Datenschutz - Beauftragte/r
Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz und die Informationsfreiheit schriftlich zu bestellen. Ebenso wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden. Ein/e Datenschutzbeauftragte/r bei nicht-öffentlichen Stellen ist grundsätzlich schriftlich zu bestellen; (Art. 37 DSGVO Benennung eines Datenschutzbeauftragten)
Qualifikation
Ein/e Beauftragte/r für den Datenschutz muss eine erforderliche Fachkunde und Zuverlässigkeit im Bereich des Datenschutzrechts und der IT-Sicherheit mitbringen, welche sich an der Komplexität der Datenverarbeitung und an der Größe der Organisation orientiert.
Aufgaben eines Datenschutzbeauftragten
Art. 39 DSGVO
Ein/e Datenschutzbeauftragte/r berät Organisationen hinsichtlich:
- Konformitätssicherung der Verarbeitung personenbezogener Daten und besonderer Kategorien personenbezogener Daten
(Art. 6-10 EU-DSGVO, §§ 22-24 BDSG)
Datenverarbeitung
- Verarbeitungen personenbezogener Daten einhergehend mit weiteren Verantwortlichen
(Art. 26 EU-DSGVO) - Verarbeitungen personenbezogener Daten zu automatisierten Entscheidungen einschließlich Profiling
(Art. 22 EU-DSGVO, § 37 BDSG) - Verarbeitungen personenbezogener Daten im Auftrag
(Art. 28 EU-DSGVO) - Verarbeitungen personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses
(§ 26 BDSG)
Organisationspflichten
- Einhaltung und Umsetzung von Informationspflichten bei Erhebung personenbezogener Daten
(Art. 13, 14 EU-DSGVO, §§ 32, 33 BDSG) - Einhaltung und Umsetzung des Widerspruchsrechts gegen die Verarbeitung personenbezogener Daten
(Art. 21 EU-DSGVO, § 36 BDSG) - Wahrung der Rechte Betroffener
(Art. 15-20 EU-DSGVO, §§ 34, 35 BDSG) - Erstellung und Führens von Verzeichnissen von Verarbeitungstätigkeiten
(Art. 30 EU-DSGVO) - Verfahren zu Maßnahmen bei Verletzungen des Schutzes personenbezogener Daten und damit verbundener Meldepflichten
(Art. 33, 34 EU-DSGVO)
Technische Bewertungen
- Bewertung und Einführung technischer und organisatorischer Maßnahmen und Voreinstellungen
(Art. 24, 25, 32 EU-DSGVO) - Durchführung von Risikobewertungen von Verarbeitungen personenbezogener Daten zur Evaluierung von Datenschutz-Folgenabschätzungen
(Art. 35 EU-DSGVO) - Übermittlungen personenbezogener Daten in Drittländer
(Art. 44-49 EU-DSGVO) - Videoüberwachungen an öffentlich zugänglichen Bereichen oder Räumen
(§ 4 BDSG)
Bestellung und Position
Ist ein/e Datenschutzbeauftragte/r bestellt, hat die verantwortliche Leitung der Organisation die Kontaktdaten zu veröffentlichen und die Bestellung der Aufsichtsbehörde mitsamt der Kontaktdaten mitzuteilen. Ein vorsätzliches oder fahrlässiges Versäumnis einen betrieblichen Datenschutzbeauftragten zu bestellen, stellt eine bußgeldbewehrte Ordnungswidrigkeit dar.
Es gibt derzeit keine explizite Vorschrift in der DSGV. Es wird eine Linienposition, z.B. als Betriebsleiter/in empfohlen. Eine externe Bestellung, als Datenschutz-Beauftragter in einer Stabstelle in direkter Zuordnung der Unternehmensleitung ist zulässig. (Art. 38 DSGVO – Stellung des Datenschutzbeauftragten).
QHSE Compliance Division Europe