Profil, Qualifikation und Aufgaben eines Datenschutzbeauftragten Art. 37 bis 39 DSGVO

Lesezeit: ca. 4 Minuten


Dank der neuen Datenschutzgrundverordnung (DSGVO) vom 25.5.2018 stellt sich in vielen Unternehmen und Behörden, die Frage, ob ein Datenschutzbeauftragter bestellt werden soll oder gar muss. Die DSGVO schreibt zum ersten Mal EU-weit vor, dass unter bestimmten Gegebenheiten zwingend ein Datenschutzbeauftragter  eingestellt werden muss.  Ergänzend dazu gilt in Deutschland das neu gefasste  Bundesdatenschutzgesetz (BDSG), das ebenfalls einige Richtlinien zum Thema Datenschutzbeauftragter  festlegt.

Vorgaben der DSGVO und des BDSG

Die Benennung eines Datenschutzbeauftragten wird unter zwei Voraussetzungen notwendig. Einerseits ist sie geboten, wenn eine der in Artikel 37 Absatz 1 DSGVO aufgeführten Voraussetzungen vorliegt. Diese besagen, dass zwangsläufig ein Datenschutzbeauftragter  bestellt werden muss, soweit die Verarbeitung personenbezogener Daten von einer Behörde oder öffentlichen Stelle durchgeführt wird, soweit die Kerntätigkeit vom Verantwortlichen oder Auftragsverarbeiter in der Umsetzung solcher Verarbeitungen liegt und deren Umfang und Zwecke eine Überwachung von Betroffenen erfordern oder soweit bei der Verarbeitung besonders sensible Datenkategorien, wie Verurteilungen und Straftaten, Gegenstand sind.

Andererseits ist ein Datenschutzbeauftragter auch dann zu bestellen, wenn die Situation von § 38 Absatz 1 Satz 1 des neuen BDSG gegeben ist. Das ist der Fall, wenn mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Abstrakte Ausführungen im Gesetzestext

Kritiker merken immer wieder an, die Vorgaben der DSGVO seien viel zu abstrakt gehalten. Dennoch lassen sich die allgemein gehaltenen Grundsätze konkret anwenden und sind relevant für verschiedenste Branchen, Unternehmen und Behörden.

Qualifikation eines Datenschutzbeauftragten

Die DSGVO liefert in Artikel 37 Absatz 5 eine Vorstellung davon, wie ein Datenschutzbeauftragter qualitativ aufgestellt sein muss. Hier ist zu beachten, dass die EU zwar vorsieht, dass ihre Mitgliedsstaaten zusätzliche Gründe für die Pflicht zur Bestellung eines Datenschutzbeauftragten festlegen dürfen (wie in Deutschland durch das BDSG), aber über keinerlei Befugnis verfügen, eigene Vorgaben für die Qualifikation eines Datenschutzbeauftragter  aufzustellen.

Absatz 5 von Artikel 37 DSGVO benennt drei Faktoren, die für die Qualifikation relevant sind.

  • Vorhandenes Fachwissen auf dem Gebiet des Datenschutzrechts,
  • vorhandenes Fachwissen hinsichtlich der Datenschutzpraxis,
  • die Fähigkeit, die in Artikel 39 festgelegten Aufgaben zu erfüllen.

Aufgaben nach Artikel 39

Artikel 39 DSGVO definiert im ersten Absatz fünf Hauptaufgaben, die ein Datenschutzbeauftragter  so erfüllen können muss, wie es im konkreten Unternehmen oder der Behörde gefordert ist.

Die Aufgaben bestehen erstens in der Beratung und Unterrichtung der Verantwortlichen bzw. der Auftragsverarbeiter, zweitens in der Überwachung der Einhaltung der Datenschutzregelungen und auch der damit verbundenen Sensibilisierung und Schulung von Mitarbeitern und drittens in der Beratung hinsichtlich der Datenschutz-Folgenabschätzung. Der vierte und fünfte Punkt beziehen sich auf die Zusammenarbeit mit der Aufsichtsbehörde und die Funktion des Datenschutzbeauftragter  als Anlaufstelle für diese.

Fachwissen im Bereich des Datenschutzrechts

Jeder Datenschutzbeauftragte muss über ein umfassendes Wissen über das Datenschutzrecht insgesamt verfügen. Dabei ist es in erster Linie nicht relevant, ob er alle Teile im Arbeitsalltag einer konkreten Behörde oder eines konkreten Unternehmen wirklich anwenden muss. Beispielsweise muss der Datenschutzbeauftragter  eines Unternehmens, das normalerweise keine Daten in ein unsicheres Drittland, wie die USA, exportiert, dennoch Kenntnisse des Privacy Shield haben, könnte dies in einem anderen Moment doch an Relevanz für das Unternehmen gewinnen.

