Mit der Umsetzung der Datenschutz-Grundverordnung (DSGVO, Verordnung 2016/679 vom 27. April 2016, ABl. 119/1), die am 25. Mai 2018 in Kraft tritt, wird die Rolle des Datenschutzbeauftragten tatsächlich in den Vordergrund treten.
Mit der Verabschiedung der Richtlinie 95/46/EG über den Schutz personenbezogener Daten im Jahr 1996 sollte der Geist der Einhaltung der Datenschutzbestimmungen und der personenbezogenen Daten in den Mitgliedstaaten gestärkt werden. Innerhalb der Richtlinie war der Datenschutzbeauftragte in seiner Funktion bereits fest etabliert, sollte aber in den Unternehmen ein ziemlich wichtiges Portfolio und Aufgaben übernehmen. Parallel dazu bot die Verordnung (EG) Nr. 45/2001, die für Organe, Einrichtungen und Agenturen der EU im Bereich des Datenschutzes gilt, mehr Praxis und mehr Transparenz für die Rolle der Datenschutzbeauftragten. Dies geschah vor allem durch seine Rolle beim Europäischen Datenschutzbeauftragten (EDSB), einer engagierten EU-Institution im Bereich des Datenschutzes, die im Laufe der Jahre im Zusammenhang mit der DSGVO zu einer Schlüsselfigur wurde.
Auf nationaler Ebene wurde der Datenschutzbeauftragte eher als Verbindung zwischen einem Unternehmen und der lokalen Datenschutzbehörde angesehen. Die DSGVO platziert den DSB nicht mehr als Verbindungsbeamten, sondern als einzigen Sachverständigen Ihres Unternehmens oder Ihrer Verwaltung.
Ein besonderer Status innerhalb Ihrer Organisation
Wenn wir die DSGVO durchsuchen, können wir den Begriff „Datenschutzbeauftragter“ in Erwägungsgründen, Kapiteln, Titeln und tatsächlichen Bestimmungen etwa 30 Mal finden. Obwohl in Abschnitt 4 (Artikel 37 bis 39 der Verordnung 2016/679) die Bezeichnung, Art und Aufgaben des Datenschutzbeauftragten behandelt werden, ist die Rolle auch in Instrumenten wie dem Register (Artikel 30) oder der Datenschutzfolgenabschätzung zu finden (DSFA, Artikel 39 – Die Methodik der Datenschutzfolgenabschätzung wird Gegenstand eines eigenen Artikels sein). Sie ist auch in anderen Abschnitten wie den Erwägungsgründen 77 und 97 enthalten. Erwägungsgrund 97 bezieht sich beispielsweise auf die Unabhängigkeit des Datenschutzbeauftragten.
Mit den oben genannten Mitteln ist der Datenschutzbeauftragte Ihr vertrauenswürdiger Berater in allen Fragen im Zusammenhang mit Privatsphäre und Datenschutz insbesondere wenn Ihr Kerngeschäft auf der Verarbeitung personenbezogener Daten wie Bankwesen, Versicherungen, Gesundheitsdienstleistungen oder IT basiert. Der Datenschutzbeauftragte kann Ihnen nicht nur als Anwalt in Angelegenheiten (z.B. Beratung) beratend zur Seite stehen, sondern darüber hinaus kann der Datenschutzbeauftragte Sie auch vor der Implementierung einer Datenverarbeitung (z.B. Engineering) beraten. Hier ist die volle Kraft des DSB sehr praktisch: Sie müssen also sicherstellen, dass diese Funktion angemessen genutzt wird.
