Zurück zur Übersicht
19.04.2017Fachbeitrag

Update Datenschutz Nr. 20

LDI NRW veröffentlicht FAQ zu Datenschutzbeauftragten unter DSGVO

Die LDI NRW hat im März 2017 FAQs veröffentlicht, die einen Überblick über die neuen Anforderungen an den Datenschutzbeauftragten (DSB) nach der DSGVO (2016/679/EU) und der JI-RL (2016/680/EU) geben sollen. Diese Anwendungstipps sind die ersten Verlautbarungen einer deutschen Aufsichtsbehörde zu dem Thema. Wir haben die wichtigsten Punkte zusammengefasst:

I. Die Bestellung des DSB

Wann ein Datenschutzbeauftragter von Unternehmen zu berufen ist, bestimmen Art. 37 Abs. 1 lit. b, c DSGVO. Danach besteht die Pflicht, wenn ein Unternehmen Betroffene „regelmäßig[e] und systematisch[e]“ überwacht (lit. b) oder sensible Daten im Sinne der Art. 9 und 10 DSGVO verarbeitet (lit. c), dies „umfangreich“ (lit. b, c) ist und die „Kerntätigkeit“ (lit. b, c) ausmacht.

Eine Überwachung liegt nach Auffassung der LDI z.B. vor, wenn die Internetaktivitäten des Betroffenen nachvollzogen werden können, was jedenfalls bei der Bildung von Profilen der Fall ist, die als Grundlage für personalisierte Entscheidungen oder Analysen und Voraussagungen dienen. Grundlage hierfür ist EG. 24 DSGVO. Beispiele hierfür können Personalisierungsfunktionen auf Webseiten sein.

Für die Beurteilung der umfangreichen Verarbeitung sensibler Daten oder der Überwachung entnimmt die LDI EG. 91 DSGVO mehrere Kriterien: die Menge der personenbezogenen Daten, die Verarbeitung auf regionaler, nationaler oder supranationaler Ebene, die Anzahl der Betroffenen und die Dauer der Verarbeitung.

Die LDI empfiehlt für die Bestellung die Schriftform, obwohl diese nicht gesetzlich gefordert ist. Darin könnten etwa auch die Aufgaben des DSB festgehalten werden. Darüber hinaus rät sie zur Neubestellung des DSB mit Wirkung zur Anwendbarkeit der DSGVO, also ab dem 25. Mai 2017, um sich aus dem Regimewechsel ergebende Unklarheiten zu adressieren.

II. Anforderungen an die Eignung als DSB

Die LDI fordert, dass der DSB ein verlässliches Fachwissen aufweist. Dieses sollte nicht nur die internen Prozesse und Verarbeitungsvorgänge, sondern auch die IT-Systeme und –Sicherheitsmaßnahmen umfassen. Die konkreten Anforderungen hängen von der Komplexität der Datenverarbeitungen und den Auswirkungen auf die Betroffenen ab.

Um einen Interessenkonflikt zu vermeiden, darf der DSB keine sonstigen Aufgaben und Pflichten haben, die einen engen Bezug zu Verarbeitungen personenbezogener Daten haben. Ausgeschlossen als DSB sind nach Auffassung der LDI jedenfalls die Mitglieder der Unternehmensleitung oder leitende Personen der IT- oder der Personal-Abteilung. Sogar die Beschäftigung in diesen Abteilungen kann einen Interessenkonflikt auslösen, sollte dadurch eine Möglichkeit bestehen, auf die Verarbeitungsprozesse einzuwirken.

III. Aufgaben des DSB

Die Kernaufgabe des DSB ist die Unterstützung der Geschäftsleitung des Unternehmens bzw. des Auftragsverarbeiters. Der LDI fasst sie zusammen als die Sammlung von Informationen, um Verarbeitungsaktivitäten identifizieren zu können, die Analyse der Verarbeitungen und Überprüfung auf Rechtskonformität und die Informierung und Beratung der Stelle bzw. des Auftragsverarbeiters. Der DSB soll sich dabei schwerpunktmäßig mit Verarbeitungen befassen, die ein hohes Risiko für die Betroffenen darstellen.

Bei der Datenschutz-Folgenabschätzung (Art. 35 DS-GVO), kann der DSB nur überwachend und beratend beteiligt sein (Abs. 1, 2). Die eigentliche Durchführung obliegt der Geschäftsleitung des Unternehmens. Sollte diese einem Rat des DSBs nicht folgen, sollten die Gründe hierfür schriftlich festgehalten werden. Entsprechendes gilt für das Verarbeitungsverzeichnis (Art. 30 DS-GVO). Zusätzlich empfiehlt die LDI, Referenzdokumente wie das Ergebnis einer Datenschutz-Folgenabschätzung beizufügen.

