15.12.2021

Überwachungspflichten von Datenschutz­beauftragten (DSB): Das müssen Sie wissen

Datenschutzbeauftragte haben nach Datenschutz-Grundverordnung (DSGVO) eine Reihe von verpflichtenden Aufgaben. Dazu gehört, zu überwachen, ob der Verantwortliche oder Auftragsverarbeiter die Datenschutz-Vorschriften einhält. Die Überwachung umfasst zudem, die Strategien für den Schutz personenbezogener Daten zu prüfen. Was bedeutet das konkret?

Überwachungspflichten Datenschutz­beauftragte

Nicht verantwortlich für Datenschutz, aber für dessen Überwachung

Ob Unternehmen und Behörden den Datenschutz einhalten und wie sie Datenschutz umsetzen, bedarf der regelmäßigen Überwachung. Diese Kontrolle kann nicht der Verantwortliche übernehmen, also die Behörden- oder Geschäftsleitung. Sondern die Überwachungspflichten obliegen einer kompetenten und unabhängigen Stelle im Unternehmen oder in der Behörde: dem oder der Datenschutzbeauftragten.

Umfragen wie die des Digitalverbands Bitkom zeigen eindrücklich, dass viele Unternehmen die Datenschutz-Grundverordnung (DSGVO) weiterhin nicht gänzlich umgesetzt haben:

  • Zwar hat mit zwei Dritteln der Unternehmen (65 Prozent) die Mehrheit die DSGVO vollständig oder größtenteils implementiert.
  • Aber 3 von 10 (29 Prozent) haben die Umsetzung erst teilweise geschafft.
  • Und fünf Prozent stehen damit noch ganz am Anfang.
  • Vor allem kleinere Unternehmen kommen nur langsam voran.

Doch selbst wenn Verantwortliche die DSGVO vollständig umgesetzt haben, ist damit das „Projekt Datenschutz“ nicht abgeschlossen. Unternehmen und Behörden müssen die DSGVO und andere für sie jeweils relevante Datenschutzvorschriften dauerhaft einhalten. Sie müssen neue und veränderte Verfahren der Verarbeitung personenbezogener Daten jeweils mit den Datenschutzvorgaben in Einklang bringen.

Welche Überwachungspflichten DSB haben

Die DSGVO beschreibt die Aufgabe der Überwachung und damit die Überwachungspflichten der oder des Datenschutzbeauftragten ausführlich in Artikel 39: „Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen“.

DSGVO, andere Datenschutzvorschriften, Strategien, Organisation u.v.m.

Wer diese Aufgabenbeschreibung genauer betrachtet, findet darin mehr Überwachungspflichten, als rein die Einhaltung der DSGVO zu kontrollieren. Datenschutzbeauftragte haben demnach auch zu prüfen, ob Unternehmen bzw. Behörden neben der DSGVO andere Datenschutzvorschriften wie etwa das Bundesdatenschutzgesetz einhalten.

Sie überwachen zudem die Datenschutzstrategie, die Datenschutzorganisation wie die Zuweisung von Zuständigkeiten, die Mitarbeiter-Sensibilisierung und andere Schulungs-Maßnahmen im Datenschutz und schließlich, ob der Verantwortliche diese Dinge überprüft.

Wichtig

DSB müssen also insbesondere prüfen,

  • ob die Datenschutzstrategie der verantwortlichen Stelle „nur auf dem Papier“ steht oder ob Unternehmen und Behörden sie tatsächlich leben,
  • ob geeignete Schulungen stattfinden und
  • ob Verantwortliche ihre Datenschutz-Maßnahmen auch hinsichtlich ihrer Wirksamkeit kontrollieren.

TOMs bewerten

Es muss also in Unternehmen und Behörden nicht nur ein „Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ geben, wie Artikel 32 DSGVO es fordert.

Erforderlich ist zudem ein Verfahren, um die Wirksamkeit der technischen und organisatorischen Maßnahmen im Datenschutz insgesamt regelmäßig zu überprüfen, zu bewerten und zu evaluieren. Der oder die Datenschutzbeauftragte muss überwachen, ob ein solches Verfahren besteht und erfolgreich funktioniert.

BVs, Richtlinien, Code of Conduct

Bei der Prüfung, ob Verantwortliche die eigene Datenschutzstrategie einhalten, hilft es, sich datenschutzrelevante Betriebsvereinbarungen vorzunehmen, Handlungsanweisungen, Datenschutz-Richtlinien und Code of Conducts, sofern vorhanden. Sind die Vorgaben „Papiertiger“ oder lebt ein Unternehmen tatsächlich danach?

Bei der Überwachung die Datenrisiken im Blick haben

Entscheidend bei der Überwachung durch den oder die Datenschutzbeauftragte sind immer die Risiken, die mit den Verarbeitungsvorgängen verbunden sind. Dabei müssen DSB die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung personenbezogener Daten berücksichtigen.

Praxis-Tipp

Bei der Überwachung sollten Datenschutzbeauftragte also besonders auf die Bereiche und Abläufe achten, die mit höheren Risiken für personenbezogene Daten verbunden sind. Die jeweiligen Datenrisiken sind somit auch der Maßstab, um die Vielzahl der anstehenden Überwachungspflichten und -aufgaben zu priorisieren.

Was für die Erfüllung der Überwachungspflichten erlaubt ist

Artikel 38 DSGVO fordert: „Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 39, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.“

Damit ist insbesondere verbunden, dass betriebliche Datenschutzbeauftragte zum Zwecke der Überwachung der Einhaltung des Datenschutzes besondere Rechte erhalten.

Zugangs-, Einsichts- und Kontrollrechte

Der Bundesdatenschutzbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) stellt hierzu klar, dass damit Zugangs- und Einsichtsrechte sowie das Recht auf jederzeitige – auch unangekündigte – Kontrollen verbunden sind.

Hierzu muss der oder die Datenschutzbeauftragte Zugang zum Rechenzentrum sowie den Dienst- bzw. Geschäftsräumen haben. Ferner muss sie oder er alle Unterlagen einsehen können, die mit der Verarbeitung personenbezogener Daten im Zusammenhang stehen. Ihm oder ihr steht auch Einblick in die gespeicherten personenbezogenen Daten zu.

Resultate der Überwachung dokumentieren!

Um nachweisen zu können, dass sie ihre Aufgaben und Pflichten erfüllt haben, sollten Datenschutzbeauftragte ihre Maßnahmen zur Überwachung im Datenschutz regelmäßig dokumentieren.

Die festgestellten Abweichungen fließen dann in die Berichte an die verantwortliche Stelle ein.

Autor: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)