Datenschutzbeauftragter

Ein Datenschutzbeauftragter – Was macht der eigentlich?

Ein Datenschutzbeauftragter – Was macht der eigentlich?

„Datenschutzbeauftragter, das kann doch jeder machen!“

Ist an dieser Aussage etwas Wahres dran? Darf wirklich jeder ein Datenschutzbeauftragter sein oder gehört da doch etwas mehr dazu? Was macht ein Datenschutzbeauftragter überhaupt?
Der Datenschutzbeauftragte – seit Zeiten der DSVO vermutlich ein Beruf, dessen Bekanntheit in der Bevölkerung sich in kurzer Zeit enorm vergrößert hat. Doch immer noch scheint unklar zu sein, welche Aufgaben der Datenschutzbeauftragte überhaupt übernehmen und über welches Wissen er verfügen sollte.

In der gelebten Praxis hat eine Vielzahl an Unternehmen einen internen Datenschutzbeauftragten bestellt. Hierbei handelt es sich häufig um den unternehmensinternen IT-Spezialisten, den Hausjuristen oder eine anderweitige Person, welche eben noch Kapazitäten frei hatte.
Die „Beförderung“ kam erfahrungsgemäß bei vielen nicht allzu gut an, da neben der eigentlichen Arbeit nun noch ein weiterer Haufen Aufgaben zu bewältigen waren in einer Materie, von der die meisten noch nie was gehört hatten.

Sowohl die IHK, als auch die DEKRA, der TÜV und einige Weitere bieten Schulungen zu dem Thema Datenschutz, interner Datenschutzbeauftragter und IT Sicherheit an. Zusätzlich kann man sich bei diesen Stellen durch einen zwei tägigen Workshop als Datenschutzbeauftragter zertifizieren lassen.

Fraglich ist aber, ob man durch zwei Schulungstage wirklich vollumfänglich in der Lage sein kann, alle im Unternehmen datenschutzrechtlich anfallenden Aufgaben zufriedenstellend zu bewältigen. Von dem enormen Arbeitsaufwand der auf diese Person zukommt, mal ganz abgesehen.

Doch was macht so ein Datenschutzbeauftragter überhaupt?

Laut Art. 39 DSGVO hat der Datenschutzbeauftragte folgende Aufgaben zu bewältigen:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO, sowie nach sonstigen Datenschutzvorschriften.
  • Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten. Darüber hinaus ist er zuständig für die Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und die diesbezüglichen Überprüfungen.
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung.
  • Zusammenarbeit mit der Aufsichtsbehörde.
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation und gegebenenfalls Beratung zu sonstigen Fragen.

Jetzt wissen wir zwar, was für Tätigkeiten das Gesetz für den Datenschutzbeauftragten vorsieht. Was aber bedeutet das nun für die Praxis?

Was GENAU macht ein Datenschutzbeauftragter?

Wird man von heute auf morgen Datenschutzbeauftragter eines Unternehmens, egal ob intern oder extern, muss man zunächst die komplexen Prozesse und Strukturen des Unternehmens erfassen, analysieren und dokumentieren. So einfach das hier jetzt klingt, ist es aber nicht. Diese Erfassung und Analyse können, je nach Größe des Unternehmens, einige Zeit in Anspruch nehmen.

Im zweiten Schritt müssen alle Prozesse, welche nicht den Standards der DSGVO entsprechen, angepasst und verbessert werden. Hierfür sind oft eine ganze Reihe an Datenschutzdokumenten notwendig, welche der Datenschutzbeauftragte zu erstellen hat. Manche dieser Dokumente findet man sicherlich einfach und kostenlos im Internet. Andere hingegen müssen allerdings sehr individuell ausgestaltet werden. Ein Copy Paste aus dem World Wide Web wird in diesem Fall nicht möglich sein.

An dieser Stelle wird vermutlich zum ersten Mal deutlich, dass vielleicht nicht jeder ein Datenschutzbeauftragter werden kann. Um solche Dokumente zu erstellen, wird eine hohe Fachkenntnis im Datenschutz und der IT-Sicherheit vorausgesetzt.

Neben den individuellen Prozessen muss jedes Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten, eine TOM-Dokumentation, AV-Verträge, Vertraulichkeitsvereinbarungen und eine ganze Reihe weiterer Dokumente erstellen, um den Anforderungen der DSGVO gerecht zu werden. Was diese ganzen datenschutzrechtlichen Begriffe genau bedeuten, werden wir nach und nach in unseren Blogbeiträgen veröffentlichen. Für die Erstellung solcher Dokumente, bedarf es wieder einer guten Fachkenntnis. Die im Internet kursierenden Muster müssen dem Individualfall angepasst werden. Alternativ ist die eigenständige Erstellung von Dokumenten natürlich immer zu bevorzugen.

Aber nicht nur die Dokumentation ist ausschlaggebend. Die Mitarbeiter des Unternehmens müssen fachkundig geschult und die dort erlangte Kenntnis auch überprüft werden. Darüber hinaus sollte der Datenschutzbeauftragte adäquat bei Datenschutzverletzungen handeln. Er muss in der Lage sein zu entscheiden, ob die Datenpanne der Behörde oder den Betroffenen zu melden ist.

Zusätzlich ist der Datenschutzbeauftragte dafür verantwortlich, dem Unternehmen stets mit Rat und Tat zur Seite zu stehen. Das gilt bei allen Fragen Rund um den Datenschutz, aber auch der damit zum Teil verbundenen IT-Sicherheit. Hierbei kann es sich um grundlegende Fragen handeln, aber auch sehr spezielle, einzelfallabhängige Rechtsfragen können hierdurch entstehen. Diese wird ein Laie vermutlich nur mit langer Recherche und viel Zeitaufwand beantworten können.

Fazit…

Zusammenfassend lässt sich wohl sagen, dass mit viel Zeit, verschiedenen Schulungen und Motivation, unabhängig vom beruflichen Hintergrund vermutlich viele verschiedene Personen den Beruf des Datenschutzbeauftragten übernehmen könnten. Es gibt aber Berufsgruppen wie Wirtschaftsjuristen, Juristen, Wirtschaftsinformatiker und Informatiker, welche hierfür einfach prädestiniert sind und denen die Einarbeitung mit Sicherheit etwas leichter fällt. Jedes Unternehmen sollte sich daher überlegen, ob sie viel Zeit, Geld und Geduld in Mitarbeiter investieren möchten, die den Datenschutz intern übernehmen sollen, oder ob Sie sich entweder intern oder externen einen Experten zu Rate ziehen.

Christoph Renk
Christoph Rank
Senior Consultant Datenschutz & Compliance