Im Rahmen unserer Beitragsreihe „Der Datenschutzbeauftragte in der Praxis“ haben wir uns bereits mit den Fragen beschäftigt, wer einen Datenschutzbeauftragten braucht und wie man ein solcher wird. In diesem Teil stellen wir uns die Frage, welche Aufgaben einem Datenschutzbeauftragten obliegen.

I. Was macht eigentlich ein Datenschutzbeauftragter?

Sowohl dem internen als auch dem externen Datenschutzbeauftragten obliegen grundsätzlich die gleichen Aufgaben. Im Rahmen der untenstehenden Aufgaben setzt der Datenschutzbeauftragte selbst den Schwerpunkt seiner Tätigkeit. Hierbei hat er die mit der jeweiligen Datenverarbeitung verbundenen Risiken zu berücksichtigen (sog. „risikobasierter Ansatz“).

Die folgenden Aufgaben stellen nur die Mindestaufgaben gemäß Art. 39 DS-GVO dar, die jedem Datenschutzbeauftragten zwingend obliegen. Darüber hinaus kann er auch noch mit zusätzlichen Aufgaben betraut werden.

1. Interne Aufgaben im Unternehmen

Eine der wesentlichen Aufgaben des Datenschutzbeauftragten ist die Unterrichtung und Beratung des für die Datenverarbeitung Verantwortlichen. Dabei hat der Datenschutzbeauftragte ein direktes Berichtsrecht an die „höchste Managementebene“ (Art. 38 Abs. 3 S. 3 DS-GVO), also grundsätzlich an Geschäftsführung oder Vorstand (sog. C-Level). Bei größeren Unternehmen und Konzernstrukturen kann es aber durchaus auch zweckmäßig sein, dass der Datenschutzbeauftragte strukturell und organisatorisch nicht direkt der höchsten Managementebene, sondern beispielsweise einer Zwischenebene untergeordnet/angegliedert ist (beispielsweise Leiter der Rechtsabteilung). Das direkte Berichtsrecht darf durch diese organisatorische Stellung nicht unterlaufen werden.

Der Datenschutzbeauftragte berät allerdings nicht nur den Verantwortlichen selbst, sondern kümmert sich eigenständig um die Implementierung eines internen Regelungssystems zur DS-GVO-konformen Verarbeitung von personenbezogenen Daten. Hierzu hat er in regelmäßigen Abständen beispielsweise Kurzdarstellungen, Empfehlungen der Datenschutzbehörden oder Informationen über neue datenschutzrelevante Technologien selbst wahrzunehmen und (mindestens in Form von Schulungen und Informationsveranstaltungen) denjenigen Mitarbeitenden bereitzustellen und zu vermitteln, die personenbezogene Daten für den Verantwortlichen verarbeiten.

Ferner trifft ihn nach einem Datenschutzverstoß oder bei erkennbaren Missständen die Pflicht, diese aufzuarbeiten und für die Zukunft vorzubeugen. Im Rahmen dessen überwacht der Datenschutzbeauftragte die Vorgaben zum datenschutzkonformen Arbeiten.

Eine in der Praxis häufig gesehene Maßnahme ist die Durchführung von Datenschutz-Schulungen. Diese obliegen grundsätzlich dem Verantwortlichen, werden in der Praxis aber häufig von dem Datenschutzbeauftragten und/oder seinen Mitarbeitern durchgeführt. Dabei werden Datenschutz-Schulungen für Mitarbeiter in einem Abstand von einem bis zwei Jahren empfohlen.

Eine weitere Aufgabe des Datenschutzbeauftragten ist die Mitwirkung bei der Datenschutz-Folgenabschätzung. Gesetzlich ist dabei zwar nur eine beratende Funktion des Datenschutzbeauftragten vorgesehen. Die Pflicht zur Durchführung der Datenschutz-Folgenabschätzung verbleibt beim Verantwortlichen. Insoweit muss es im Einzelfall entschieden werden, ob Datenschutz-Folgenabschätzungen mit Hilfe von externem Rechtsbeistand oder durch inhouse-Ressourcen durchgeführt werden.

Darüber hinaus hat der Datenschutzbeauftragte auf Anfrage des Verantwortlichen hin seinen inhaltlichen Rat zu geben. Dieser ist für den Verantwortlichen jedoch nicht bindend. Dabei ist aber zumindest die Anhörung des Datenschutzbeauftragten im Rahmen der Datenschutz-Folgenabschätzung für den Verantwortlichen verpflichtend. Ein Verstoß kann mit einem Bußgeld geahndet werden.

