Bestellung

Aufgaben des externen Datenschutzbeauftragten

Was sind die Aufgaben des externen Datenschutzbeauftragten?

Artikel 39 Absatz 1 DSGVO definiert die Aufgaben des Datenschutzbeauftragten. Daraus ergeben sich 1:1 die Aufgaben des externen Datenschutzbeauftragten, denn hier wird keine Unterscheidung zwischen intern und extern getroffen:

Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:

a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;

b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

c) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;

d) Zusammenarbeit mit der Aufsichtsbehörde;

e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Als externe Datenschutzbeauftragte kann und darf man durchaus noch etwas mehr an Aufgaben übernehmen

  • Pflege des Verzeichnisses von Verarbeitungstätigkeiten nach interner Zuarbeit
  • Kontinuierliche Schulung und Sensibilisierung Ihrer Mitarbeiter durch eLearning, Webinare, Vor-Ort-Schulungen, Mitarbeiterzeitung, Newsletter und vieles mehr
  • Prüfung von Vereinbarungen mit externen Dienstleistern nach Art. 28 DSGVO Auftragsverarbeitung
  • Prüfen und Überwachen der technischen und organisatorischen Maßnahmen Ihrer externen Dienstleister nach Art. 28 + 32 DSGVO
  • und noch so einiges mehr

Was ein Datenschutzbeauftragter nicht leisten kann?

Leider immer noch viel zu oft ist eine etwas irrationale Erwartungshaltung anzutreffen. Mit der Benennung eines (externen) Datenschutzbeauftragten ist eine Organisation mitnichten von den Verpflichtungen aus der DSGVO für die Organisation und die damit verbundenen Tätigkeiten, Aufgaben und Zuarbeiten befreit. Es sind nach wie vor alle Organisationsebenen gefordert, aktiv das Thema Datenschutz zu gestalten und dem Datenschutzbeauftragten zuzuarbeiten. Wenn Sie sich die Aufstellung der Aufgaben des Datenschutzbeauftragten aus Art. 39 DSGVO zu Beginn dieses Beitrags noch mal in Erinnerung rufen, sind dessen Beratungs-, Kontroll- und Überprüfungsaufgaben konkret definiert. Bei dieser Aufzählung fehlt zu Recht der Begriff „Umsetzen“. Datenschutz wird durch alle Mitarbeiter einer Organisation „umgesetzt“ bzw. gelebt. Der Datenschutzbeauftragte wirkt auf die rechtskonforme Datenverarbeitung in der Organisation hin, u.a. durch Beratung, und überprüft diese im Rahmen seiner Kontroll- und Überwachungsfunktion.

Interesse an einem externen Datenschutzbeauftragten geweckt?

Sie benötigen einen (externen) Datenschutzbeauftragten? Dann nutzen Sie unsere langjährige Erfahrung und das Know How als externe Datenschutzbeauftragte für zahlreiche unterschiedliche Organisationen zum Schutz Ihres Unternehmens. Sprechen Sie uns an.

Interessenskonflikte bei Datenschutzbeauftragten vermeiden

Rechtslage: Vermeidung von Interessenskonflikten bei einem Datenschutzbeauftragten vorgeschrieben

Bereits im Anwendungsrahmen des alten BDSG (vor Mai 2018) galt es, Interessenskonflikte eines Datenschutzbeauftragten bei der Ausübung seiner Tätigkeit zu vermeiden. Art. 38 Abs. 6 DSGVO (externer Link) regelt das seit Mai 2018 nicht anders:

„Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit von Baden-Württemberg, Dr. Stefan Brink hat dies in seinem 38. Tätigkeitsbericht 2018 (externer Link) ausführlicher beleuchtet. „Der Verantwortliche bzw. Auftragsverarbeiter hat allerdings dafür Sorge zu tragen, dass […] keine Unvereinbarkeiten bzw. Befangenheit vorliegen.“

Wer darf bzw. darf die Funktion des Datenschutzbeauftragten in einem Unternehmen oder einer Behörde ausüben?

