Kategorien
Neueste Beiträge
Prüfung der Datenschutzbeauftragten durch die Datenschutzaufsichtsbehörden
Der Europäische Datenschutzausschuss (kurz: EDSA) führte 2023 eine Umfrage bei einer Auswahl von Verantwortlichen in der EU (Europäischen Union) durch, um die Erfüllung der gesetzlichen Pflicht zur Benennung von unabhängigen und qualifizierten Datenschutzbeauftragten zu überprüfen. Das durchwachsene Ergebnis veröffentliche der EDSA am 16.01.2024. Was der EDSA im Zuge dieser Umfrage an Ergebnissen erhielt, können Sie detailliert hier nachlesen. Eine Auswahl der Ergebnisse der Prüfung der Datenschutzbeauftragten durch die Datenschutzaufsichtsbehörden erläutern wir in zusammengefasster Form in diesem Beitrag.
Wir möchten darauf hinweisen, dass die folgenden Angaben auf der Menge der durch die Datenschutzaufsichtsbehörden ausgewählten Einrichtungen beruhen. Das heißt, die Ergebnisse könnten anders ausfallen, würde man alle Verantwortlichen der EU befragen.
Anzahl der kontaktierten Organisationen bzw. Datenschutzbeauftragten
Mehrere Tausend Einrichtungen oder ggf. deren Datenschutzbeauftragte kontaktierten die Datenschutzaufsichtsbehörden der verschiedenen EU-Mitgliedsstaaten in ihren jeweiligen Ländern.
Themen und Ergebnisse
Die Datenschutzaufsichtsbehörden der EU-Länder richteten sich an die Verantwortlichen mit verschiedenen Fragen, u. a. mit den folgenden (nicht wortwörtlich übernommen/übersetzt):
Gründe für die Benennung eines Datenschutzbeauftragten
In den meisten Ländern, wie z. B. Dänemark, Ungarn, Finnland, Schweden, Frankreich, benannten Verantwortliche einen Datenschutzbeauftragten, da sie dem öffentlichen Sektor angehören. In Ländern wie Italien, Zypern, Malta, Österreich und Litauen beruht die Benennung eines Datenschutzbeauftragten auf der Ausübung der hauptsächlichen Verarbeitung personenbezogener Daten aufgrund einer regelmäßigen und systematischen Überwachung von betroffenen Personen in großer Anzahl. Des Weiteren gibt es Datenschutzbeauftragte in Unternehmen, da Verantwortliche von einer großen Menge an personenbezogenen Daten und/oder personenbezogenen Daten in Verbindung mit kriminellen Straftaten oder sonstigen Verstößen verarbeiten, aufgrund einer Vorgabe des jeweiligen Landes oder aus anderen Gründen (beispielsweise auf freiwilliger Basis).
Erfahrung der Datenschutzbeauftragten in Jahren
Gemäß der Umfrage hat ungefähr die Hälfte der benannten Datenschutzbeauftragten mehr als fünf Jahre Erfahrung als Datenschutzbeauftragte, die wenigsten (unter 4 %) weniger als ein Jahr.
Kein Datenschutzbeauftragter trotz Benennungspflicht
Die Mehrheit der angeschriebenen Organisationen hat einen Datenschutzbeauftragten benannt. Dennoch gab eine kleine Zahl (12 von 15.108 befragten Einrichtungen) zu, trotz der Pflicht, einen Datenschutzbeauftragten benennen zu müssen, keinen zu haben. – Wann ein Datenschutzbeauftragter, u. a. speziell in Deutschland, zu benennen ist, erläutern wir hier. – Begründungen lagen u. a. darin, dass der vorherige Datenschutzbeauftragte nicht mehr beim Unternehmen arbeitet und die jeweilige Einrichtung keinen Ersatz finden konnte oder diese Aufgabe ausgelagert werden soll, je nach Notwendigkeit einer Benennung.
Verfügbare Zeit für Ausübung der Tätigkeit des Datenschutzbeauftragten
Bei der Zeit, die den Datenschutzbeauftragten zur Ausübung ihrer Tätigkeit zur Verfügung steht, gibt es Unterschiede zwischen dem öffentlichen und dem privaten Sektor: Das Zeitkontingent für die Aufgaben eines Datenschutzbeauftragten wurde im öffentlichen Sektor bei 61,3 % und im privaten bei 33,3 % der gesamten Arbeitszeit von den Aufsichtsbehörden als zu niedrig empfunden.
Die Zahlen der Vollzeitdatenschutzbeauftragten dagegen variieren. Slovenien hat mit 8,3 % die wenigsten und Schweden mit 83,3 % die meisten Vollzeitdatenschutzbeauftragten. Die gemäß der Umfrage maximale Zeit, die ein Vollzeitdatenschutzbeauftragter dann allerdings tatsächlich für seine Aufgaben als Datenschutzbeauftragter aufbringen kann, liegt bei 35,4 %. Die befragten Organisationen in Österreich und Litauen empfinden dies als völlig ausreichend, um die Pflichten eines Datenschutzbeauftragte zu erfüllen.
Einbindung des Datenschutzbeauftragten
Die Zahl der Organisationen, die den Datenschutzbeauftragten tatsächlich auch einbeziehen, liegt bei einem Durchschnitt von 22,5 %. Letztendlich befolgen aber nur 53,9 % die Meinung des Datenschutzbeauftragten. Davon dokumentieren bis zu 36 % der Verantwortlichen immer, weshalb sie der Beratung des Datenschutzbeauftragten nicht folgen.
Interessenskonflikte
Wie die Umfrage zeigt, sind insgesamt nur 45,8 % der Datenschutzbeauftragten in Vollzeit als Datenschutzbeauftragte tätig. Aufgrund der anderen Aufgaben in den jeweiligen Einrichtungen scheint es in vielen Unternehmen Interessenskonflikte zwischen den Aufgaben als Datenschutzbeauftragte und ihren anderen Aufgaben zu geben. Demnach sind die Datenschutzbeauftragten u. a. in leitenden (durchschnittlich 20 %; CFO, CEO, Abteilungsleiter) oder in sonstigen Positionen, in denen sie zur Verarbeitung personenbezogener Daten Entscheidungen treffen (durchschnittlich 17 %). – Auf dieses Thema gehen wir in diesem Beitrag genauer ein. –
Fazit
Bereits die in diesem Beitrag genannten Ergebnisse zeigen, dass auch bei der Benennung eines Datenschutzbeauftragten weiterhin Unklarheiten seitens der Verantwortlichen bestehen: So entstehen mitunter bei der Benennung eines internen Datenschutzbeauftragten unzulässige und vermeidbare Interessenskonflikte. Aufgrund von anderen Aufgaben in der Einrichtung kann ein interner Datenschutzbeauftragter eventuell auch seinen Pflichten gemäß der DSGVO nicht vollends nachgehen. In manchen Fällen fehlt einem internen Datenschutzbeauftragten die notwendige Erfahrung, rechts- und sonstige Fachkunde und der Austausch mit anderen Datenschutzspezialisten und -beratern, um effektiv beraten zu können. Dann gibt es aber auch Verantwortliche, die der DSGVO eventuell nicht die Wichtigkeit zuordnen, die sie eigentlich verlangt.
Gern bieten wir Ihnen eine Lösung an: die Benennung einer unserer Datenschutzbeauftragten als ihren externen Datenschutzbeauftragten. – Die Vorteile eines externen Datenschutzbeauftragten zeigen wir übrigens in diesem Beitrag auf. – Kontaktieren Sie uns gern für ein unverbindliches Angebot.
