Zertifizierter Datenschutzbeauftragter

Zertifizierter Datenschutzbeauftragter

Was ist ein Datenschutzbeauftragter?

Der externe Datenschutzbeauftragte bietet ein professionelles Datenschutzmanagement für Ihre Organisation.

Expertenstatus 

Die Qualifikation zum Datenschutzbeauftragten kann durch Aus- und Weiterbildung nachgewiesen werden. Diese Qualifikation wird durch eine offizielle Ausbildung und Zertifizierung bestätigt.

Fachliche Eignung

Der Datenschutzbeauftragte muss zudem über umfangreiche Fachkenntnisse im internen Datenschutz verfügen. Darüber hinaus sind Interesse und hundertprozentiges Verständnis für Datenschutzthemen von entscheidender Bedeutung.

Kommunikationsfähigkeiten

Der betriebliche Datenschutz umfasst vor allem die Optimierung und gemeinschaftliche Umsetzung des Datenschutzmanagements. Um erfolgreich zu sein, benötigen DSBs ausgeprägte Kommunikationsfähigkeiten, um Lösungen und Verbesserungsempfehlungen im Unternehmen aufzeigen und umsetzen zu können.

MKP Marketing & WebBetreuung | zert. Datenschutzbeauftragter

Der Datenschutzbeauftragte, ob intern oder extern, muss eine natürliche Person sein, die das Unternehmen in Datenschutzfragen berät. Dazu muss die Person einige Voraussetzungen erfüllen:

Die/der DSB hat besondere Stellung im Unternehmen. Ein Datenschutzbeauftragter muss unabhängig und weisungsfrei agieren. Die DSGVO sieht für Unternehmen unter gewissen Bedingungen die Bestellung eines DSB vor.

Übersicht der Leistungen

Information | Beratung | Überwachung

  • Datenschutzrechtliche Information und Beratung der Führungsetage und der Angestellten des datenverarbeitenden Unternehmens.
  • Entwicklung eines unternehmensbezogenen Datenschutzkonzeptes und Datenschutzrichtlinien.
  • Überwachung der gesetzlichen Vorschriften und Strategien für den Schutz personenbezogener Daten.
  • Analyse und Konzeption von Datenschutz- und Datensicherheitskonzepten für den Betrieb. Berücksichtigt werden müssen auch die Vorgaben des österreichischen Datenschutzgesetzes (§ 14 DSG).
  • Datensicherheit
  • Beratung und Überwachung einer ev. Datenschutz-Folgenabschätzung bei Datenverarbeitungen mit hohem Risiko für Betroffene.
  • Jährliche Aktualisierung eines Datenschutzberichtes der Auftragsfirma.
  • Erfüllung von Betroffenenrechten
  • Zusammenarbeit mit der Behörde
  • Mitarbeitertrainings im Sinne der firmenbezogenen Datenschutzfragen.

Professioneller Datenschutz wird für viele Betriebe, vor allem in der Zukunft essentiell. Das Bewusstsein der Kunden zum Thema Datenschutz wird immer sensibler.

Professionelle Planung und Umsetzung eines rechtssicheren Datenschutzes wird für Firmen und Institutionen sehr wichtig.

Ein Datenschutz­beauftragter ist ein Experte für den Datenschutz. Er hat insbesondere die Aufgaben, in einem Unternehmen die Umsetzung der Vorgaben der DSGVO und der sonstigen datenschutz­rechtlichen Regelungen sicher­zustellen und Datenschutz­verletzungen zu verhindern. Er gilt zudem als Vermittler zwischen Unternehmen, Betroffenen und Aufsichts­behörden.

MKP Marketing & Webbetreuung | Blog | DSGVO

Zusammengefasste Leitlinien gem. Artikel 29 Datenschutzgruppe

Einführung

Nach der DS-GVO sind Verantwortliche und Auftragsverarbeiter unter bestimmten Voraussetzungen verpflichtet, einen DSB zu ernennen. In Fällen, in denen die DS-GVO die Bestellung eines DSB nicht ausdrücklich vorschreibt, können Einrichtungen & Betriebe es mitunter für zweckmäßig erachten, einen solchen auf freiwilliger Basis zu ernennen. Die Artikel-29-Datenschutzgruppe („WP29“) fördert derartige freiwillige Anstrengungen.