In Anbetracht der weiten Prüf- und Kontrollpflichten eines Datenschutzbeauftragten, zieht Brink hier eine deutliche Grenze:

„Für eine korrekte Erfüllung der Aufgaben des DSB ist vielmehr eine weitestgehende Distanz gegenüber der zu kontrollierenden Stelle unerlässlich, denn eine effektive Kontrolle ist dann zu bezweifeln, wenn der Kontrolleur sich selbst kontrollieren muss.“

Das mit der zu kontrollierenden Stelle die Organisation (Unternehmen, Behörde, Verein) gemeint ist, welche den Datenschutzbeauftragten zu bestellen hat, liegt auf der Hand. Generell soll der DSB keine andere Funktion ausüben, in der er oder sie über die Zwecke oder Mittel der Verarbeitung personenbezogener Daten selbst zu entscheiden hat. Doch was bedeutet das nun konkret (Seiten 28-30 des TB), wer scheidet für die Ausübung des Datenschutzbeauftragten generell aus:

  1. Leitungs-, Chef- und Inhaberebene: Inhaber, Leiter, Partner, Vorstand, Geschäftsführer, Mitglied der Geschäftsleitung, Manager, Bürgermeister, Landrat oder anderweitig berufene Leitung der Organisation
  2. Nachgeordnete Positionen mit Führungsaufgaben und Entscheidungskompetenz über die Festlegung von Zwecken und Mitteln der Datenverarbeitung (IT): IT-Leiter, Leiter des operativen Geschäftsbereichs, Leiter Marketing, Leiter Personal, Betriebsleiter, Amts- bzw- Geschäftsleiter, aber durchaus auch nachgelagerte Funktionen, wenn diese ähnliche Interessenskonflikte mit sich bringen
  3. Bereiche mit hohem Verarbeitungsumfang: Mitarbeiter aus dem Personal-, Vertriebs- oder Marketingbereich
  4. Beauftragte: Geheimschutzbeauftragte, Geldwäschebeauftragte

Bei der Prüfung auf mögliche Interessenskonflikte sind auch familiäre Verhältnisse zu berücksichtigen. So kann bei zu engen familiären Beziehungen zwischen Organisationsleitung bzw. Inhaber und dem zu bestellenden Datenschutzbeauftragten die notwendige Unabhängigkeit nach Art. 38 Abs. 3 DSGVO nicht mehr gewährleistet sein. Das gilt übrigens unabhängig davon, ob der oder die Verwandte bei der bestellenden Organisation beschäftigt ist oder nicht.

Dann bestellen wir doch einfach einen externen Datenschutzbeauftragten, der hat keine Interessenskonflikte

Vom Ansatz her gut, aber auch hier gilt es, vorhandene Interessenskonflikte zu vermeiden. So ist lt. Brink der genutzte IT-Dienstleister ebenfalls befangen und sollte daher nicht als externer Datenschutzbeauftragter bestellt werden. Das gilt auch für den Fall, dass der Dienstleister für die IT-Betreuung und den Datenschutz zwei unterschiedliche Mitarbeiter einsetzt. Sollte der externe Datenschutzbeauftragte die Organisation in datenschutzrechtlichen Sachen vor Gericht vertreten, ist ebenfalls ein Interessenskonflikt anzunehmen.

Durch unsere Fokussierung auf die beiden Themen Datenschutz und Informationssicherheit sind wir bei Ausübung der Funktion des externen Datenschutzbeauftragten frei von Interessenskonflikten. Wir sind in keinen anderen Bereichen für Sie tätig und bestimmen weiterhin nicht über Zweck und Mittel zur Verarbeitung personenbezogener Daten in Ihrer Organisation. Sprechen Sie uns an (interner Link).

 

 

Externer behördlicher Datenschutzbeauftragter (Bayerische Kommunen)

DIE EU-DSGVO macht es möglich – der externe Datenschutzbeauftragte für bayerische Kommunen

Die EU-Datenschutzgrundverordnung (EU-DSGVO) macht es für bayerische Kommunen möglich, was in anderen Bundesländern schon länger geübte Praxis ist: Die Bestellung eines externen behördlichen Datenschutzbeauftragten. Sah das Bayerische Landesdatenschutzgesetz (BayDSG) bisher eine externe Bestellmöglichkeit eines Datenschutzbeauftragten für bayerische Kommunaleinrichtungen nicht vor, so ändert sich dies zum 25.05.2018 einheitlich. Ab diesem Zeitpunkt können und dürfen bayerische Kommunen endlich einen externen Datenschutzbeauftragten zum behördlichen Datenschutzbeauftragten bestellen.

