Die Arbeit eines DSB

In Deutschland muss ergänzend zu Art. 37 DSGVO gemäß § 38 BDSG in der Regel ein Datenschutzbeauftragter (m, w, d) benannt werden, wenn in einer Firma oder in einem Verein (nicht in einer Behörde!) mindestens 20 Beschäftigte automatisiert personenbezogene Daten verarbeiten. Es gibt jedoch Ausnahmen wie Adresshändler oder Organisationen der Markt- und Meinungsforschung, die unabhängig von der Anzahl ihrer Beschäftigten zwingend eine oder einen DSB benennen müssen. Behörden (außer Gerichte) benötigen immer einen DSB.

Die Benennung erfolgt auf der Grundlage der beruflichen Qualifikation und des Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis. Der DSB kann aus der Organisation kommen oder als externer DSB benannt werden. Die Kontaktdaten (nicht den Namen!) muss der Verantwortlicher (Geschäftsführung, Vorstand etc.) veröffentlichen und der Datenschutzbehörde mitteilen.

Doch nun zu den Aufgaben eines DSB, also auch meinen Aufgaben als DSB.

Die zwingend zugewiesenen Aufgaben des Datenschutzbeauftragten sind vornehmlich im ersten Absatz des Art. 39 DSGVO geregelt. Allerdings sind die dort aufgeführten Begriffe wie Unterrichtung, Beratung oder Überwachung für viele Verantwortliche (das sind die Leitungsorgane von Firmen, Vereinen und Behörden) zu vage beschrieben, so dass ich hier etwas tiefer einsteigen möchte.

Gemäß Art. 39 Abs. 1 Buchst. a DSGVO muss ich als DSB sowohl die Stelle, die mich benannt hat, als auch die Belegschaft über deren datenschutzrechtlichen Pflichten unterrichten und beraten. Der Umfang zur Beratung erstreckt sich über das gesamte Datenschutzrecht. Wenn ich als DSB bestimmte Themen nicht selbst bearbeiten kann, muss ich die Expertise dafür hinzuziehen. Der DSB ist für sämtliche Verarbeitungen personenbezogener Daten einer Organisation zuständig. Die Unterrichtung und Beratung der benennenden Stelle, das sind zum Beispiel Geschäftsführungen oder Vorstände, verläuft unmittelbar zu den Berichten an die oberste Leitungsebene. Zudem muss ich frühzeitig in alle Aktivitäten, in denen personenbezogene Daten verarbeitet werden, frühzeitig eingebunden sein.

Die Unterrichtung und Beratung der Belegschaften ist nicht gleichzusetzen mit der Schulung der Mitarbeiter. Letztere muss von den Verantwortlichen durchgeführt werde; ich als DSB kontrolliere lediglich die datenschutzkonforme Durchführung. Da allerdings Unterrichtung und Schulung nicht immer leicht zu trennen sind, stelle ich als DSB durchaus auch in ausgewählten Fällen tiefer gehende Informationen zur Verfügung.

Weiter geht es mit dem Buchstaben c im Art. 39 Abs. 1 DSGVO. Hier ist festgelegt, dass ich auf Anfrage des Verantwortlichen im Rahmen meiner Beratungs- und Überwachungsaufgaben bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) den Verantwortlichen beraten und überwachen muss. Die Anfrage übrigens muss der Verantwortliche gemäß Art. 35 Abs. 2 zwingend bei seinem DSB einholen. Selber durchführen darf der DSB die DSFA nicht, denn dann wäre die Überwachung nicht mehr sinnvoll durchzuführen (siehe dazu auch den Abschnitt auf dieser Seite oben über Unterrichtung und Beratung).

Ich bin als DSB nicht nur für die Überwachung sämtlicher datenschutzrechtlichen Verpflichtungen gefordert, sondern muss auch die Maßnahmen überwachen, die über den gesetzlichen Mindeststandard hinausgehen, zum Beispiel wenn sie von einer Datenschutzaufsicht veranlasst werden. In der Regel ist der DSB aus Sicht der Aufsicht der erste Ansprechpartner in allen Fragen des Datenschutzrechts. Das bedeutet, dass der DSB direkt mit der Aufsicht kommuniziert und nicht über den Umweg über die Leitungsorgane. Der Datenschutzbeauftragte hat eine aktive Pflicht zur Zusammenarbeit. Insoweit darf der DSB auch nicht im Auftrag des Verantwortlichen mal schnell die kritisierten Vorgänge beheben. Allerdings ist er nicht verpflichtet, von sich aus Verstöße gegen das Datenschutzrecht zu melden. Vielmehr darf er sogar die Beratungsleistung der Behörde kostenlos in Anspruch nehmen.

Weitere Aufgaben ergeben sich aus dem Recht der betroffenen Personen, den Datenschutzbeauftragten einer Organisation zu Rate zu ziehen. Er muss dann evtl. Anfragen, Hinweisen und Beschwerden nachgehen, sie beantworten und die Betroffenen beraten. Entdeckte Mängel muss der DSB dann unmittelbar dem Verantwortlichen melden. Die bereits oben genannten Aufgaben (DSFA, Schulung, Strategien etc.) sind keine gesetzlichen Aufgaben des DSB, ebenso wenig wie das Führen des Verzeichnisses von Verarbeitungstätigkeiten. Diese kann er jedoch im Rahmen einer erweiterten Aufgabe übernehmen, da hier keine Entscheidungen über Datenverarbeitungen stattfinden, sondern lediglich Informationen behandelt werden.