Kompetenzen und Fachwissen des Datenschutzbeauftragten: Ein One-Stop-Shop
Darüber hinaus ist es Aufgabe des Datenschutzbeauftragten, ein ausreichendes Bewusstsein für die Datensicherheit im Unternehmen zu gewährleisten (Artikel 39 Absatz 1 b der Verordnung 2016/679). Man könnte argumentieren, dass je mehr das Unternehmen von personenbezogenen Daten abhängig ist umso bedeutender die Sensibilisierung wird. Kommunikationsfähigkeiten werden dabei genauso wichtig sein wie die Beratung. Durch die Information, Aufklärung und Weitergabe von Sachverhalten über den Datenschutz versucht der Datenschutzbeauftragte, Fehlverhalten bei personenbezogenen Daten zu verringern. Im Zusammenhang damit steht der Tag des Datenschutzes, der immer am 28. Januar, dem Jahrestag des Übereinkommens 108 des Europarats zu persönlichen Daten stattfindet.
In dem Fall, in dem Ihr Unternehmen Software und Technologien erstellt oder zusammensetzt, möchten Sie möglicherweise, dass der DSB mit Ihrer IT-Abteilung kommuniziert. Es wird auch anerkannt, dass der Datenschutzbeauftragte in kleineren Unternehmen (z.B. KMU) sogar Mitglied Ihrer IT-Abteilung sein kann. Dies wird einen Mehrwert schaffen, da Technologie jeden umgibt. Ein praktisches Beispiel für die Rolle des Datenschutzbeauftragten ist in der DSFA festgelegt. Während der Datenschutzbeauftragte über Ihre Richtlinien und andere rechtliche Kontrollen informiert wird, wird der Datenschutzbeauftragte auch die Bedrohungen, Risiken und Sicherheitskontrollen der Software bewerten, die personenbezogene Daten nutzt. Mit anderen Worten erfordert die Bewertung der Risiken einer Datenschutzverletzung für eine Cloud-Computing-Lösung ein Interesse an Technologie durch den Datenschutzbeauftragten.
Die Aufgaben des Datenschutzbeauftragten: Schützen und beraten
Die allererste Aufgabe des Datenschutzbeauftragten besteht darin sicherzustellen, dass die Verarbeitung personenbezogener Daten die betroffenen Personen nicht beeinträchtigt. Dies ist eine eher technische Formulierung, um es einfach auszudrücken, dass der Datenschutzbeauftragte nicht nachträglich eingreifen kann, d.h. sobald die Verarbeitung bereits erfolgt ist. Wie bereits erwähnt, besteht die wahre Stärke des DSB nicht darin zu beraten, nachdem ein Schaden entstanden ist, sondern auf bewährte Verfahren hinzuweisen und den „eingebauten Datenschutz“ und „datenschutzfreundliche Voreinstellungen“ aufzubauen.
Diese beiden Ausdrücke bedeuten lediglich, dass bei der Verarbeitung personenbezogener Daten bestimmte Sicherheitsvorkehrungen berücksichtigt werden müssen, die vom DSB von Anfang an unabhängig validiert werden. Wenn Sie dies nicht tun, kann es zu einer schnelleren Umsetzung führen, allerdings auf Kosten einer negativen Überprüfung durch den Datenschutzbeauftragten. Dies kann auch zu Kosten juristischer und finanzieller Sanktionen führen. Mit der DSGVO ist das Risiko jetzt zu hoch: Ihre Verarbeitung durch den Datenschutzbeauftragten oder Ihren Datenschutzbeauftragten vor der Implementierung zu bestätigen, ist es dies allerdings wert. Sie müssen diese Person nur in Meetings und Reviews einbeziehen, während Sie die Verarbeitung testen.
Stellen Sie sich als Vorstandsvorsitzender vor, dass Sie im Stuhl von „Wer wird ein Millionär“ dem Publikum gegenüber sitzen während der Datenschutzbeauftragte Ihnen als „Anrufjoker“ hilft wenn Sie Probleme mit Ihrer Verarbeitung haben. Der Moderator ist die nationale Datenschutzbehörde. Sie müssen Ihre Antworten richtig wählen, daher müssen Sie Sicherheitsvorkehrungen integrieren, die im Einklang mit dem eingebauten Datenschutz und der datenschutzfreundlichen Voreinstellungen sind.
Um die Phasen zu erfahren, durch die der DSB die DSGVO implementieren wird, laden Sie das kostenlose Diagramm des eu-dsgvo-Implementierungsprozesses herunter.