2. Funktion im Verhältnis zur Aufsichtsbehörde

Im Verhältnis zur Aufsichtsbehörde ist der Datenschutzbeauftragte Anlaufstelle für die Aufsichtsbehörde bezüglich aller im Zusammenhang mit der Verarbeitung personenbezogener Daten stehenden Fragen. Dabei soll der Aufsichtsbehörde eine fachkundige, mit der Organisationsstruktur des Verantwortlichen betraute Person für eine effiziente Kommunikation zur Verfügung gestellt werden.

Der Datenschutzbeauftragte soll jedoch nicht „Hilfsorgan“ der Aufsichtsbehörde werden, sondern unterliegt vielmehr weiterhin der Treuepflicht gegenüber seinem Arbeit- bzw. Auftraggeber. Er tritt hier als Intermediär zwischen Verantwortlichem und der Aufsichtsbehörde auf. Um die vertrauensvolle Zusammenarbeit mit seinem Arbeit- bzw. Auftraggeber weiterhin zu ermöglichen, ist der Datenschutzbeauftragte auch nicht verpflichtet, der Aufsichtsbehörde Datenschutzverstöße zu melden. Insoweit kann nur eine Meldepflicht des Verantwortlichen selbst bestehen (vgl. Art. 33 DS-GVO).

3. Funktion als Anlaufstelle für betroffene Personen

Eine der in der Praxis wohl am häufigsten gefragten Funktion des Datenschutzbeauftragten liegt darin, Ansprechpartner für die von der Datenverarbeitung betroffenen Personen zu sein. Betroffene Personen können hier sowohl Beschäftigte als auch Dritte, wie z.B. Kunden des Unternehmens sein. Der Datenschutzbeauftragte steht insoweit als Ansprechpartner zur Verfügung und fungiert als interner Organisator für die Beantwortung der Betroffenenanfragen.

II. Ausreichende Ausstattung des Datenschutzbeauftragten

Der Datenschutzbeauftragte muss zur Erfüllung seiner Aufgaben mit ausreichenden Ressourcen ausgestattet werden (Art. 38 Abs. 2 DS-GVO). Hiervon umfasst sind beispielsweise geeignete Räumlichkeiten, Mitarbeiter, Software, Fachliteratur und Kommunikationsmittel. Ferner müssen ihm entsprechende Rechte eingeräumt werden, sodass er seinen Pflichten auch tatsächlich nachkommen kann. Insbesondere muss dem Datenschutzbeauftragten Zugang zu allen personenbezogenen Daten und Verarbeitungsvorgängen gewährt werden (Art. 38 Abs. 2 DS-GVO). Der Umfang der erforderlichen Ausstattung hängt dabei jeweils vom Einzelfall ab. Auch hier gilt der risikobasierte Ansatz.

III. Begrenzung der Aufgaben

Darüber hinaus stellt sich die Frage, ob die Aufgaben des Datenschutzbeauftragten auch beschränkt beziehungsweise durch eine schuldrechtliche Vereinbarung reduziert werden können.

Wie bereits oben aufgezeigt, sind die Aufgaben des Datenschutzbeauftragten gesetzlich normiert. Diese stellen Mindestaufgaben dar, von denen der Datenschutzbeauftragte nicht durch eine schuldrechtliche Vereinbarung befreit werden kann. Bei einem externen Datenschutzbeauftragten sollte daher darauf geachtet werden, ob das vertraglich vereinbarte Leistungsspektrum diesen Anforderungen gerecht wird. Auch hierbei kommt es – aufgrund des risikobasierten Ansatzes – im Einzelfall darauf an, welche Leistungen in jedem Fall erbracht und daher beauftragt werden sollten. Die Verantwortung für die Auswahl und ordnungsgemäße Beauftragung liegt dabei beim Verantwortlichen.

Gestaltungsfreiraum besteht sodann jedoch hinsichtlich der Aufgaben, die über die Mindestaufgaben der DS-GVO hinausgehen. 

IV. Fazit

Das Aufgabenspektrum eines Datenschutzbeauftragten ist breit gestreut. Der Fokus sollte darauf liegen, die gesetzlich vorgesehenen Aufgaben zu erfüllen. Darüber hinausgehende Aufgaben können frei vereinbart werden. In jedem Fall ist sicherzustellen, dass dem Datenschutzbeauftragten die zur ordnungsgemäßen Erfüllung seiner Aufgaben entsprechenden Ressourcen zur Verfügung stehen.

Im kommenden und letzten Teil unserer Beitragsreihe „Der Datenschutzbeauftragte in der Praxis“ werden wir uns mit der Haftung des Datenschutzbeauftragten bei Nicht- oder Schlechterfüllung seiner Aufgaben beschäftigen.