Bezüglich der DSGVO sind in jedem Fall  vertiefte Kenntnisse notwendig, da sie zentrales Regelwerk für jegliche Datenverarbeitung ist. Sonstige Datenschutzregelungen sollen nur dann verstärkt bekannt sein, wenn sie konkrete Relevanz für die Arbeit des Unternehmens oder der Behörde haben.

Spezialkenntnisse sind dann notwendig, wenn besondere Kategorien personenbezogener Daten  in größeren Mengen verarbeitet werden oder wenn sie in unsichere Drittstaaten übermittelt werden. Hier empfehlen sich Spezialseminare. Kommen derartige Inhalte in gegebener Datenschutzpraxis nicht vor, genügen auch hier grundlegende Kenntnisse.

Neben der DSGVO muss der Datenschutzbeauftragter  auch über Kenntnis einiger Spezialgesetze verfügen, wie beispielsweise die weiterhin geltende ePrivacy-Richtlinie oder das in Deutschland gültige BDSG.

EDV-Kenntnisse für Datenschützer

Erstaunlicherweise fordert die DSGVO keine spezifischen EDV-Kenntnisse, wobei klar ist, dass der Datenschutzbeauftragter  seine Aufgaben, im Besonderen die Einhaltung der Datenschutzvorgaben im Unternehmen oder der Behörde zu überwachen, ohne EDV-Kenntnisse nicht erfüllen könnte.

Es wird allerdings nur vorausgesetzt, dass über für den Datenschutz relevante Kenntnisse verfügt wird. Laut eines sächsischen Merkblattes fielen darunter Maßnahmen zur physischen Sicherheit, Kryptographie, Netzwerksicherheit, Schadsoftware und Schutzmaßnahmen dagegen.

Im konkreten Unternehmen oder der Behörde kann es vorkommen, dass ein eigener IT-Sicherheitsbeauftragter gegeben ist. In diesem Fall ist eine klare Kommunikation und deutliche Abgrenzung der Arbeitsbereiche notwendig, so dass nicht durch Missverständnisse bestimmten Aspekten schlussendlich unbearbeitet bleiben.

Fachwissen im Bereich der Datenschutzpraxis

Als dritte Voraussetzung für die Qualifikation eines Datenschutzbeauftragter  nennt die DSGVO ausdrücklich die fachspezifische Kenntnis der Datenschutzpraxis. Dies gestaltet sich wohl deutlich schwieriger als der Erwerb von Fachwissen auf dem Gebiet des Datenschutzrechts. Praxiswissen kann nicht einfach durch entsprechende Kurse oder Fortbildungen erworben werden. Deshalb gilt hier besondere Aufmerksamkeit dem Erfahrungsaustausch in Arbeitskreisen gleichartiger Unternehmen und ähnlichem.

Prinzipiell müssten bei einem Datenschutzbeauftragter  laut Gesetzestext alle erforderlichen Kenntnisse zur Datenschutzpraxis bereits vorliegen, was aufgrund der Neuheit der Datenschutzregelungen und der allgemeinen Komplexität des Themas aber eher unrealistisch ist. Daher genügt im Normallfall zunächst eine umfassende Bandbreite von Grundkenntnissen, auf deren Basis in kürzester Zeit alle weiteren geforderten Praxiskenntnisse erworben werden.

Qualifikation dauerhaft gewährleisten

Dank der stetigen Entwicklung bei der Umsetzung der DSGVO ist es unumgänglich, die vorhandenen Kenntnisse ständig zu aktualisieren und zu erweitern. Der Verantwortliche hat die Pflicht, dem Datenschutzbeauftragter  „die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung [zu] stellen“, wie Artikel 38 Absatz 2 DSGVO ausdrücklich beschreibt.

Empfehlung zum Vorgehen bei Bestellung eines Datenschutzbeauftragten

Soll ein Datenschutzbeauftragter  im Unternehmen oder in der Behörde beschäftigt werden, empfiehlt sich ein systematisches Vorgehen unter Betrachtung folgender Aspekte:

  • Welche Kenntnisse sind erforderlich?
  • Über welche verfügt der Datenschutzbeauftragter bereits?
  • Wo müssen noch Qualifizierungsmaßnahmen oder Weiterbildungen vorgenommen werden?

Diese Herangehensweise gewährleistet Klarheit für alle Beteiligten und schafft eine gute Basis für die zukünftige Arbeit.

 
1 Star2 Stars3 Stars4 Stars5 Stars 4 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen