DSGVO-DATENSCHUTZBEAUFTRAGTER ALS DIENSTLEISTUNG FÜR TECH-UNTERNEHMEN
Wer ist der Datenschutzbeauftragte?
Der Datenschutzbeauftragte ist eine Person (intern oder ein ausgelagerter Spezialist), die Ihre Organisation dabei unterstützt, die DSGVO (und nationale Datenschutzgesetze) einzuhalten.
Diese Position wurde in der EU verbindlich, nachdem einige Mitgliedstaaten die Richtlinie 95/46/EG (den Vorläufer der Datenschutz-Grundverordnung) in ihr nationales Recht übernommen und ihre eigenen verbindlichen Kriterien zusätzlich zur Richtlinie hinzugefügt hatten.
Ein Datenschutzbeauftragter ist kein regulärer Angestellter, sondern ein unabhängiger Beobachter des Weges, den die Organisation einschlägt: Er überwacht die Datenverarbeitung, berät, meldet Vorfälle und Fehler und hilft den betroffenen Personen (d. h. den Personen, deren Daten die Organisation verarbeitet), die gesetzlichen Anforderungen zu erfüllen. Der behördliche Datenschutzbeauftragte darf sich nicht in einem Interessenkonflikt befinden (z. B. wenn er gleichzeitig Leiter der Risikobewertung oder Leiter der Informationssicherheit und Datenschutzbeauftragter ist), muss aber über ausreichende Ressourcen (Zugang zu den Verarbeitungsvorgängen, Personal, Zeit und Geld für weitere Studien) verfügen, um unabhängig arbeiten zu können.
Der behördliche Datenschutzbeauftragte kann nicht für seine Ratschläge verantwortlich gemacht werden (sofern die Ratschläge nicht irreführend waren oder als Fehlverhalten dargestellt wurden). Der DSB darf nicht entscheiden, wie die Daten verarbeitet werden: Er berät lediglich und stellt die erforderlichen Informationen zur Verfügung.
Was ist die Aufgabe des Datenschutzbeauftragten?
Der Datenschutzbeauftragte befasst sich mit allen Fragen des Datenschutzes aus der Sicht einer unabhängigen Instanz: Er ist der Anwalt des Datenschutzes, der die wahren Absichten und Fähigkeiten des Unternehmens kennt.
Sowohl der für die Datenverarbeitung Verantwortliche als auch der Auftragsverarbeiter müssen einen Datenschutzbeauftragten benennen, wenn die im Gesetz festgelegten Kriterien erfüllt sind.
Der DSB ist ein unverzichtbarer Ratgeber, wenn es darum geht, die Sprache der Rechtsvorschriften und des Verbraucherschutzes in die Sprache der Wirtschaft zu übersetzen:
— Unterstützung der Rechtsabteilung bei der Erstellung korrekter und umfassender Datenschutzrichtlinien und -verzeichnisse;
— Unterstützung des Frontend-Teams, korrekte Hinweise zu veröffentlichen, sie richtig zu schichten und zu gestalten;
— berät die Backend- und Full-Stack-Teams bei der Gestaltung der Schnittstelle und der Datenbank sowie bei der Gestaltung der Systeme und Netze, damit andere Teams die Rechte der betroffenen Personen wahrnehmen können;
— arbeitet mit dem technischen Support-Team zusammen, um die Bearbeitung von Anfragen zu vereinfachen;
— beteiligt sich am Personal- und Talentmanagement, indem er die Verfahren für die Einarbeitung und Sensibilisierung sowie die Kompetenzüberprüfung durchführt;
— überprüft Marketing- und Vertriebsstrategien unter dem Gesichtspunkt des Datenschutzes und hilft bei der Bewertung und Beschaffung von GDPR-konformen Dienstleistungs- und Produktanbietern;
— Beratung der Teams bei den Datenschutz-Folgenabschätzungen;
— Berichte an die oberste Führungsebene über die Datenschutzkennzahlen und -probleme;
— und sich mit den betroffenen Personen in Verbindung zu setzen, um ihre Bedenken hinsichtlich des Schutzes ihrer Privatsphäre und des Umgangs mit ihren personenbezogenen Daten zu äußern.
Müssen wir in unserer Firma einen Datenschutzbeauftragten haben?
Die Benennung des DSB kann durch die Gesetze Ihres Staates oder Landes vorgeschrieben sein. Prüfen Sie, ob Sie dies tun müssen, wenn Sie:
— eine große Anzahl von Daten verarbeiten;
— sensible Daten verarbeiten;
— Daten im Auftrag des Staates oder einer Behörde verarbeiten;
— eine regelmäßige und systematische Überwachung von Personen durchführen;
— Daten über strafrechtliche Verurteilungen und Straftaten oder in Bezug auf Kinder verarbeiten.
Artikel 37 der Datenschutz-Grundverordnung enthält die folgenden Kriterien für eine obligatorische Bestellung des DSB:
Mindestens eine Übereinstimmung in der Liste reicht aus, um die Verpflichtung auszulösen.
die Verarbeitung erfolgt durch eine Behörde oder eine öffentliche Einrichtung, mit Ausnahme von Gerichten, die in ihrer gerichtlichen Eigenschaft handeln;
die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters aus Verarbeitungen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern; oder
die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters in der Verarbeitung besonderer Datenkategorien gemäß Artikel 9 in großem Umfang besteht und personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten im Sinne von Artikel 10.
Deutschland verpflichtet die Unternehmen, einen DSB zu bestellen, wenn zusätzlich zu Artikel 37 DSGVO:
— in der Regel mindestens 20 Personen, die mit der automatisierten Verarbeitung personenbezogener — — Daten befasst sind beschäftigt weden;
— sie waren gesetzlich verpflichtet, die Datenschutz-Folgenabschätzung durchzuführen;
— sie verarbeiten geschäftsmäßig personenbezogene Daten zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder zu Zwecken der Markt- oder Meinungsforschung.
Wie kann ein Datenschutzbeauftragter benannt werden?
Wenn Ihr Datenschutzbeauftragter ein interner Fachmann ist, sollten Sie ihm durch eine unternehmensweite Richtlinie die Autorisierung erteilen, als solcher tätig zu sein. Konsultieren Sie Ihre Rechtsabteilung, um herauszufinden, wie dies umgesetzt werden kann.
Um Interessenkonflikte auszuschließen, beauftragen Unternehmen häufig einen unabhängigen Auftragnehmer mit der Funktion des DSB. Dann unterzeichnen das Unternehmen und der DSB eine Dienstleistungsvereinbarung, in der der Umfang der Dienstleistung und andere Bedingungen, die Vertraulichkeit und gegebenenfalls eine Datenverarbeitungsvereinbarung festgelegt werden.
