Die Rolle des DPO in einem Unternehmen

Die Datenschutz-Grundverordnung 2016/679 (DSGVO) bietet einen auf Verantwortung basierenden Compliance-Rahmen für den Datenschutz in Europa. Sie erkennt den Datenschutzbeauftragten (DPO) als Schlüsselakteur im neuen Data-Governance-System an und legt Bedingungen für seine Ernennung, Position und Aufgaben fest.

DPOs sichern die Beachtung der DSGVO durch die Implementierung von Instrumenten zur Verantwortung (z. B. Datenschutz-Folgenabschätzungen oder Audits). Darüber hinaus fungieren sie als Vermittler zwischen relevanten Stakeholdern (Aufsichtsbehörden, betroffene Personen, Niederlassungen einer Organisation, etc.).

Erforderlichkeit eines DPO

Art. 37 Abs. 1 der DSGVO verlangt die Benennung eines Datenschutzbeauftragten grundsätzlich, wenn

- die Datenverarbeitung durch eine Behörde oder öffentliche Stelle erfolgt;
- die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in Verarbeitungsvorgängen besteht, die eine regelmäßige und systematische Überwachung von betroffenen Personen erfordern;
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Verarbeitung bestimmter besonders sensibler Datenkategorien besteht.

Auch falls ein Datenschutzbeauftragter nicht obligatorisch ist, kann seine freiwillige Benennung für Organisationen sinnvoll sein. Die Artikel-29-Datenschutzgruppe (WP29) befürwortet diese freiwilligen Bemühungen: die Ernennung eines DPO erleichtere die Einhaltung der Vorschriften und stelle einen Wettbewerbsvorteil für Unternehmen dar.

Aufgaben des DPO

Compliance

Der DPO ist verpflichtet, die Einhaltung der DSGVO zu überwachen. Hierfür kann er insbesondere

- Informationen zur Identifizierung von Verarbeitungsaktivitäten sammeln
- die Konformität der Verarbeitungstätigkeiten analysieren
- den Verantwortlichen oder Auftragsverarbeiter informieren und beraten.

Beratung zur Datenschutz-Folgenabschätzung 

Die DSGVO verlangt ausdrücklich, dass der für die Verarbeitung Verantwortliche bei einer Datenschutz-Folgenabschätzung den Rat des DPO einholen muss. Ist er mit dessen Empfehlung nicht einverstanden, sollte in der DSFA-Dokumentation schriftlich begründet werden, warum die Empfehlung nicht berücksichtigt wurde. 

Zusammenarbeit mit der Aufsichtsbehörde und als Kontaktstelle

Der DPO fungiert als „Vermittler“ für den Zugang der Aufsichtsbehörde zu den Dokumenten und Informationen zur Erfüllung ihrer Aufgaben. Dabei ist er zur Verschwiegenheit verpflichtet, was ihn aber nicht daran hindert, sich mit der Aufsichtsbehörde in Verbindung zu setzen und ihre Ansicht einzuholen. 

Aufzeichnungen
Obwohl die DSGVO den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter verpflichtet, ein Verzeichnis aller Kategorien der durchgeführten Verarbeitungstätigkeiten zu führen, erstellen DPOs in der Praxis häufig Inventare und führen Verzeichnisse der Verarbeitungsvorgänge. Diese Praxis wurde in vielen nationalen Rechtsvorschriften und in den für die Organe und Einrichtungen der EU geltenden Datenschutzvorschriften eingeführt. 

Position des DPO

Die DSGVO sieht vor, dass ein Datenschutzbeauftragter

- ordnungsgemäß und rechtzeitig in alle Angelegenheiten im Zusammenhang mit dem Schutz personenbezogener Daten einbezogen wird;
- mit den für die Erfüllung seiner Aufgaben und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen erforderlichen Ressourcen ausgestattet wird, um sein Fachwissen aufrechtzuerhalten;
- der obersten Führungsebene des Verantwortlichen oder des Auftragsverarbeiters direkt berichtet, jedoch bzgl. seiner Aufgaben nicht weisungsgebunden und damit in der Lage ist, seine Aufgaben selbstständig wahrzunehmen;
- andere Aufgaben oder Pflichten erfüllen darf, soweit diese Aufgaben nicht zu einem Interessenkonflikt führen;
- in Bezug auf betroffene Personen, die Aufsichtsbehörde und auch intern innerhalb der Organisation leicht zugänglich ist. Barrierefreiheit bedeutet, dass die Kontaktdaten der DPOs verfügbar sind (Postanschrift, spezielle Telefonnummer und/oder spezielle E-Mail-Adresse), dass die Kommunikation in einer Sprache erfolgt, die von den Aufsichtsbehörden und den betroffenen Personen verwendet wird.

Professionelle Voraussetzungen des DPO 

Der DPO wird auf der Grundlage seiner fachlichen Qualitäten und insbesondere seiner Fachkenntnisse des Datenschutzrechts und der Datenschutzpraxis ernannt.  Zu den relevanten Fähigkeiten und Fachkenntnissen gehören:

- Expertise in nationalen und europäischen Datenschutzgesetzen und -praktiken;
- Verständnis der durchgeführten Verarbeitungsvorgänge;
- Verständnis von Informationstechnologien und Datensicherheit;
- Branchen- und Organisationskenntnisse;
- Fähigkeit, eine Datenschutzkultur innerhalb des Unternehmens zu fördern.

Ein DPO muss kein Angestellter sein. STALFORT Legal. Tax. Audit. bietet diese Dienste gerne über einen internen zertifizierten DPO an.

-----------------------------------------------------------------------------------------------------------------

 

Kontakt und weitere Informationen:

STALFORT Legal. Tax. Audit.

Bukarest – Sibiu – Bistrița
Büro  Bukarest:
Tel.:       +40 – 21 – 301 03 53
Fax.:       +40 – 21 – 315 78 36
E-Mail:  bukarest@stalfort.ro
www.stalfort.ro