschutzthemen und überwacht die Einhaltung der DSGVO.
Vertrauenswürdigkeit
Es ist auch möglich, dass eine betroffene Person ihre Rechte nach Artt. 15 – 22 DSGVO ausübt. Dabei wünscht sie eventuell nicht, dass ihre Anfrage allen Beschäftigten bekannt ist. Eventuell wünscht sie sogar auch, dass ihr Fall selbst dem Verantwortlichen nicht kommuniziert wird. Der Datenschutzbeauftragte muss als Person also auch vertrauenswürdig sein, während ihn Geheimhaltungspflichten treffen (Art. 38 Abs. 5 DSGVO),
Fazit
In unserem Beitrag „Benennung eines internen oder externen Datenschutzbeauftragten“ haben wir sowohl die Vor- als auch Nachteile eines internen und externen Datenschutzbeauftragten erläutert. Weitere Vorteile für die Benennung eines externen Datenschutzbeauftragten ergeben sich sicherlich auch aus den Anforderungen an einen Datenschutzbeauftragten, wie in diesem Artikel erläutert.
Um die Vorteile eines externen Datenschutzbeauftragten nutzen zu können, kontaktieren Sie uns gern. In einem kostenfreien Erstgespräch besprechen wir gern weitere Details mit Ihnen.