Nach Außen fungiert der DSB als Kontaktperson sowohl für die Aufsichtsbehörde (Art. 39 Abs. 1 lit. d, e DS-GVO) als auch für die Betroffenen (Art. 38 Abs. 4 DS-GVO).

Weil es sich nur um eine unterstützende Stellung handelt, ist der DSB nicht persönlich für die Einhaltung der Datenschutzgesetze verantwortlich. Die Verantwortung verbleibt bei der verantwortlichen Stelle, vertreten durch die Unternehmensleitung.

IV. Unterstützung des DSB

Der DSB muss nach Meinung der LDI frühzeitig und ordnungsgemäß in alle Angelegenheiten eingebunden werden, die den Schutz personenbezogener Daten betreffen. Bei seiner Arbeit muss er mit Ressourcen, Zugang zu Daten und Verarbeitungsvorgängen sowie fachlicher Literatur und Fortbildung unterstützt werden. Darüber hinaus muss er weisungsfrei und unabhängig bleiben.

V. Voraussetzung für einen gemeinsamen DSB nach Art. 37 Abs. 2 DS-GVO

Nach Art. 37 Abs. 2 DS-GVO darf eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten dann bestellen, wenn er von jedem Gruppenunternehmen „leicht erreicht“ werden kann. Dies ist nach Auffassung des LDI gegeben, wenn der DSB in persönlicher und sprachlicher Hinsicht erreichbar ist, was auf die Betroffenen, Aufsichtsbehörden und die Beschäftigten des Unternehmens zu beziehen ist.

Der DSB ist etwa dann persönlich erreichbar, wenn eine Hotline eingerichtet wurde, Kontaktformulare in die Homepage eingebunden werden, eine Sprechstunde für Beschäftigte vorgesehen wird, oder seine Kontaktdaten sowohl im Intranet als auch auf der Homepage auffindbar sind.

Die sprachliche Erreichbarkeit soll dann gegeben sein, wenn in der Sprache kommuniziert werden kann, die Aufsichtsbehörden und Betroffene sprechen.

B. Fazit

Die FAQs wiederholen und systematisieren die Normen und Erwägungsgründe, die für den DSB relevant sind. Teilweise fließen eigene rechtliche Interpretationen der LDI ein. Die von der LDI angeführten Beispiele ermöglichen eine praktische Orientierung. Die Handreichung der LDI bietet damit eine erste behördliche Orientierung für wichtige Fragestellungen. Unternehmen können diese bei der Ausgestaltung ihrer Datenschutzorganisation mit einbeziehen.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Philip Kempermann, LL.M.
Düsseldorf

Ansprechpartner

Dr. Philip Kempermann, LL.M.
Düsseldorf

Weitere Artikel

25.04.2024
Europäische Kommission verstößt gegen DSGVO – Wiederaufleben der Debatte um die Nutzung von Microsoft 365?
27.03.2024
Die Umsetzung der NIS2-Richtlinie in Deutschland: Herausforderung bei der Bestimmung des Anwendungsbereichs bei Konzernen
20.03.2024
Achtung Online-Marketer: Neues EuGH-Urteil zum IAB TCF
13.03.2024
EU-Digitalrecht: Formelle Einigung im EU-Parlament zur KI-Verordnung, zum Cyber Resilience Act und zum European Media Freedom Act
06.03.2024
Neues OLG-Urteil: Unterliegt die private E-Mail-Nutzung dem Fernmeldegeheimnis?
28.02.2024
Änderungen im BDSG und TTDSG – Was sich ändert und worauf insbesondere Unternehmen zu achten haben
09.02.2024
Verdeckte Kontrollen als Datenschutzverstoß im Kündigungsschutzprozess
30.01.2024
Arbeitnehmerüberwachung: Französische Datenschutzbehörde verhängt 32 Millionen Euro Strafe gegen großen Online-Versandhändler
25.01.2024
AI-Act: Vorläufiges Ergebnis der Trilog-Verhandlungen geleakt
22.01.2024
Datenschutzverstöße als Grund für die Auflösung des Betriebsrats
12.01.2024
E-Evidence Act: Herausgabe- und Prüfpflichten für Anbieter von Onlinediensten in europaweiten Strafverfahren
03.01.2024
EuGH klärt weitere Fragen zum Schadensersatz und zu Gesundheitsdaten

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.