Entlastung für kleinere Kommunen

Gerade kleinere Kommunen haben sich mit der Bestellung eines Datenschutzbeauftragten stets schwer getan. Neben den vielfältigen Aufgaben einer Verwaltung und den nicht gerade üppig vorhandenen Personalressourcen war meist wenig „Luft“ für die Bestellung eines internen Datenschutzbeauftragten. Und selbst wenn es zu einer internen Bestellung kam, so wurde die Funktion nicht selten mit wenig bis keinem Leben erfüllt. Hinzu kamen gravierende Nachteile eines mit wenig Zeit und Ressourcen ausgestatteten internen Datenschutzbeauftragten. Nämlich der viel zu geringe zeitliche Spielraum zur Ausübung der Tätigkeit, das fehlende Know-How (meist keine Ausbildung zum DSB vorhanden) und damit einhergehend die fehlende Übung im Umgang mit den alltäglichen Datenschutzfragen.

Doch mit der EU-DSGVO kommt Entlastung und Unterstützung für bayerische Kommunen. Ab dem 25.05.2018 können diese nun einen Datenschutzbeauftragten auch extern bestellen.

Vorteile der externen Bestellung eines Datenschutzbeauftragten für bayerische Kommunen

Die Vorteile eines externen Datenschutzbeauftragten für Kommunen liegen klar auf der Hand

  • Transparenz in Zeit und Kosten
  • Stets aktuelles Know-How durch Grundausbildung, Fort- und Weiterbildung des externen Datenschutzbeauftragten (nicht zu Lasten der Kommune)
  • Sofort im Thema: Der externe Datenschutzbeauftragte kennt sich mit Theorie und Praxis im Datenschutzrecht und Datenschutzalltag bestens aus und kann sofort loslegen
  • Gemeinsame Bestellung möglich: Mehrere Kommunen im Landkreis können sich im Rahmen der Interkommunalen Zusammenarbeit zeit und Kosten für einen externen Datenschutzbeauftragten teilen

Übergangslösung durch externe Beratung zum 25.05.2018

Nichts ist schlimmer, als nichts zu tun. Daher empfehlen wir, nicht bis zum 25.05.2018 abzuwarten. Holen Sie bereits heute einen versierten Datenschutzberater an Bord, der Ihre Kommune fit für den Datenschutz und die Anforderungen der EU-Datenschutzgrundverordnung macht. Damit legen Sie erfolgreich den Grundstein für die erfolgreiche Tätigkeit des externen Datenschutzbeauftragten für (bayerische) Kommunen ab dem 25.05.2018.

Die externen Datenschutzbeauftragten von a.s.k. Datenschutz für bayerische Kommunen

Speziell für bayerische Kommunen stehen die ausgebildeten Berater und späteren externen Datenschutzbeauftragten von a.s.k. Datenschutz bereit. Mit dem Thema Datenschutz zumeist bereits seit Jahren befasst, haben unsere Mitarbeiter die Datenschutz-Kurse der Bayerischen Verwaltungsschule (BVS) erfolgreich absolviert oder sich in anderen geeigneten Maßnahmen für den Einsatz in öffentlichen und nicht-öffentlichen Stellen qualifiziert. Zusätzlich sind unsere Mitarbeiter zertifizierte Informationssicherheitsbeauftragte (BVS) und können Ihren Bezirk, Ihr  Landratsamt, Ihre Stadt oder Ihre Gemeinde vollumfänglich unterstützen. Sollten Sie einen externen Informationssicherheitsbeauftragten für bayerische Kommunen benötigen, stehen wir Ihnen damit ebenfalls zur Verfügung.

