ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvo

Aufgaben des Datenschutzbeauftragten nach der DSGVO

Darüber, wie die Bestellpflicht künftig nach der Datenschutz-Grundverordnung (DSGVO) sowie dem gestern (12.05.2017) verabschiedeten BDSG-neu aussehen wird hatten wir bereits in diesem Artikel berichtet. In diesem Artikel geht es um die Aufgaben und Voraussetzungen, die der Gesetzgeber für den Datenschutzbeauftragten mit der DSGVO festgelegt hat.

Neu ist zunächst, dass auch die öffentlichen Stellen einen externen Datenschutzbeauftragten durch Dienstvertrag bestellen können. Dies hatte das BDSG bisher zwar auch zugelassen. Zahlreiche Landesdatenschutzgesetze (so das DSG NRW in § 32a Abs. 1 Satz 1) hatten dies allerdings ausgeschlossen und explizit verlangt, dass der Datenschutzbeauftragte „intern“ ist, also beim Verantwortlichen beschäftigt ist. Neu ist ebenfalls, dass die Kontaktdaten zu veröffentlichen und der Aufsichtsbehörde mitzuteilen sind. Diese Regelung dient der schnellen und einfachen Erreichbarkeit des Datenschutzbeauftragten und der stärkeren Kontrolle der Verantwortlichen durch die Aufsichtsbehörden. So wäre es beispielsweise zukünftig möglich, dass die Aufsichtsbehörden gezielt Unternehmen prüfen, welche keinen Datenschutzbeauftragten gemeldet haben.

Als Veröffentlichung wird es wohl ausreichen, wenn die Kontaktdaten extern (auf der Homepage) und intern (im Intranet oder Organigramm des Unternehmens) zur Verfügung gestellt werden. Nach derzeitiger Interpretation dieser Regelung ist der Name des Datenschutzbeauftragten nicht zwingend zu veröffentlichen. Demnach würden die E-Mail-Adresse (auch eine sog. Funktions-E-Mail-Adresse, wie ) und die Telefonnummer ausreichen.

Die Stellung des Datenschutzbeauftragten

Einige Rechte und Pflichten des Datenschutzbeauftragten ergeben sich aus der Stellung des Datenschutzbeauftragten, die in Art. 38 DSGVO definiert wird. So ist der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle sich mit dem Schutz personenbezogener Daten beschäftigenden Vorgänge einzubinden. Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben durch den Verantwortlichen zu unterstützen, indem ihm die zur Erfüllung seiner Aufgaben notwendigen Ressourcen sowie der Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen zur Verfügung gestellt werden. Er ist in der Ausübung seiner Tätigkeit frei und unterliegt keinerlei Weisungsbefugnis durch den Verantwortlichen und berichtet stets unmittelbar der höchsten Managementebene.

Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß der DSGVO im Zusammenhang stehenden Fragen zu Rate ziehen. Bezüglich aller Sachverhalte, die dem Datenschutzbeauftragten im Rahmen seiner Tätigkeit zur Kenntnis gelangen ist er an die Wahrung der Geheimhaltung und Vertraulichkeit gebunden.

Die Aufgaben des Datenschutzbeauftragten

Einige Aufgaben werden dem Datenschutzbeauftragten durch die DSGVO in Artikel 39 ganz konkret zugewiesen:

  1. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
  2. Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
  3. Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
  4. Zusammenarbeit mit der Aufsichtsbehörde;
  5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Weitere Aufgaben, die sich aus der DSGVO ergeben, dort aber nicht direkt dem Datenschutzbeauftragten zugewiesen werden, können dem Datenschutzbeauftragten durch den Verantwortlichen zugewiesen werden. Denkbar wäre hier zum Beispiel die Erteilung von Informationen nach Artikel 13 und Artikel 14 oder das Führen des Verzeichnisses der Verarbeitungstätigkeiten nach Artikel 30 der DSGVO.

Verantwortungsbereich des Datenschutzbeauftragten

Verantwortlich für die Einhaltung der Datenschutzvorschriften sind der Verantwortliche und der Auftragsverarbeiter.  Dies ergibt sich bereits zwingend aus der Tatsache, dass der Datenschutzbeauftragte keinerlei Weisungsbefugnis besitzt, die es ihm ermöglichen würde, notwendige Maßnahmen zum Datenschutz auch tatsächlich umzusetzen. Insofern ist die Tätigkeit des Datenschutzbeauftragten eine beratende und kontrollierende Tätigkeit.

Die Haftung des Datenschutzbeauftragten

Eine Haftung des Datenschutzbeauftragten ist daher ausschließlich für diejenigen Schäden denkbar, die aufgrund einer fehlerhaften Beratung entstanden sind. Dies gilt insbesondere, wenn grobe Fahrlässigkeit oder gar Vorsatz vorlag. Externe Datenschutzbeauftragte sollten zur Absicherung solcher Schäden eine Haftpflichtversicherung, die auch Vermögensschäden abdeckt, abschließen und ihren Kunden auf Wunsch einen Nachweis zum Bestehen eines in der Höhe angemessenen Versicherungsschutzes zur Verfügung stellen.

Die DSGVO bringt einige Veränderungen mit sich, auf die bis zum 25.05.2018 unbedingt reagiert werden sollte. Sprechen Sie uns an! Als Ihr externer Datenschutzbeauftragter unterstützen wir Sie gerne bei der Umsetzung aller notwendigen Maßnahmen.