Benennung eines DSB

Nach Artikel 37 Absatz 1 der DS-GVO ist die Benennung eines DSB in drei bestimmten Fällen vorgeschrieben:

  1. falls die Datenverarbeitung durch Behörden oder öffentliche Stellen erfolgt
  2. falls die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in Datenverarbeitungsvorgängen besteht, die eine regelmäßige und systematische Überwachung von betroffenen Personen in großem Umfang erfordern, oder
  3. falls die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.

Fähigkeiten und Fachkenntnisse des DSB

Nach Artikel 37 Absatz 5 wird der Datenschutzbeauftragte „auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben“.

Nach Erwägungsgrund 97 sollte sich das erforderliche Niveau des Fachwissens nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz der vom Verantwortlichen oder vom Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten.

Fachwissen

Das verlangte Fachwissen ist nicht genau umrissen, muss jedoch mit der Sensibilität, der Komplexität und der Menge der Daten, die eine Einrichtung verarbeitet, im Einklang stehen. Wenn etwa eine Datenverarbeitungstätigkeit besonders komplex ist oder in großem Umfang sensible Informationen betrifft, bedarf der DSB unter Umständen eines höheren Maßes an Fachkompetenz und Unterstützung. Ebenso macht es einen Unterschied aus, ob die Einrichtung personenbezogene Daten systematisch an Orte außerhalb der Europäischen Union übermittelt oder dies nur gelegentlich geschieht. Die Wahl des DSB sollte daher mit Bedacht erfolgen; sich innerhalb der Einrichtung stellenden Datenschutzfragen ist dabei in angemessener Weise Rechnung zu tragen.

Berufliche Qualifikation

Auch wenn Artikel 37 Absatz 5 keine Angaben bezüglich der beruflichen Qualifikation enthält, die es bei der Bestimmung eines DSB zu berücksichtigen gälte, gilt diesbezüglich die maßgebliche Überlegung, dass DSB über Erfahrung sowohl im einzelstaatlichen als auch im europäischen Datenschutzrecht und in der diesbezüglichen Praxis sowie über ein umfassendes Verständnis der DSGVO verfügen sollten. Von Vorteil ist es auch, wenn die Aufsichtsbehörden angemessene und regelmäßige Schulungen für DSB fördern. Branchenkenntnis und Vertrautheit mit der Organisationsstruktur des Auftragsverarbeiters sind ebenfalls von Nutzen. Auch sollte der DSB über ein hinreichendes Verständnis der durchgeführten Datenverarbeitungsvorgänge, der betreffenden Informationssysteme sowie der Datensicherheits- und Datenschutzerfordernisse des Auftragsverarbeiters verfügen. Im Fall von Behörden oder öffentlichen Stellen sollte der DSB zudem über fundierte Kenntnis ihrer Verwaltungsvorschriften und -verfahren verfügen.

Fähigkeit zur Erfüllung seiner Aufgaben

Der Begriff der Fähigkeit zur Erfüllung der dem DSB obliegenden Aufgaben ist im Sinne sowohl seiner persönlichen Eigenschaften und Kenntnisse als auch seiner Position innerhalb der Einrichtung zu verstehen. Zu den persönlichen Eigenschaften sollten beispielsweise Integrität und ein ausgeprägtes Berufsethos zählen; vorrangiges Anliegen des DSB sollte die Schaffung der Voraussetzungen für die Einhaltung der Vorgaben der DS-GVO sein. Dem DSB kommt eine zentrale Rolle dabei zu, die Verbreitung einer Datenschutzkultur innerhalb der Einrichtung zu fördern und zur Umsetzung wesentlicher Bestandteile der DS-GVO beizutragen, darunter die Grundsätze der Datenverarbeitung. Die Sicherheit der Verarbeitung sowie die Meldung und Mitteilung von Verstößen gegen den Schutz personenbezogener Daten.