Angebot für einen externen behördlichen Datenschutzbeauftragten für bayerische Kommunen anfordern

Sie wünschen ein Angebot für einen externen behördlichen Datenschutzbeauftragten für Ihre Kommune? Nutzen Sie einfach das Formular aus unserem Flyer (Download am Ende des Beitrags) oder schreiben Sie uns eine Email.

[wpfilebase tag=file path=’flyer/1703ask_Flyer_Ext_DSB_DIN-A4_DD.pdf‘ /]

Datenschutzbeauftragter darf keinen Interessenkonflikten unterliegen

Bayerisches Unternehmen kassiert Bußgeld, weil IT-Manager gleichzeitig als Datenschutzbeauftragter bestellt war.

„Eine derart exponierte Position im Hinblick auf die Datenverarbeitungsprozesse im Unternehmen ist in aller Regel unvereinbar mit den Aufgaben eines Datenschutzbeauftragten“, so das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach.

Wer muss einen Datenschutzbeauftragten bestellen?

Unternehmen und auch Vereine müssen einen Datenschutzbeauftragten (DSB) bestellen, wenn bei ihnen mindestens zehn Personen („mehr als neun“, so das Bundesdatenschutzgesetz) mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Dabei ist es unerheblich, a) ob es sich dabei um interne oder externe personenbezogene Daten handelt und b) mit welchem Zeitanteil die Personen beschäftigt sind (Vollzeit, Teilzeit, Aushilfe etc.). Es zählt hier alleine die Zahl der „Köpfe“.

Zahlreiche Unternehmen und Vereine erfüllen diese Voraussetzungen. Das Gesetz stellt es dabei frei, ob die Funktion des Datenschutzbeauftragten an eine externe Person vergeben wird („externer Datenschutzbeauftragter“) oder aber durch einen Mitarbeiter („interner Datenschutzbeauftragter“) erfüllt wird. Je nach Bundesland schreiben die Landesdatenschutzgesetze einen Datenschutzbeauftragten ebenfalls für Behörden und kommunale Einrichtungen (sog. öffentliche Stellen) verpflichtend vor. In einigen Bundesländern besteht bereits heute die Möglichkeit einer externen Bestellung des behördlichen Datenschutzbeauftragten. Mit der EU-Datenschutzgrundverordnung (EU-DSGVO) wird die Bestellpflicht für öffentliche Stellen vereinheitlicht. Ebenso soll dann eine generelle Möglichkeit der externen Bestellung für Behörden / Kommunen gegeben sein.

Wann ist von einem Interessenskonflikt auszugehen?

Wird ein Mitarbeiter zum Datenschutzbeauftragten bestellt, so darf er jedoch daneben nicht zusätzlich / weiterhin für solche Aufgaben zuständig sein, welche die Gefahr von Interessenskonflikten mit seiner Funktion als Datenschutzbeauftragter mit sich bringen können. Der Gesetzgeber verlangt hier salopp, nicht „den Bock zum Gärtner zu machen“. Ähnlich hat dies auch die EU-Datenschutzrichtlinie (Art. 18) gefordert, völlige Unabhängigkeit des DSB in seiner Funktion als Kontrollinstanz. Mit Artikel 38 und 39 der EU-DSGVO wird dies in 2018 keine Änderung erfahren.

In einschlägigen Kommentaren zum Bundesdatenschutzgesetz (z.B. Gola / Schomerus) wird explizit darauf verwiesen, dass sich hieraus bestimmte Funktionen für die Tätigkeit des Datenschutzbeauftragten von vornherein ausschließen. Dazu zählen auf jeden Fall

  • Inhaber, Vorstand, Geschäftsführer (ausnahmslos),
  • Leiter der IT,
  • Personalleiter,
  • Vertriebsleiter (zumindest im Direktvertrieb).

Für alle anderen Funktionen ist zu prüfen, ob ein Interessenskonflikt ausgeschlossen werden kann und auch keine weiteren Beeinträchtigungen für die Ausübung der Funktion des Datenschutzbeauftragten bestehen. So ist es nicht unbedingt zielführend, einen IT-Mitarbeiter zum Datenschutzbeauftragten zu bestellen, wenn der Konflikt mit dem Vorgesetzten – dem IT-Leiter – bereits vorprogrammiert ist und der IT-Mitarbeiter seine zusätzliche Aufgabe als DSB z.B. aus Angst vor Repressalien nicht ausüben kann / wird.

