+49 (0) 3546 934 74 42 post@krisensicher-werden.de

Über die Qualität von Datenschutzbeauftragten

09.08.2021 | Datenschutz

Wissen Sie, was ein Datenschutzbeauftragter alles machen kann – und was er machen muss? Um die DSGVO umzusetzen, haben sich viele Unternehmen einen externen Datenschutzbeauftragten ins Haus geholt. Einige Unternehmen sind dazu sogar gesetzlich verpflichtet. Hier erfahren Sie, wie man die Qualität eines Datenschutzbeauftragten einschätzen kann – vor und nach der Benennung.

Wie beurteile ich die Qualität meines Datenschutzbeauftragten? 

Seitdem die Datenschutzgrundverordnung (DSGVO) gilt, ist der Markt für externe Datenschutzbeauftragte (DSB) explodiert. Wenn man dazu verpflichtet ist, einen Datenschutzbeauftragten zu benennen, und dies nicht tut, drohen hohe Bußgelder. Das hat in vielen Fällen dazu geführt, dass möglichst schnell ein DSB benannt wurde.

Die Vertraulichkeit und Sicherheit der eigenen Geschäftsdaten stärken das Vertrauen der Kunden und die eigene Wettbewerbsfähigkeit. Wer die Prozesse richtig analysiert und optimiert, kann also zweifach profitieren. Unter der Anleitung eines guten Datenschutzbeauftragten lassen sich solche Strategien umsetzen.

Aber woran erkennt man einen guten Datenschutzbeauftragten? Diese Frage versucht unser Blogbeitrag zu beantworten.

Wer muss einen DSB benennen?

Zu den Kriterien für die Benennung des DSB zählen folgende Merkmale: [1]

  1. Automatisierte Verarbeitung durch elektronische Geräte (PC, Smartphone, Tablet etc.)
  2. Mindestens 20 Personen (egal ob Voll- oder Teilzeit, Leiharbeiter, Praktikanten etc.) sind mit der Verarbeitung beschäftigt. Ausschlaggebend ist die „übliche personelle Größenordnung“, d.h. eine kurzfristige Überschreitung der Personengrenze bleibt unberücksichtigt.
  3. Ständige Verarbeitung. Je nach Bundesland interpretieren die Datenschutzaufsichtsbehörden „ständig“ als „schwerpunktmäßig“ oder „stetig“.

Was macht der DSB?

  • Der DSB informiert alle Beschäftigten, die personenbezogene Daten verarbeiten, über ihre datenschutzrechtlichen Pflichten.
  • Außerdem überwacht der DSB die fachliche und methodische Einhaltung des Datenschutzes, u.a. die Schulung der Mitarbeiter und die Zuweisung von Zuständigkeiten
  • Der Datenschutzbeauftragte arbeitet risikoorientiert.
  • Die Beratung erfolgt unmittelbar gegenüber der höchsten Managementebene.
  • Der DSB berät auf Anfrage zur Datenschutzfolgeabschätzung, arbeitet mit den Aufsichtsbehörden zusammen und ist die Anlaufstelle für Fragen von Behörden und Betroffenen.

Welche Voraussetzungen muss der DSB erfüllen?

Der Europäische Datenschutzausschuss beschreibt die Kompetenzfelder des DSB in den „Richtlinien zu Datenschutzbeauftragten“ [2] genauer. Die Kompetenzfelder des DSB lassen sich wie folgt zusammenfassen: [3]

  • Angemessene Berufserfahrung
  • Generelle und spezifische Fach- und Praxiskenntnis im Datenschutzrecht
  • Persönliche Qualifikation (z. B. Soft Skills)

Zu beachten ist, dass der DSB nicht durch eine andere Aufgabe in einem Interessenskonflikt stehen darf, aber grundsätzlich andere Aufgaben ausführen kann. Dieses Problem umgeht man mit einem externen DSB.

Die Umsetzungsverantwortung liegt zwar beim Verantwortlichen bzw. Auftragsverarbeiter, aber wenn der DSB die ihm unmittelbar übertragenen Aufgaben nicht erfüllen kann, kommt ggf. auch eine persönliche Haftung in Betracht [4]. Die Datenschutzkonferenz empfiehlt Datenschutzbeauftragten daher, eigenständig die Beratungs- und Überwachungsmaßnahmen zu dokumentieren, um die ordnungsgemäße Erfüllung der Aufgaben nachzuweisen.

Berufserfahrung und fachliche Kenntnisse

Die Anforderungen an die Berufserfahrung des DSB steigen, je komplexer die Datenverarbeitungen und je sensibler die Daten sind. Zur fachlichen Kenntnis des DSB müssen die Gesetze und Praktiken der DSGVO, des BDSG sowie spezieller anwendbarer Normen (z. B. im Arbeitsrecht) gehören. Dazu werden regelmäßige Weiterbildungen empfohlen. Weitere Faktoren sind Branchen- & Organisationswissen. Der DSB sollte die internen Prozesse kennen, insbesondere die IT-Systeme, die Informationssicherheit und die spezifischen Datenschutzanforderungen. (ebenda)

In der Praxis sollte also insbesondere ein externer Datenschutzbeauftragter in seiner beratenden Funktion ein Vorgehen definieren können. Hierfür gibt es Best-Practice-Vorgehensweisen, z. B. auf Basis internationaler Normen (siehe ISO 27701).

