Wie finde ich den passenden Datenschutzbeauftragten?

Ab Mai nächsten Jahres gilt ein neues Datenschutzrecht, wonach manche Datenverarbeiter Datenschutzbeauftragte („DSB“, auch als DPO bekannt) bestellen müssen. Dieser Artikel bezweckt nicht die Beantwortung der Frage, wann dies erforderlich ist. Vielmehr soll er Unternehmen bei der Suche nach einem DSB behilflich sein. Unabhängig davon, zu welcher Schlussfolgerung ein Unternehmen hinsichtlich der Erforderlichkeit des DSB kommt, sei erwähnt, dass die Gründe für diese Entscheidung gut dokumentiert werden sollten, da diese u. U. (z. B. vor der Datenschutzbehörde) dargelegt werden müssen.

Voraussetzungen um
DSB zu werden

Der Verantwortliche (somit das Unternehmen) haftet für den DSB, muss also sicherstellen, dass sein DSB den Anforderungen entspricht und seine Aufgaben ordnungsgemäß erfüllen kann. Unvorbereitete oder unerfahrene DSB bedeuten ein erhöhtes Risiko für die Tätigkeit des Unternehmens.

Die DSGVO sieht lediglich vor, der DSB werde aufgrund „seiner beruflichen Qualifikation und insbesondere des Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie auf Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben“ benannt. Was dies eigentlich bedeutet, ist nicht abschließend geregelt.

Somit muss der DSB eine Palette von Mindestkenntnissen zu
• Datenschutzrecht,
• IT und Cybersecurity,
• den internen Abläufen im Unternehmen und
• der Branche, in der das Unternehmen tätig ist,
aufweisen.

Die relativ wenigen Personen, die sich vor der Veröffentlichung der DSGVO hiermit befasst haben, konnten zwar Erfahrung sammeln; das lokale Know-How zum Datenschutz dürfte im Vergleich zu Kollegen aus anderen europäischen Ländern (wie Deutschland, Österreich, UK) jedoch relativ beschränkt sein, zumal dieser Bereich in Rumänien von (lokalen) Unternehmen bisher doch kaum als Priorität betrachtet wurde.

Vor diesem Hintergrund sollten sich die Fragen hinsichtlich des geeigneten DSB eher auf dessen Aufgaben beziehen.

Die Hauptaufgaben des DSB in einem Unternehmen sind:

• Beratung im Datenschutz und Überwachung der Einhaltung der DSGVO

Hierfür benötigt der DSB Zugang zu allen Informationen und Vorgängen im Unternehmen. Er muss diese analysieren und eventuelle Risiken feststellen sowie Vorschläge zur Risikominimierung unterbreiten (z. B. die Löschung nicht erforderlicher persönlicher Daten, eingeschränkter Zugang zu Informationen, Pseudonymisierung persönlicher Daten etc.). Weiterhin muss er die Einhaltung der internen Abläufe und Vorschläge prüfen.

• Datenschutz-Folgenabschätzung

Das Unternehmen muss fernerii eine Datenschutz-Folgenabschätzung durchführen, falls „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat“. Hierfür muss es den DSB (falls bestellt) zurate ziehen.

Die WP 29 (ein unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes) empfiehlt, dass der DSB diesbezüglich zu folgenden Themen Stellung nehmen soll:
– ob eine Datenschutz-Folgenabschätzung vorgenommen werden soll,
– wie diese erfolgen soll (mit eigenen Mitarbeitern oder extern),
– die zu treffenden Sicherheitsvorkehrungen,
– Ordnungsmäßigkeit der Datenschutz-Folgenabschätzung,
– Empfehlungen etc.
Die Nichteinhaltung der Empfehlungen des DSB muss das Unternehmen schriftlich begründen.

• Zusammenarbeit mit der Aufsichtsbehörde

Der DSB ist die Anlaufstelle für die Aufsichtsbehörde. Er stellt ihr im Laufe von Untersuchungen alle angeforderten Informationen zur Verfügung und kann die Behörde auffordern, zu bestimmten Themen Stellung zu nehmen. Es ist wichtig, dass der DSB eine bestimmte Nähe zum Unternehmen hat und gleichzeitig zum Krisenmanagement geeignet ist (z. B. Untersuchungen der Aufsichtsbehörde, Sicherheitsvorfälle).

• Sonstiges

Fallbezogen kann der DSB auch zusätzliche Aufgaben erfüllen, wie z. B. die Führung des Registers der Verarbeitungsvorgänge. Obwohl dies eigentlich Aufgabe des Verantwortlichen ist, kann sie aufgrund der Nähe zur Tätigkeit des DSB von diesem übernommen werden.

Fazit

Der Datenschutzbeauftragte muss eine Vertrauensperson für das Unternehmen sein, da er es hinsichtlich der Einhaltung der Rechte und Freiheiten von natürlichen Personen unterstützt. Hauptmotivation sollte dabei nicht die Höhe der Geldbußen, sondern vielmehr die Konformität mit geltendem Recht und der Schutz der Privatsphäre sein. Besonders wichtig ist die Zusammenarbeit zwischen DSB und den unterschiedlichen Abteilungen im Unternehmen.

 

Mit Inkrafttreten der EU- Datenschutzgrundverordnung. („DSGVO“). Vgl. hierzu unsere bisherigen Beiträge und unsere umfassende Artikelserie zum Datenschutz unter www.stalfort.ro gemäß Art. 35 der DSGVO

 

--------------------------------------------------------------------------------------------------
Kontakt und weitere
Informationen:

STALFORT Legal. Tax. Audit.

Bukarest – Sibiu – Bistrița
Büro Bukarest:
Tel.:       +40 – 21 – 301 03 53
Fax.        +40 – 21 – 315 78 36
E-Mail:  bukarest@stalfort.ro