In der Begleitung des Unternehmens auf dem Weg der Digitalisierung bewegt sich der betriebliche Datenschutzbeauftragter (DSB) im Spannungsfeld zwischen Unternehmenserfolg und Wahrung der Betroffenenrechte. Doch welche Aufgaben kommen ihm in dieser Querschnittsfunktion zu?
- Unterrichtung und Beratung im Unternehmen (Art. 39 Abs. 1 lit a. DSGVO)
Der DSB berät die höchste Managementebene und diejenigen Mitarbeiter im Unternehmen, welche Daten bearbeiten, unterrichtet sie in Bezug auf ihre Pflichten, die sich aus der DSGVO und den in der Union und den Mitgliedstaaten geltenden Datenschutznormen ergeben, und macht Vorschläge zur Verbesserung. Des Weiteren prüft er Verträge mit Dienstleistern und erlässt interne Richtlinien und Weisungen.
- Überwachung und Mitarbeiterschulung (Art. 39 Abs. 1 lit b. DSGVO)
Es ist wichtig, dass die mit der Datenverarbeitung betrauten Mitarbeiter im Unternehmen auf die Datenschutzthematik sensibilisiert sind. Daher ist naheliegend, dass der DSB als im Datenschutzrecht fachkundigste Person die Mitarbeiter schult und bei Datenverarbeitungsvorgängen die Einhaltung der geltenden Datenschutzvorschriften überwacht.
- Beratung zur Folgenabschätzung (Art. 39 Abs. 1 lit c. DSGVO) und TOM (Art. 32 DSGVO)
Damit Datenschutzvorfälle von Anfang an vermieden werden, ist es wichtig, dass der DSB bereits vor Beginn einer neuen Datenverarbeitung im Unternehmen – wie bspw. die Einführung einer neuen Datenbanksoftware oder Webseitentracking – einbezogen wird (Art. 38 Abs. 1 DSGVO). Dies erlaubt es ihm, rechtzeitig die notwendigen (rechtlichen) Abklärungen zu treffen, die Unternehmensleitung und die mit der Datenverarbeitung befassten Mitarbeiter zu beraten sowie die zuständige Aufsichtsbehörde zu kontaktieren. Dazu gehört auch, dass der DSB in den in Art. 35 DSGVO genannten Fällen eine Datenschutz-Folgenabschätzung durchführt. Zudem überwacht und berät er das Unternehmen bei der Implementierung und Dokumentierung der geeigneten technischen und organisatorischen Massnahmen (TOM) gemäss Art. 32 DSGVO, um ein dem Risiko für die Betroffenenrechte angemessenes Schutzniveau zu gewährleisten.
- Unterstützung bei Erstellung und Führung des Verarbeitungstätigkeitsverzeichnisses
Gemäss Art. 30 DSGVO ist das Unternehmen dafür verantwortlich, ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten zu erstellen und zu führen. Das Verzeichnis dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Unternehmen nachzuweisen, dass die Vorgaben der DSGVO eingehalten werden (Art. 5 Abs. 2 DSGVO, Rechenschaftspflicht). Die Erstellung und Führung eines solchen Verzeichnisses ist aufwendig und sollte vollständig bzw. mit der notwendigen Sorgfalt bewerkstelligt werden. Daher lässt sich das Unternehmen hierbei durch den DSB beratend unterstützen.
- Datenschutzvorfälle und Betroffenenanfragen
Datenschutzvorfälle i.S.v. Art. 4 Nr. 12 DSGVO sind binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden, wenn sie im konkreten Fall zu einem Risiko für die Rechte und Freiheiten der Betroffenen führen (Art. 33 Abs. 1 DSGVO). Der DSB unterstützt in der Erstellung eines Reaktionsplans zur Bewältigung der Datenpannen und weist bestimmte Rollen konkret Mitarbeitern zu. Er stellt sicher, dass die notwendigen Informationen gemäss Art. 33, 34 DSGVO bereitgestellt bzw. dokumentiert werden und bewertet Art und Umfang des Datenschutzvorfalls, sowie der damit verbundenen Risiken für die betroffenen Personen. Damit kann er entscheiden, welche weiteren Massnahmen ergriffen werden sollen und ob eine Meldung gegenüber den Betroffenen und/oder der Aufsichtsbehörde innert Frist notwendig ist, um die entsprechende Meldung vorzubereiten und einzureichen.
Aber auch bei Anfragen von Betroffenen nach Art. 12 Abs. 3 DSGVO wirkt der DSB wesentlich mit. So ist es wichtig, dass ein Konzept mit dem DSG erarbeitet wird, damit solche Auskunftsbegehren professionell geprüft, bearbeitet und innert Frist beantwortet werden. Denn eine unzureichende Vorbereitung auf solche Anfragen birgt die Gefahr, dass sich der Betroffene aufgrund nicht fristgerechter bzw. nicht zufriedenstellender Rückmeldung an die Aufsichtsbehörde wendet und bei einer Prüfung derselben der Betriebsablauf im Unternehmen wesentlich gestört wird.
- Zusammenarbeit und Anlaufstelle für die Aufsichtsbehörde (Art. 39 Abs. 1 lit d. und e. DSGVO)
Der DSB arbeitet zugleich mit der Aufsichtsbehörde zusammen und steht ihr als kompetenter Ansprechpartner bei Anfragen, Kontrollen und für vorherige Konsultationen bei besonders riskanten Datenverarbeitungsvorgängen zur Verfügung. Es besteht daher auch die Pflicht, die Kontaktdaten des DSB der Aufsichtsbehörde zu melden.
- Fazit
Die Aufgaben des DSB im Unternehmen ist durch die DSGVO gewachsen, weshalb er die einschlägigen Datenschutzvorschriften und die Gerichtspraxis kennen sowie über ein Mindestmass an IT-technischem Know-How verfügen muss. Er übernimmt in der Ausübung seiner Aufgaben eine vorwiegend beratende und überwachende Tätigkeit und steht als Anlaufstelle den Aufsichtsbehörden zur Verfügung. Daher kommt ihm keine Entscheidungsgewalt zu, d.h. für die Umsetzung seiner Empfehlungen bleibt das Unternehmen verantwortlich, und er arbeitet weisungsfrei, um seine Aufgaben unbeeinflusst erfüllen zu können.
Die gute Kooperation zwischen der Geschäftsführung und dem DSB ist daher entscheidend für die effiziente Umsetzung der datenschutzrechtlichen Pflichten in einem Unternehmen und zur Vermeidung von Datenschutzverstössen. Damit soll bei Kunden, Geschäftspartnern und bei den zuständigen Behörden Vertrauen geschaffen und letztlich mögliche Bussen in Millionenhöhe verhindert werden.