Der Datenschutzbeauftragte - Eine wichtige Rolle in der Einhaltung der Datenschutzregeln
17. April 2023Der Datenschutzbeauftragte ist ein wichtiges Element in jeder Organisation, die personenbezogene Daten sammelt und verarbeitet. Er übernimmt die Verantwortung für die Einhaltung der gesetzlichen Vorgaben zum Datenschutz und stellt sicher, dass die Daten von Kunden und Mitarbeitern des Unternehmens geschützt werden und nur im erforderlichem Umfang verarbeitet werden. Der Datenschutzbeauftragte ist eine Person, die von einem Unternehmen bestellt wird und damit beauftragt wird, die Einhaltung der datenschutzrechtlichen Bestimmungen im Unternehmen zu überwachen und zu überprüfen. Bestellt werden kann seitens des Unternehmens ein interner Mitarbeiter oder ein externer Berater, solange sichergestellt ist, dass die jeweilige Person über die fachlichen Fähigkeiten und Qualifikationen im Bereich Datenschutz verfügt. Als Merksatz gilt: Je umfangreicher und komplexer die Verarbeitungsvorgänge eines Unternehmens sind, desto umfangreicher sollte das Fachwissen des Datenschutzbeauftragten sein.
Der Datenschutzbeauftragte dient gewissermaßen der Selbstkontrolle des verantwortlichen Unternehmens. Er soll durch Beratung und Überwachung einen effektiven Schutz personenbezogener Daten sicherstellen. Um diese Kontrolle zu gewährleisten, ist er bei der Erfüllung seiner Aufgaben weisungsfrei. Er ist aber auch nicht weisungsbefugt, d.h. er trifft keine selbstständigen Entscheidungen über die Umsetzung des Datenschutzes. Vielmehr bleibt das Unternehmens selbst entsprechend für die Einhaltung der datenschutzrechtlichen Pflichten verantwortlich. Der Datenschutzbeauftragte ist verantwortlich sicherzustellen, dass im Unternehmen die gesetzlichen Bestimmungen des Datenschutzes, einschließlich der EU-Datenschutzgrundverordnung (DS-GVO) eingehalten werden. Ferner ist er auch verantwortlich für die Überwachung des Umfangs der Verarbeitung personenbezogener Daten und muss sicherstellen, dass personenbezogene Daten von Kunden und Mitarbeitern des Unternehmens nur soweit erforderlich vom Unternehmen verarbeitet und gespeichert werden und nach Wegfall des Zwecks der Verarbeitung unverzüglich wieder gelöscht werden. Darüber hinaus unterstützt er das Unternehmen bei der Entwicklung und Umsetzung interner Datenschutzrichtlinien und -prozessen.
Der Datenschutzbeauftragte muss gewissermaßen als Außenstelle der Aufsichtsbehörde „ein Auge“ auf die der Einhaltung datenschutzrechtlicher Vorgaben in der Organisation/Unternehmen haben.
Überwachungsmaßnahmen sind u.a. die Zuweisung von Zuständigkeiten, die Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter; und die diesbezüglichen Überprüfungen. An der Vielzahl der Verarbeitung personenbezogener Daten eines Mitarbeiters lässt sich der Umfang der Überwachungspflicht erahnen. So beginnt beispielsweise die erste Verarbeitung personenbezogener Daten mit der Bewerbung. Im Laufe der Anstellung kommt es bei dem Mitarbeiter dann zu zahlreichen weiteren Datenverarbeitungsvorgängen, seien es Krankschreibungen, ggf. Leistungskontrollen oder Erfassung der Arbeitszeiten etc.. All diese Verarbeitungsvorgänge hat der Datenschutzbeauftragte zu überwachen.
Hinzukommen Verarbeitungstätigkeiten gegenüber Kunden, Lieferanten, Geschäftspartnern etc. Zudem müssen alle Mittel der Verarbeitung überwacht werden (bspw. verschiedene Datenbanken, Videoüberwachungen, Webseitentracking, Apps). Hinsichtlich dieser Verarbeitungstätigkeiten muss der Datenschutzbeauftragte u.a. die rechtmäßige Erhebung, die sichere Verarbeitung und die fristgerechte Löschung überwachen. In ihrer Gesamtheit betrachtet sind die seitens des Datenschutzbeauftragten zu überwachenden Verarbeitungstätigkeiten mithin sehr umfassend. Zudem sollten zur effektiven Überwachung regelmäßig Vor-Ort-Kontrollen der Einhaltung datenschutzrechtlicher Vorgaben bei den Mitarbeitern durchgeführt werden. Dies sollte dokumentiert werden, um nachzuweisen, dass der Datenschutzbeauftragte seine Überwachungsarbeit ordnungsgemäß erfüllt hat.
Weiter soll er ein kompetenter Ansprechpartner der Aufsichtsbehörden bei Anfragen, Kontrollen und für vorherige Konsultationen der Aufsichtsbehörde bei besonders riskanten Verarbeitungen sein. Es besteht daher auch die Pflicht, die Kontaktdaten des Datenschutzbeauftragten der Aufsichtsbehörde zu melden.
Schließlich ist der Datenschutzbeauftragte auch für die Durchführung von Datenschutzprüfungen und -audits verantwortlich. Diese Audits sind Mittel zum Zweck, um die Effektivität der im Unternehmen implementierten technischen und organisatorischen Maßnahmen zu Schutz personenbezogener Daten zu überprüfen und sicherzustellen, dass die Organisationen die geltenden Bestimmungen zum Datenschutz einhält. Daher ist es wichtig, dass das Unternehmendie Person des Datenschutzbeauftragten sorgfältig auswählt.