Persönliche Qualifikation

Im WP 243 wird außerdem auf die persönliche Qualifikation hingewiesen: Wichtig sind Integrität und ein ethisch moralischer Kompass. Der DSB muss als Ziel die Konformität mit der DSGVO haben und muss Geheimhaltung und Vertraulichkeit wahren (Art. 38 Abs. 5 DSGVO).

Worauf kann ich bei der Bestellung eines externen DSB achten?

1.      Verantwortlichkeiten im Vertrag festhalten

Neben der persönlichen Qualifikation, muss laut WP 243 der DSB mit der eigenen Stellung innerhalb der Organisation eine datenschutzorientierte Unternehmenskultur implementieren können. Bei der Bestellung eines externen DSB wird empfohlen, die Rollen, Verantwortlichkeiten und Befugnisse im Dienstleistungsvertrag festzuhalten, insbesondere den direkten Ansprechpartner und dessen Funktion.

 

2.      Kosten und Aufwand überprüfen

In der Praxis hilft es zu prüfen, ob der angebotene Aufwand des externen DSB im Verhältnis zu den Aufgaben steht. [5] Es reicht nicht aus, dass der DSB nur für die Benennung bezahlt wird. Wie oben beschrieben muss der DSB die Einhaltung der Vorschriften überwachen. Daraus ergibt sich, dass der DSB nicht nur eine Bereitstellungspauschale in Rechnung stellen kann, sondern z. B. Audits durchführen und die Ergebnisse an das höchste Management berichten muss.

Der DSB muss in der Ausübung der eigenen Tätigkeit frei sein, d. h. ohne Beeinflussung beraten und aus Eigeninitiative heraus handeln.[6] Die Abstellung von Abweichungen aus Audits muss durch den DSB selbst nachverfolgt werden. Auch der externe DSB darf nicht vollständig von einer Beauftragung abhängen. Hieraus ergibt sich argumentativ die Notwendigkeit, ein Mindest-Stundenkontingent im Dienstleistungsvertrag zu verankern.

 

3.      Angemessene Vertragslaufzeit festlegen

Der DSB darf wegen der eigenen Tätigkeit weder abberufen noch benachteiligt werden. Das wirkt sich u.a. auf die Vertragslaufzeit aus. Orientiert an der alten Rechtsprechung wird empfohlen, den internen DSB unbefristet zu verpflichten. Beim externen DSB sollten bei Erstverträgen 1 – 2 Jahr reichen, um die Eignung zu überprüfen, ansonsten werden 4 Jahre empfohlen.[7]

Zusammenfassung: Auf einem Blick

Der Datenschutzbeauftragte spielt eine wichtige Rolle für die Implementierung des Datenschutzes im Unternehmen.

Wichtige überprüfbare Kriterien für die Qualität des DSB sind:

  • die Berufserfahrung, z.B. bei der Durchführung von Audits, Zertifizierung als DSB
  • die Fachkenntnisse, neben der DSGVO und dem BDSG z.B. zur ISO 27001 und
  • ein grundlegendes Managementverständnis.

Insbesondere beim externen Datenschutzbeauftragten lassen sich diese Punkte leicht überprüfen. Hinterfragen Sie bitte unbedingt Ihnen unbekannte Gütesiegel! Auf einem neuen Markt gibt es immer auch schwarze Schafe.

Bei externen Datenschutzbeauftragten sollte zusätzlich im Dienstvertrag überprüft werden, ob der eingeplante Zeit- und Geldaufwand tatsächlich in Relation zu den anstehenden Aufgaben steht. Nicht zu vergessen ist der Anspruch auf Eigeninitiative. Wenn der externe DSB Sie fragt, was eigentlich seine Aufgaben sind, ist das kein gutes Zeichen…

[1] „Aus den aktuellen Berichten und Informationen der Aufsichtsbehörden (41): Die DSB-Benennungspflicht nach § 38 Abs. 1 BDSG“ Ausgewählt und kommentiert von P. Gola; RDV 2019 Heft 3 S. 131 ff

[2] „Guidelines on Data Protection Officers (‘DPOs’)“ – „WP 243“, letzte Änderung am 05.04.2017; S. 11 ff (Link: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_12.pdf )

[3] Vergleiche dazu auch: „Aus den aktuellen Berichten der Aufsichtsbehörden (37): Der DSB nach DS-GVO und neuem nationalem Datenschutzrecht“ Ausgewählt und kommentiert von Prof. Peter Gola, RDV 2019 Heft 5 S. 257 ff; verweist auf das WP 243

[4] https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_12.pdf

[5] Siehe Gola, RDV, Heft 4, S. 163

[6] Art. 38 Abs. 3 S. 1 DSGVO „[…] bei der Erfüllung seiner Aufgabe keine Anweisungen bezüglich der Ausübung dieser Aufgaben […]“

[7] https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/12/Praxisratgeber-LfDI-BW-Der-Beauftragte-fu%CC%88r-den-Datenschutz-Teil-II.pdf,  S. 15

Kontakt aufnehmen

11 + 4 =

Wir benutzen technisch notwendige Cookies um die Funktionsfähigkeit unserer Webseite zu gewährleisten und die Nutzerfreundlichkeit der Webseite zu verbessen. Klicken Sie auf den Button für mehr Informationen.
Weitere Informationen