European Data Protection Supervisor
Der Europäische Datenschutzbeauftragte

Der Datenschutzbeauftragte (DSB)

Der Datenschutzbeauftragte (DSB)

Was Sie über den Datenschutzbeauftragten wissen sollten

Die vorrangige Aufgabe des Datenschutzbeauftragten (DSB) besteht darin, sicherzustellen, dass seine Organisation die personenbezogenen Daten ihrer Mitarbeiter, Kunden, Lieferanten oder anderer natürlicher Personen (auch als betroffene Personen bezeichnet) im Einklang mit den geltenden Datenschutzvorschriften verarbeitet. Alle Organe und Einrichtungen der EU sind aufgrund der geltenden Datenschutzverordnung (Verordnung (EU) 2018/1725) zur Bestellung eines behördlichen DSB verpflichtet. Die Verordnung (EU) 2016/679, der zufolge einige Organisationen in EU-Ländern einen DSB bestellen müssen, gilt ab dem 25. Mai 2018.


Bestellung eines DSB

Grundlage der Bestellung eines DSB müssen natürlich dessen persönliche und berufliche Qualitäten sein, doch ist seinem Expertenwissen auf dem Gebiet des Datenschutzes besondere Aufmerksamkeit zu widmen. Empfehlenswert ist auch, wenn er sich gut in der Arbeitsweise der Organisation auskennt.


Stellung des DSB im Organisationsplan

Der DSB ist fest in die Organisation eingebunden, weshalb er ideal positioniert ist, um die Einhaltung der Vorschriften zu gewährleisten. Der DSB sollte jedoch in der Lage sein, seine Aufgaben unabhängig wahrzunehmen. In den Organen und Einrichtungen der EU besteht eine Reihe von Garantien für diese Unabhängigkeit:

  1. In den für Organe und Einrichtungen der EU geltenden Vorschriften heißt es ausdrücklich, dass der DSB bei der Wahrnehmung seiner Aufgaben keinen Weisungen unterworfen sein darf.
  2. Es darf gegebenenfalls kein Interessenkonflikt zwischen den Pflichten der Person als DSB und ihren anderen Pflichten bestehen. Zur Vermeidung von Konflikten wird Folgendes empfohlen:
    • Ein DSB darf nicht auch für die Verarbeitung Verantwortlicher von Verarbeitungsvorgängen sein (wenn er beispielsweise Leiter des Referats Humanressourcen ist);
    • ein DSB sollte kein Beschäftigter mit einem kurzfristigen oder befristeten Vertrag sein,
    • ein DSB sollte nicht einem unmittelbaren Vorgesetzten Bericht erstatten (eher der obersten Führungsebene);
    • ein DSB sollte für den Vollzug seines eigenen Haushalts verantwortlich sein.
  3. Die Organisation muss den DSB durch die Bereitstellung von Mitarbeitern und Ressourcen bei der Wahrnehmung seiner Aufgaben unterstützen. Diesbezüglich können sich DSB in Organen und Einrichtungen der EU durch einen Assistenten oder stellvertretenden DSB unterstützen lassen und können in einzelnen Bereichen der Organisation Datenschutzkoordinatoren (DSK) einsetzen. Zugang zu Ressourcen bedeutet auch Zugang zu Ausbildungseinrichtungen.
  4. Der DSB sollte zur Durchführung von Untersuchungen befugt sein. In Organen und Einrichtungen der EU beispielsweise haben DSB direkten Zugriff auf alle personenbezogenen Daten und Datenverarbeitungen, und die zuständigen Personen sind gehalten, ihm auf Nachfrage Informationen zu erteilen.
  5. Für die Stellung eines DSB hat die Organisation eine Mindestamtszeit und strenge Bedingungen für einen Widerruf der Bestellung festzulegen. In den Organen und Einrichtungen der EU wird der DSB für eine Amtszeit zwischen zwei und fünf Jahren bestellt, kann aber für eine Amtszeit von insgesamt höchstens zehn Jahren wiederbestellt werden; die Bestellung kann nur mit Zustimmung des EDSB widerrufen werden.
 
Aufgaben des DSB

Der DSB hat in Zusammenarbeit mit der Datenschutzbehörde (für die Organe und Einrichtungen der EU ist dies der EDSB) sicherzustellen, dass die Datenschutzvorschriften eingehalten werden. In den Organen und Einrichtungen der EU muss der DSB

  • sicherstellen, dass die für die Verarbeitung Verantwortlichen und die betroffenen Personen über ihre Rechte, Pflichten und Verantwortlichkeiten im Bereich des Datenschutzes unterrichtet und darüber aufgeklärt werden;
  • die Organe und Einrichtungen bei der Auslegung oder Anwendung der Datenschutzvorschriften beraten und entsprechende Empfehlungen aussprechen;
  • innerhalb des Organs oder der Einrichtung ein Register der Verarbeitungsvorgänge einrichten und dem EDSB die Verarbeitungen melden, die besondere Risiken beinhalten (so genannte Vorabkontrollen);
  • für die Einhaltung der Datenschutzvorschriften innerhalb seiner Organisation sorgen und dieser dabei helfen, Rechenschaft hierüber abzulegen.
  • auf Ersuchen des Organs bzw. der Einrichtung, des für die Verarbeitung Verantwortlichen, einer anderen/anderer Person(en) oder von sich aus Anfragen oder Beschwerden nachgehen;
  • mit dem EDSB zusammenarbeiten (auf seine Anfragen zum Stand von Untersuchungen, Beschwerden, Inspektionen des EDSB usw. antworten);
  • das Organ bzw. die Einrichtung auf jede Nichteinhaltung der geltenden Datenschutzvorschriften hinweisen.

Weitere Informationen

Verzeichnis der von den Organen und Einrichtungen der EU bestellten behördlichen DSB:
https://secure.edps.europa.eu/EDPSWEB/edps/site/mySite/DPOnetwork

Die folgende nicht erschöpfende Liste ist eine Auswahl an weiterführender Literatur über DSB:

Positionspapier zur Rolle der behördlichen Datenschutzbeauftragten für die Gewährleistung einer wirksamen Einhaltung der Verordnung (EG) Nr. 45/2001

Bericht über den Status des Datenschutzbeauftragten

Berufliche Standards für behördliche Datenschutzbeauftragte der Organe und Einrichtungen der EU gemäß der Verordnung (EG) Nr. 45/2001

Umfrage zur Funktion des Datenschutzkoordinators bei der Europäischen Kommission