Im Rahmen eines Dienstleistungsvertrags beschäftigte DSB

Die Funktion eines DSB kann auch auf Grundlage eines Dienstleistungsvertrags ausgeübt werden, der mit einer natürlichen oder juristischen Person geschlossen wird, die nicht der Einrichtung des Verantwortlichen oder Auftragsverarbeiters angehört. In letzterem Falle ist es unverzichtbar, dass jedes Mitglied der Einrichtung, das die Funktionen eines DSB wahrnimmt, sämtliche in Abschnitt 4 der DS-GVO genannten Anforderungen erfüllt (so dass Interessenkonflikte ausgeschlossen werden können). Ebenso wichtig ist es, dass jedes Mitglied durch die Bestimmungen der DSGVO geschützt ist (keine ungerechtfertigte Kündigung von Dienstleistungsverträgen in Bezug auf Tätigkeiten als DSB und keine ungerechtfertigte Entlassung einer der Einrichtung angehörigen natürlichen Person, welche die Aufgaben eines DSB wahrnimmt). Zugleich lassen sich individuelle Qualifikationen und Stärken so miteinander kombinieren, dass Einzelpersonen durch die Zusammenarbeit im Team ihren Mandanten noch wirksamere Dienste leisten können. Im Interesse der Rechtssicherheit und einer ordnungsgemäßen Organisation wird empfohlen, eine klare Aufgabenverteilung innerhalb des DSB-Teams vorzusehen und eine einzelne Person als primären Ansprechpartner festzulegen, die zugleich für den jeweiligen Kunden „zuständig“ ist. Es ist generell von Nutzen, diese Punkte im Dienstleistungsvertrag festzuhalten.

Stellung des DSB

Einbindung des DSB in alle mit dem Schutz personenbezogener Daten in Zusammenhang stehende Angelegenheiten. Nach Artikel 38 der DS-GVO haben der Verantwortliche und der Auftragsverarbeiter dafür Sorge zu tragen, dass der Datenschutzbeauftragte „ordnungsgemäß und frühzeitig in alle mit dem Schutzpersonenbezogener Daten zusammenhängenden Fragen eingebunden“ wird. 

Erforderliche Ressourcen

Artikel 38 Absatz 2 der DS-GVO sieht vor, dass alle Einrichtungen ihrem DSB Unterstützung leisten, „indem sie die für die Erfüllung [seiner] Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen“.

Dies beinhaltet insbesondere:

  • eine aktive Unterstützung der Funktion des DSB
  • die Gewährung von genügend Zeit für die Erfüllung seiner Pflichten. Besonders wichtig ist dies in Fällen, in denen der DSB seiner Arbeit in Teilzeit nachgeht oder der betreffende Mitarbeiter seine Datenschutztätigkeit neben anderen Pflichten wahrnimmt.
  • die offizielle Unterrichtung aller Beschäftigten über die Benennung eines DSB, damit dessen Existenz und Funktion einrichtungsweit bekannt sind
  • den nötigen Zugang zu anderen Dienststellen wie Personal-, Rechts-, IT-, Sicherheitsabteilung, usw…

Anweisungen und „Ausübung der Pflichten und Aufgaben in vollständiger Unabhängigkeit“

In Artikel 38 Absatz 3 sind grundlegende Garantien festgelegt, die dazu beitragen sollen, dass DSB ihren Aufgaben mit hinreichender Eigenständigkeit innerhalb ihrer Einrichtung nachgehen können. Dies bedeutet, dass DSB bei der Erfüllung ihrer Aufgaben nach Artikel 39 keine Anweisungen erteilt werden dürfen, wie sie bei einem gegebenen Sachverhalt zu verfahren haben, also beispielsweise, welches Ergebnis erzielt werden soll, wie einer Beschwerde nachzugehen ist oder ob die Aufsichtsbehörde zurate gezogen werden soll oder nicht.

Der Verantwortliche bzw. der Auftragsverarbeiter trägt stets die Verantwortung für die Einhaltung der datenschutzrechtlichen Bestimmungen und muss diese Einhaltung nachweisen können. Trifft der Verantwortliche bzw. der Auftragsverarbeiter Entscheidungen, die der DS-GVO und den Empfehlungen des DSB zuwiderlaufen, sollte der DSB die Möglichkeit haben, seine abweichende Meinung den Entscheidungsträgern deutlich zur Kenntnis zu bringen.

Interessenkonflikte

Artikel 38 Absatz 6 sieht vor, dass der DSB „andere Aufgaben und Pflichten wahrnehmen“ kann, sofern die betreffende Einrichtung dafür Sorge trägt, dass „derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen“. Die Abwesenheit eines Interessenkonflikts ist eng mit dem Erfordernis einer unabhängigen Tätigkeit verknüpft. DSB dürfen zwar auch andere Funktionen wahrnehmen, aber nur mit Aufgaben und Pflichten betraut werden, die zu keinen Interessenkonflikten mit ihrer Tätigkeit als DSB führen. Diese Vorgabe bringt insbesondere mit sich, dass der DSB innerhalb einer Einrichtung keine Position innehaben kann, welche es mit sich bringt, dass er die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt. Aufgrund der, jeder Einrichtung eigenen, strukturellen Unterschiede ist diese Frage fallweise zu betrachten.

>>> vollständiger Wortlaut der Leitlinien