Stellung Datenschutzbeauftragter

Die Stellung als Datenschutzbeauftragter steht in direktem Zusammenhang mit seinen Aufgaben im Unternehmen.

Lesen Sie dazu auch den Artikel über die Aufgaben des Datenschutzbeauftragten.

Rechtlich ergibt sich die Stellung des Datenschutzbeauftragten aus Art. 38 DSGVO. Auch dieser Teil der DSGVO ist mit sechs Absätzen recht überschaubar. Aber auch hier ergibt sich dann vieles auf den zweiten Blick.

Wenn Sie den Artikel 38 der Datenschutz-Grundverordnung lesen, merken Sie vermutlich gleich, dass es gar nicht so sehr um die Stellung des Datenschutzbeauftragten geht. Der Gesetzestext dreht sich viel mehr um die Pflichten der Verantwortlichen. Es handelt sich um Vorgaben darüber, wie Sie als Verantwortliche Stelle den DSB einbinden und ihn dadurch bei seinen Aufgaben unterstützen können.

Einbinden des Datenschutzbeauftragten

Der Art. 38 Abs. 1 DSGVO gibt Ihnen als verantwortliche Stelle das „ordnungsgemäße und frühzeitige“ Einbinden des Datenschutzbeauftragten bei Fragen in Zusammenhang mit dem Schutz von personenbezogenen Daten vor.

In der Praxis bedeutet das für Sie: Beteiligen Sie den Datenschutzbeauftragten schon in der Planungsphase neuer Projekte. Einerseits beugen Sie damit möglichen Verstößen vor, andererseits müssen Sie hinterher nicht noch einmal von vorne anfangen wenn man aus Datenschutzsicht auf Ihr neues Projekt schaut.

Der Datenschutzbeauftragte kann also bereits vor Einführung

  • neuer Systeme
  • Anwendungen
  • Prozesse / Abläufe

überprüfen, welche Schritte notwendig sind und Ihnen die passenden Empfehlungen zur Einhaltung geben.

Der DSB prüft für Sie also die generelle Machbarkeit Ihrer Pläne aus Datenschutzsicht. Im Fokus steht dabei, ob die nötigen Voraussetzungen in ihrem Unternehmen vorliegen. Beachten wird er vor allem die Rahmenbedingungen. So kann er auch Ansprechpartner für externe Dienstleister oder Auftragsverarbeiter sein.

Wenn Sie etwas Neues im Unternehmen planen, sagen Sie Ihrem Datenschutzbeauftragten kurz bescheid. Gemeinsam stimmen Sie dann alles Weitere ab. Ein guter DSB sucht mit Ihnen nach Lösungen. Datenschutz richtig umgesetzt ist kein Hinderungsgrund.

Ressourcen und Zugang

In Art. 38 Art. Abs. 2 DSGVO geht es ähnlich wie in Abs. 1 um die Unterstützung des DSB durch die verantwortliche Stelle.

Es ist die Rede von „Ressourcen“. Gemeint ist damit die personelle Unterstützung wenn er beispielsweise Zugang zu den personenbezogenen Daten und Verarbeitungstätigkeiten benötigt. Ihr Datenschutzbeauftragter hat Datenschutz im Fokus. Viele Details und Abläufe kennen die Fachverantwortlichen einfach besser, so dass am Ende weniger Fragen offen bleiben.

Um ein Missverständnis von vornherein auszuräumen: Ein DSB braucht NICHT alle relevanten Passwörter. Es reicht völlig aus, wenn Sie die richtigen Ansprechpartner der jeweiligen Bereiche nennen und zur Zusammenarbeit verpflichten.

Ohne Zugänge und Details bleibt vieles auf der Strecke. Am Ende kommen vage Sätze mit „könnte“, „möglicherweise“, usw. heraus. Unkonkrete Aussagen und Annahmen nützen aber keinem.

Weisungsfreiheit

Der Verantwortliche erteilt dem Datenschutzbeauftragten keine Anweisungen bezogen auf die Ausübung seiner Tätigkeit. (Art. 38 Abs. 3 DSGVO)

Der Datenschutzbeauftragte arbeitet weisungsfrei, also ohne (An)Weisung durch die verantwortliche Stelle. Ergebnisse von Kontrollen können Sie dem Datenschutzbeauftragten nicht vorgeben (vgl. „beide Augen zudrücken“).

Das wäre völlig sinnlos, denn der Datenschutzbeauftragte gibt Ihnen eine Rückmeldung zum Stand der Umsetzung Ihrer datenschutzrechtlichen Pflichten. Selbst wenn ein Bericht besser wäre als die Realität, der Verstoß wäre damit weiterhin vorhanden.

Nicht weisungsbefugt

Weisungsfrei einerseits, andererseits erteilt der Datenschutzbeauftragte aber auch keine Weisungen, ist also nicht weisungsbefugt oder weisungsberechtigt.

