Was macht eigentlich ein Datenschutzbeauftragter und kann das jeder machen?

Benjamin Schulz Datenschutz, Governance

Was macht eigentlich ein Datenschutzbeauftragter und kann das jeder machen?

Eine ordentliche Berufsausbildung zum Datenschutzbeauftragten existiert nicht, auch keine qualifizierten Studiengänge. Es gibt lediglich Weiterbildungskurse auf verschiedenen Niveaus. Kann daher jeder im Unternehmen Datenschutzbeauftragter werden? Prinzipiell ja. Aber: Es existieren sehr wohl fachkundliche Anforderungen an das Berufsbild, die man einhalten sollte.

Spätesten mit dem Inkrafttreten der DSGVO am 25. März 2018 war die Verwirrung komplett. Besonders kleinere oder mittelständische Unternehmen, die keine eigene Rechtsabteilung unterhalten, waren oder sind sich (immer noch) nicht sicher, ob sie überhaupt einen Datenschutzbeauftragten brauchen – ab 10 Köpfen ja! –, welcher Mitarbeiter fachlich (und rechtlich) dafür in Frage kommt und überhaupt: Soll es ein interner oder externer Datenschutzbeauftragter sein? Oder gar beides?

Beides geht natürlich auch. Abgesehen davon, hat ein Datenschutzbeauftragter drei Hauptaufgaben unbedingt wahrzunehmen – ob in- oder extern spielt dabei keine Rolle. Ein externer Datenschutzbeauftragter kann parallel zum internen eingesetzt werden. Er übernimmt dann die Rolle eines Coaches gegenüber dem internen Datenschutzbeauftragten, der die gesamte Verantwortung trägt. Wenn es einen externen Datenschutzbeauftragten gibt, steht dieser in der Verantwortung, seinen drei Kernaufgaben nach bestem Wissen und Gewissen nachzukommen.

Aller guten Dinge sind drei?

Die Pflichtaufgaben eines Datenschutzbeauftragten nach der DSGVO umfassen:

1. Seine internen Aufgaben im Unternehmen
2. Seine Funktionen im Verhältnis zur Aufsichtsbehörde
3. Seine Funktion als Anlaufstelle für betroffene Personen

Das bedarf einer ausführlichen Erklärung, da sich hinter diesen Aufgaben – zumindest teilweise – regelrechte Kataloge an Verpflichtungen und Regularien verbergen. Hinsichtlich der internen Aufgaben im Unternehmen vermeidet die DSGVO zwar einen umfassenden Aufgabenkatalog, legt aber wiederum drei interne Betätigungsfelder fest.

Unterrichtung und Beratung
Dazu gehört die Beratung der Geschäftsführung und der in ihrem Auftrag verarbeitenden Mitarbeiter – auch bei aufkommenden Fragen oder Problemen.

Überwachung der Einhaltung von Vorgaben
Die Vorgaben der DSGVO sind nicht unbedingt mit wenig Arbeit verbunden: unternehmensinterne Strategien für den Schutz personenbezogener Daten müssen eingehalten, die Verarbeitung personenbezogener Daten bis ins Detail geregelt und Mitarbeiter entsprechend sensibilisiert, oder wenn nötig geschult werden.

Datenschutz beschränkt sich nicht nur auf die IT, sondern auch auf jeden, mit personenbezogenen Daten beschrifteten Zettel. Quelle: unsplash.com

Sonderproblem: Datenschutz-Folgenabschätzung
Dabei handelt es sich um eine interne Aufgabe, die der Datenschutzbeauftragte nur auf Anfrage – von jedem im Unternehmen, der personenbezogene Daten verarbeitet – wahrnehmen muss. Die Formulierung „auf Anfrage“ bedeutet nicht, dass der Verantwortliche, also der Datenverarbeitende, den Datenschutzbeauftragten bei der Datenschutz-Folgenabschätzung außen vorlassen dürfte. Vielmehr verpflichtet ihn die DSGVO ausdrücklich, bei der Durchführung einer Datenschutz-Folgenabschätzung den „Rat des Datenschutzbeauftragten” einzuholen und ihn „ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen“ einzubinden.

