Die DSGVO verpflichtet viele Unternehmen, einen Datenschutzbeauftragten (DSB) zu ernennen. Diese Verpflichtung kann für Verantwortliche und Verarbeiter gelten. Im Allgemeinen gilt sie für alle Behörden oder Einrichtungen (mit Ausnahme von Gerichten, die in ihrer Eigenschaft als Richter handeln) und für Einrichtungen, welche die personenbezogenen Daten im Rahmen der üblichen Verfahren verarbeiten. Die DSGVO sieht ausdrücklich vor, dass der DSB von den Verantwortlichen/Verarbeiter benannt werden muss, deren Haupttätigkeiten aus Verarbeitung besteht,
- die eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordert oder
- spezielle Datenkategorien und Daten im Zusammenhang mit strafrechtlichen Verurteilungen in großem Umfang
Der DSB kann ein Mitarbeiter des Verantwortlichen/Verarbeiters sein (interner DSB) oder seine Aufgaben auf Grundlage eines mit einer Person oder einem Unternehmen abgeschlossenen Dienstleistungsvertrages erfüllen (externer DSB). Der Verantwortliche/Verarbeiter sollte je nach Größe seines Unternehmens, seiner Datenverarbeitungsaktivitäten und dem verfügbaren Budget zwischen einem internen und externen DSB wählen.
Die DSGVO regelt nicht ausdrücklich die Form, in welcher der DSB bestellt werden muss. Eine schriftliche Benennung ist daher nicht zwingend erforderlich, wird aber dringend empfohlen. Dennoch muss der Verantwortliche/Verarbeiter die Kontaktdaten des DSB veröffentlichen (z.B. auf der Website des Unternehmens) und der Aufsichtsbehörde mitteilen. Es ist erforderlich, da der DSB das Bindeglied zwischen dem Verantwortlichen und den betroffenen Personen (innerhalb und außerhalb des Unternehmens) sowie der Aufsichtsbehörde ist.
In Übereinstimmung mit Art. 37(5) DSGVO, ist der DSB auf Grundlage seiner/s
(1) fachlichen Eigenschaften,
(2) Expertenwissens über Datenschutzgesetze und
(3) Fähigkeit zur Erfüllung gesetzlichen Aufgaben
zu benennen.
Die DSGVO klärt nicht weiter, was genau mit diesen Kriterien gemeint ist. Die WP29 gab jedoch einige diesbezügliche Leitlinien heraus, die unter https///:ec.europa.eu/newsroom/document.cfm?doc_id=43823 verfügbar sind.
Gemäß den Richtlinien der WP29 muss der DSB ein (nationaler und EU-weiter) Datenschutzrechtsexperte mit umfassenden Kenntnissen der DSGVO sein. Obwohl ein solider juristischer Hintergrund erforderlich ist, umfassen die Aufgaben des DSB auch viele nicht-juristische Elemente. Von besonderer Bedeutung ist ein ausgeprägtes technisches Verständnis, um IT-Probleme und Risiken im Zusammenhang mit der Nutzung dieser Systeme richtig einzuschätzen. Darüber hinaus sind gute Kenntnisse der Landessprache für die Kommunikation mit der Aufsichtsbehörde und den betroffenen Personen von wesentlicher Bedeutung.
Unabhängig davon, ob die Benennung eines DSB obligatorisch oder freiwillig ist, formuliert Art. 38 (1-3) DSGVO einige Garantien, um sicherzustellen, dass der DSB in der Lage ist, seine Aufgaben angemessen zu erfüllen. Zu diesen Garantien gehören
- rechtzeitige Einbeziehung des DSB
- Unterstützung bei der Erfüllung der gesetzlichen Aufgaben des DSB
- Unabhängigkeit des DSB
Aufgaben
Die Hauptaufgaben des DSB sind in Art. 39 DSGVO aufgelistet und beinhalten:
- Informieren und Beraten des Unternehmens und der verarbeitenden Mitarbeiter über ihre Datenschutzverpflichtungen
- Überwachung der Einhaltung der Datenschutzgesetze und der Datenschutzrichtlinien des Unternehmens (einschließlich der Zuweisung von Verantwortlichkeiten, der Sensibilisierung und Schulung des an der Verarbeitung beteiligten Personals und der damit verbundenen Audits)
- Beratung bei der DSFA auf Anfrage und Überwachung ihrer Leistung
- Kontaktstelle und Zusammenarbeit mit der Aufsichtsbehörde in Fragen der Verarbeitung, einschließlich der vorherigen Konsultation
- Anlaufstelle für die betroffenen Personen
DSBs dürfen auch an anderen Aufgaben beteiligt sein, sofern sie nicht zu einem Interessenkonflikt führen.
Haftung
Der DSB haftet aufgrund seiner Rolle als Berater nicht persönlich für die Nichteinhaltung der DSGVO. Vielmehr liegt es in der Verantwortung des Verantwortlichen/Verarbeiters, die Datenschutzbestimmungen ordnungsgemäß zu erfüllen (Art. 24 Abs. 1 DSGVO).
Es ist jedoch zu beachten, dass die MS die persönliche Haftung des DSB in ihren nationalen Rechtsvorschriften vorsehen können.
Der DSB bleibt jedoch in seinem Verantwortungsbereich haftbar. Folglich kann es für den Verantwortlichen/Verarbeiter möglich sein, eine Entschädigung zu erhalten, wenn der DSB gegen seine Verpflichtungen verstößt.