Ein Datenschutzbeauftragter gibt Ihnen Handlungsempfehlungen mit denen Sie die gesetzlichen Anforderungen erfüllen können. Zu sagen hat er nichts. Es sind nur Ratschläge oder Vorschläge für eine datenschutzkonforme Umsetzung. Die Entscheidung für oder wieder liegt bei der verantwortlichen Stelle.

Verantwortung zur Umsetzung

Weisungsfrei einerseits, andererseits erteilt der Datenschutzbeauftragte aber auch keine Weisungen, ist also nicht weisungsbefugt oder weisungsberechtigt.

Ein Datenschutzbeauftragter gibt Ihnen Handlungsempfehlungen mit denen Sie die gesetzlichen Anforderungen erfüllen können. Zu sagen hat er nichts. Es sind nur Ratschläge oder Vorschläge für eine datenschutzkonforme Umsetzung. Die Entscheidung für oder wieder liegt bei der verantwortlichen Stelle.

Hauptansprechpartner des Datenschutzbeauftragten

Die Hauptansprechpartner des Datenschutzbeauftragten sind immer die Geschäftsführer der verantwortlichen Stelle. Das liegt daran, dass der DSB gegenüber der höchsten Managementebene des Verantwortlichen (Unternehmen) ein unmittelbares Berichtsrecht, aber auch die Berichtspflicht hat.

Ansprechpartner und Ratgeber

Der Datenschutzbeauftragte ist Ansprechpartner und Ratgeber für zwei unterschiedliche Gruppen. In Art. 38 Abs. 4 DSGVO heisst es dazu: „Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihre Rechte“ auf den Datenschutzbeauftragten zugehen und zu Rate ziehen.

Das bedeutet, der Datenschutzbeauftragte ist ein zentraler Ansprechpartner für die verantwortliche Stelle, aber auch für betroffene Personen. Das scheint sinnvoll, denn immer wenn es um die Verarbeitung von personenbezogenen Daten geht, kennt der DSB die relevanten Rechte und Pflichten.

Geheimhaltung oder Vertraulichkeit

Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit verpflichtet. Auch benuttz wird in diesem Zusammenhang der Begriff Verschwiegenheit.

Dies ergibt sich aus Art. 38 Abs. 5 DSGVO und bedeutet, dass der Datenschutzbeauftragte die Identitäten von Betroffenen und Details über Umstände, die Rückschlüsse auf Personen zulassen würden, nicht preisgeben darf.

Benachteiligungsverbot

Der Datenschutzbeauftragte darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Das betrifft wohl überwiegend angestellte interne

Datenschutzbeauftragte, denn ein externer Datenschutzbeauftragter ist Dienstleister und hat keinen Kündigungsschutz.

Datenschutzbeauftragter in Teilzeit

Ein Datenschutzbeauftragter darf auch andere Aufgaben und Pflichten als den Datenschutz wahrnehmen.

So kann ein Beschäftigter mit ausreichender Fachkunde auch in Teilzeit Datenschutzbeauftragter sein. Auch dieser Punkt betrifft wohl eher die internen Datenschutzbeauftragten.

Interessenkonflikte

Die Aufgaben und Pflichten des Datenschutzbeauftragten dürfen nicht zu einem Interessenkonflikt führen.

Ein Interessenkonflikt besteht immer dann, wenn gegensätzliche Interessen an einer Person „zerren“. Zum Beispiel ist das immer der Fall, wenn jemand seine eigene Arbeit unabhängig überprüfen soll.

interner oder externer Datenschutzbeauftragter

Es spielt keine Rolle, ob der Datenschutzbeauftragte intern oder extern benannt wird. Die Stellung des Datenschutzbeauftragten inklusive seiner Aufgaben und Pflichten bleiben immer die gleichen.

Ein externer Datenschutzbeauftragter hat weniger andere Aufgaben oder Interessenkonflikte, unterliegt nicht dem Benachteiligungsverbot (Kündigungsschutz).

Kündigungsschutz interner Datenschutzbeauftragter

Der Kündigungsschutz interner Datenschutzbeauftragter gilt nur bei einer verpflichtenden Benennung des DSB. Siehe hierzu auch § 38 Abs. 2 BDSG i.V.m. § 6 Abs. 4 Satz 2 BDSG.

Der Kündigungsschutz gilt auch nachgelagert, also noch ein Jahr nach Beendigung der Tätigkeit als DSB. Außerordentliche Kündigungen sind hiervon ausgenommen.

Stellung Datenschutzbeauftragter zusammengefasst

Ein Datenschutzbeauftragter braucht Unterstützung durch die verantwortliche Stelle. Dazu sind Einbindung, Zugang und der Kontakt zu den Beschäftigten notwendig. Das ganze weisungsfrei, aber ohne Weisungsbefugnis. Der Datenschutzbeauftragter ist Ansprechpartner für Betroffene und gibt der Unternehmensleitung eine Rückmeldung zu Stand und Umsetzungsgrad der Datenschutzanforderungen. In einem Organigramm hängt der DSB direkt an der Unternehmensleitung.