Prüfung der Datenschutzbeauftragten durch Datenschutzaufsichten

Die europäischen Datenschutzaufsichtsbehörden haben Mitte März 2023 die Prüfung der Datenschutzbeauftragten durch Datenschutzaufsichten verkündet (Link führt zu einem in Englisch geschriebenen Beitrag).

Prüfschwerpunkte

Von den deutschen Behörden gab das Bayerische Landesamt für Datenschutzaufsicht am 15.03.2023 eine Pressemitteilung (Link) heraus. In dieser teilte die Behörde mit, dass die Prüfschwerpunkte u. a. in folgenden Bereichen liegen werden:

Stellung des betrieblichen Datenschutzbeauftragten

Sie werden die Position des betrieblichen Datenschutzbeauftragten beim Verantwortlichen prüfen. Dabei zielen die Behörden darauf ab, zu prüfen, dass der betriebliche Datenschutzbeauftragte seinen Pflichten nachkommen kann, unmittelbar der höchsten Leitungsebene des Verantwortlichen zu berichten. – Hier gehen wir auf die Pflichten eines Datenschutzbeauftragten ein. – Zur Einschätzung hierbei planen die Behörden, sich Organigramme und die jährlichen Tätigkeitsberichte der Datenschutzbeauftragten anzusehen.

Zusatzfunktionen und Interessenkonflikte

Im Zuge dessen werden die Aufsichtsbehörden betrachten, welche Aufgaben ein betrieblicher Datenschutzbeauftragter in der jeweiligen Einrichtung hat. Dabei wird es für sie interessant sein, zu beurteilen, wie unabhängig der Datenschutzbeauftragte seine Tätigkeit von seinen sonstigen Aufgaben durchführen kann. Der Grund ist, dass hier ein möglicher Interessenkonflikt bestehen kann, den es zu vermeiden gilt. – Mehr zum Thema von Interessenkonflikten bei Datenschutzbeauftragten erfahren Sie hier. –

Qualifikation

Hier wird es dazu kommen, dass die Behörden kontrollieren, inwiefern ein betrieblicher Datenschutzbeauftragter das notwendige Wissen besitzt, um einen Verantwortlichen bei der Erfüllung seiner Pflichten gemäß der DSGVO zu beraten, zu unterstützen und bei der Umsetzung mitzuwirken. Dabei wird es auch von Interesse sein, sicherzustellen, dass dem betrieblichen Datenschutzbeauftragten die benötigten Ressourcen gegeben werden, um sein Wissen auf dem aktuellsten Stand zu halten. Das kann bedeuten, dass der Datenschutzbeauftragte regelmäßig an Weiterbildungskursen/-seminaren teilnehmen kann. Zusätzlich sollte ihm die Möglichkeit gegeben werden, sich über die neuesten Entwicklungen im Datenschutz und in der Datensicherheit auf dem Laufenden zu halten. Das zieht nach sich, dass er einen Blick auf u. a. Gerichtsurteile und Stellungnahmen der Datenschutzaufsichts- und IT-Sicherheitsbehörden hat. Gleichzeitig kann es dann auch hilfreich sein, sich mit anderen Personen, die sich mit dem Datenschutz auseinandersetzen, auszutauschen.

Zeitliche Ressourcen

In der Stellungnahme des Bayerischen Landesamtes für Datenschutzaufsicht wird die Ressourcenausstattung genannt. Dies kann sich natürlich auf die oben genannten Möglichkeiten des Fachwissenserhalts beziehen, aber auch auf die zeitlichen Ressourcen.

Die Umsetzung des Datenschutzes in einer Einrichtung nimmt Zeit in Anspruch: Es muss eine Leitlinie und Richtlinien geben. Datenschutzinformationen sind zu erstellen. Es muss ein Verzeichnis von Verarbeitungstätigkeiten geben; dies muss ein Verantwortlicher auf dem aktuellsten Stand halten. Etwaige Einwilligungserklärungen sind einzuholen. Datenschutzvereinbarungen sind möglicherweise mit externen Dienstleistern abzuschließen.  Vertraulichkeitsverpflichtungen müssen unterschrieben werden. Auftragsverarbeitungsverträge nach Art. 28 Abs. 3 DSGVO oder Verträge zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO sind eventuell zu prüfen, zu erstellen und abzuschließen. Die Dokumentation der ergriffenen technischen und organisatorischen Maßnahmen muss ebenfalls erstellt werden. Es muss Prozesse dazu geben, wie sich die Mitarbeiter im Fall eines (möglichen) Datenschutzvorfalles oder bei einer Betroffenenanfrage zu verhalten haben bzw. an wen notwendige Informationen weiterzuleiten sind. Diese Aufzählung von Dokumenten muss nicht vollständig sein. Je nach den jeweiligen Verarbeitungstätigkeiten, könne aus Sicht des Datenschutzes weitere Dokumente zu erstellen sein.

Bis ein Dokument für einen bestimmten Zeitpunkt als vollständig und vorerst aktuell gelten kann, wird es einiger Korrespondenz zwischen dem betrieblichen Datenschutzbeauftragten und den jeweiligen Abteilungen oder Dienstleistern bedürfen. Die Geschäftsführung muss sich die Dokumente ansehen, um sie dann freizugeben.

All diese Tätigkeiten eines Datenschutzbeauftragten vereinnahmen Zeit. Diese muss der Arbeitgeber ihm geben.

Fazit

Die Prüfungen der Datenschutzaufsichtsbehörden zeigen, wie wichtig es ist, nicht nur formal einen Datenschutzbeauftragten zu benennen. Damit einhergehen gehen Pflichten des Verantwortlichen, dem Datenschutzbeauftragten zu ermöglichen, seine Aufgaben als solcher zu erfüllen. – Dies schließt auch ein, dass der Datenschutzbeauftragte unvoreingenommen, unabhängig und unbeeinflusst arbeiten kann. – Dabei gibt es übrigens die Möglichkeit, einige dieser Probleme zu umgehen, indem man einen externen Datenschutzbeauftragten benennt. Dazu haben wir mehr in diesem Beitrag geschrieben. –

Falls Sie nun entweder Unterstützung und Beratung zum Datenschutz und/oder einen externen Datenschutzbeauftragten benennen möchten, kommen Sie auf uns zu. Wir erstellen gern ein unverbindliches Angebot für Sie.