Ansprechpartner für Betroffene

Relativ stark betont die DSGVO die Funktion des Datenschutzbeauftragten als Anlaufstelle für Betroffene. Diese genießen das Recht, den Datenschutzbeauftragten zu allen Fragen „zu Rate zu ziehen“, die mit „der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte“ gemäß der DSGVO im Zusammenhang stehen.

Der Begriff „zu Rate ziehen“ sollte dabei nicht überinterpretiert werden. Er führt nicht dazu, dass der Datenschutzbeauftragte zu einer Art „Beratungsbüro für Betroffene“ wird. In allen Sprachen werden die wortgetreuen Formulieren üblicherweise mit „Verbindung aufnehmen“ oder „sich wenden an“ übersetzt – eine eher schlichte Interpretation.

Vielmehr ist der Datenschutzbeauftragte der erste – und oft auch einzige – Ansprechpartner in Sachen Datenschutz für die Betroffenen. Er leitet die Anfrage dann weiter. So erledigt er einen Antrag auf Datenlöschung nicht selbst, sondern veranlasst das Nötige.

Daraus folgt: Der Verantwortliche bzw. der Auftragsverarbeiter muss die „Kontaktdaten des Datenschutzbeauftragten“ veröffentlichen. Notwendig sind eine Postanschrift, ferner eine eigene Telefonnummer und eine spezielle E-Mail-Adresse. Nicht ausreichend wäre es also, etwa eine allgemeine Telefonnummer im Unternehmen anzugeben und dem Betroffenen zuzumuten, sich von dort aus weiter verbinden zu lassen.

ITler sind selten Juristen – Juristen selten ITler

So weit so gut, aber reicht für all das eine dreitägige Schulung? Und überhaupt: Soll der Datenschutzbeauftragte eher Jurist – dafür spräche die Fähigkeit die juristischen Feinheiten korrekt zu interpretieren – oder eher ITler sein, der die rein technischen Belange besser managen kann?

Die Antwort liegt auf der Hand: DSGVO-konformer Datenschutz verlangt vom Datenschutzbeauftragten natürlich beides: technische Kompetenz und juristisches Know-How. So bringt der externe Spezialist das Fachwissen mit, muss aber nicht extra geschult werden und kann i.d.R. auf einen Erfahrungsschatz zurückgreifen, den der interne nicht erlangen kann. Außerdem unterliegt der externe nicht dem Kündigungsschutz des BDSG (neu).

Das ist der Grund, warum das Thema „externer Datenschutzbeauftragter” so viral ist. Googelt man etwa „Datenschutzbeauftragter”, so taucht bei 5 von 10 Treffern das Wörtchen „extern” mit auf. Und tatsächlich sind viele Unternehmen auf eine externe Unterstützung angewiesen. Eine Rechtsanwaltskanzlei kann logischerweise nur die juristischen Aspekte abdecken. Ein IT-Beratungsunternehmen kann die technischen Belange adressieren. Arbeiten sie zusammen geht natürlich beides. Schließlich beschränkt sich der Datenschutz nicht nur auf IT, sondern auch auf jeden, mit personenbezogenen Daten beschrifteten Zettel.

Für Unternehmen bedeutet das schlussendlich: Ihr Datenschutzbeauftragter muss technische und juristische Herausforderungen meistern. Ob er das unter Zuhilfenahme eines fachkundigen Beraters tut, ist eine Frage, die – sofern vorhanden – mit der eigenen IT-, Rechtsabteilung und Geschäftsführung geklärt sein will.


Autor: Redaktion InterFace AG
Bildquelle: Shutterstock
Veröffentlicht: 20. September 2018

THEMENPORTAL DATENSCHUTZ

Erfahren Sie hier mehr über das Thema Datenschutz, die neue EU-Datenschutzgrundverordnung
und die Leistungen der InterFace AG im Kontext DSGVO.