Wie kam es jetzt zu diesem Bußgeld aufgrund eines Interessenskonflikts?

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) berichtet in seiner Pressmitteilung davon, dass im Rahmen der Überprüfung eines bayerischen Unternehmens die Bestellung des IT-Leiters zum internen Datenschutzbeauftragten festgestellt wurde. Dies liefe nach Meinung der Behörde „letztlich auf eine Datenschutzkontrolle eines der maßgeblichen zu kontrollierenden Funktionsträger im Unternehmen durch sich selbst hinaus“. Aus Sicht der Behörde (und der einschlägigen Rechtskommentare) widerspricht dies der Funktion des Datenschutzbeauftragten, als unabhängige Instanz im Unternehmen auf die Einhaltung des Datenschutzes hinzuwirken (eine der Kernaufgaben des DSB).

Nachdem das Landesamt das Unternehmen mehrfach über Monate aufgefordert hat, eine Bestellung ohne Interessenskonflikt herbeizuführen und dies seitens des Unternehmens zugesagt, jedoch nicht umgesetzt wurde, verhängte die Behörde ein Bußgeld. Die Geldbuße ist mittlerweile bestandskräftig.

„Der betriebliche Datenschutzbeauftragte ist ein Erfolgsmodell und ein sehr wichtiges Element der Datenschutzorganisation in Deutschland. Die Funktion des Datenschutzbeauftragten kann aber nicht durch eine Person wahrgenommen werden, die daneben im Unternehmen noch Aufgaben innehat, die in einem Spannungsverhältnis mit einer unabhängigen, effektiven internen Aufsicht über den Datenschutz stehen. Unternehmen, die gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, können daher nur eine solche Person zum Datenschutzbeauftragten bestellen, die in der Lage ist, diese Aufgabe frei von sachfremden Zwängen auszuüben. Und wenn sie das trotz wiederholter Aufforderung nicht machen, müssen sie notfalls mit Bußgeld dazu gezwungen werden.“, betont Thomas Kranig, der Präsident des BayLDA.

Was können Sie als Unternehmen tun, um solches Bußgelder zu vermeiden?

Entweder Sie vermeiden solche Interessenskonflikte oder Sie greifen zu einer transparenten und kostengünstigen externen Bestellung des Datenschutzbeauftragten, wie sie beispielsweise a.s.k. Datenschutz anbietet. Ein Angebot erhalten Sie zeitnah mittels unserer Online-Anfrage.

Übrigens gilt das Thema Interessenskonflikt auch für behördliche Datenschutzbeauftragte!!

Quelle: Pressemitteilung des BayLDA

 

Wozu Big Brother Container? Waschanlage reicht!

Personal, aber auch Kunden standen im Fokus einer ausgedehnten Videoübewachung der Essener Autowaschkette Mr. Wash. In 8 von 33 Filialen wurden 60 Kameras nicht rechtskonform betrieben. Das war dem NRW-Landesbeauftragten für Datenschutz ein Bußgeld in Höhe von 64.000 Euro wert, meldet WAZ. Dabei kam der Kette zu Gute, sich bei den Ermittlungen im Verfahren „kooperativ“ verhalten zu haben.

Interessant ist die Aufteilung des Bußgeldes. 54.000 Euro wurden wegen des schweren Verstoßes gegen das Bundesdatenschutzgesetz durch die Videoüberwachung verhängt. Die restlichen 10.000 Euro wurden dafür fällig, bisher keinen Datenschutzbeauftragten bestellt zu haben, obwohl die gesetzliche Bestellpflicht vorlag.

In unserem Datenschutz Blog finden Sie einen Beitrag zur umsichtigen und rechtskonformen Umsetzung einer Videoüberwachung.

Planen Sie die Installation einer Videoüberwachungsanlage? Haben Sie bereits eine solche Lösung im Einsatz und sind sich über die Rechtskonformität im Unklaren? Dann fragen Sie doch Ihren Datenschutzbeauftragten. Sie haben keinen? Sprechen Sie uns an.