Was ist ein DSB und braucht Ihre Organisation einen?
Was ist ein DSB und was tun sie?
Der Datenschutzbeauftragte (auch „DSB“ genannt) ist ein Datenschutzexperte, der bei der Einhaltung des Datenschutzes innerhalb einer Organisation berät.
Der Datenschutzbeauftragte muss ordnungsgemäß und rechtzeitig in alle Fragen einbezogen werden, die den Schutz personenbezogener Daten betreffen.
Gemäß der DSGVO sind die Aufgaben des DSB zumindest die folgenden:
- die Organisation und ihre Mitarbeitenden über die Einhaltung des Datenschutzes zu informieren und zu beraten;
- Überwachung der Einhaltung des Datenschutzes;
- Beratung zu Anträgen im Zusammenhang mit der Datenschutz-Folgenabschätzung (DSFA);
- als Kontaktstelle für die Datenschutzbehörde zu fungieren und mit dieser Datenschutzbehörde zusammenzuarbeiten;
- als Anlaufstelle für Einzelpersonen zu fungieren.
Die Anwesenheit des DSB wird generell empfohlen, wenn Entscheidungen mit datenschutzrechtlichen Auswirkungen getroffen werden. Der DSB muss auch unverzüglich konsultiert werden, sobald eine Datenschutzverletzung oder ein anderer Vorfall aufgetreten ist.
In der Praxis wird der DSB auch häufig vom für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter mit der Aufgabe beauftragt, die Aufzeichnung der Verarbeitungsvorgänge zu führen.
Braucht meine Organisation einen DSB?
Die Benennung eines DSB ist in den folgenden drei Fällen obligatorisch:
- die Organisation ist eine Behörde, die die Verarbeitung personenbezogener Daten durchführt;
- die Kerntätigkeiten der Organisation bestehen in der regelmäßigen und systematischen Überwachung von Personen in großem Umfang, z. B. Geolokalisierung über eine mobile Anwendung oder Überwachung von Einkaufszentren und öffentlichen Räumen durch Videoüberwachung;
- die Kernaktivitäten der Organisation bestehen in der groß angelegten Verarbeitung sensibler Daten.
Die Begriffe „Kerntätigkeiten“, „regelmäßige und systematische Überwachung“ und „großflächig“ sind entscheidend, um festzustellen, ob eine Organisation einen DSB ernennen sollte.
„Kerntätigkeiten“ bedeutet, dass die Verarbeitungsvorgänge von entscheidender Bedeutung sind, um die Ziele des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters zu erreichen. Dazu gehören auch alle Tätigkeiten, bei denen die Verarbeitung von Daten einen untrennbaren Teil der Tätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters darstellt.
„Großflächig“ hängt von verschiedenen Faktoren ab, wie z. B. dem Umfang der verarbeiteten Daten, der Anzahl der betroffenen Personen – entweder als spezifische Zahl oder als Anteil der betreffenden Grundgesamtheit, der Dauer und dem geografischen Umfang der Verarbeitung.
„Regelmäßige und systematische Überwachung“ umfasst alle Formen des Trackings und Profilings im Internet, auch für die Zwecke der verhaltensbezogenen Werbung. Der Begriff der Überwachung ist jedoch nicht auf die Online-Umgebung beschränkt.
In der Praxis
- Kerntätigkeiten
Der Kernzweck einer Klinik ist es beispielsweise, Gesundheitsdienstleistungen für Einzelpersonen zu erbringen. In diesem Fall sollte die Verarbeitung von Gesundheitsdaten wie Patientenakten als eine der Kerntätigkeiten der Organisation betrachtet werden.
Alle Organisationen führen jedoch bestimmte unterstützende Tätigkeiten durch, z. B. die Bezahlung ihrer Mitarbeitenden oder die Durchführung von Standard-IT-Support-Aktivitäten. Dies sind Beispiele für notwendige Unterstützungsfunktionen für die Kerntätigkeit oder das Hauptgeschäft der Organisation. Obwohl diese Aktivitäten notwendig oder wesentlich sind, werden sie in der Regel eher als Nebenfunktionen als als Kernaktivität betrachtet.
- Großflächig
Großflächige Verarbeitung sind zum Beispiel:
- die Verarbeitung der Patientendaten im Rahmen der täglichen Tätigkeit eines Krankenhauses;
- die Verarbeitung von Kundendaten im Rahmen der täglichen Tätigkeit eines Versicherungsunternehmens oder einer Bank;
- die Verarbeitung für statistische Zwecke der aktuellen Standortdaten von Kunden einer internationalen Fast-Food-Kette durch einen auf solche Dienstleistungen spezialisierten Unterauftragnehmer;
- Verarbeitung personenbezogener Daten für verhaltensbezogene Werbung durch eine Suchmaschine;
- die Verarbeitung von Daten (Inhalt, Fluss, Standort) durch Telefon- und Internetdienstanbieter.
Beispiele für Verarbeitungen, die nicht als großflächig betrachtet werden:
- Verarbeitung von Patientendaten durch einen einzigen Hausarzt;
- Verarbeitung personenbezogener Daten im Zusammenhang mit Verurteilungen und Straftaten durch einen einzelnen Rechtsanwalt.
- Regelmäßige und systematische Überwachung
Beispielsweise umfasst die regelmäßige und systemische Überwachung E-Mail-Retargeting; datengesteuerte Marketingaktivitäten; Profilerstellung und Scoring zum Zwecke der Risikobewertung (z. B. für Zwecke der Bonitätsbewertung, Festsetzung von Versicherungsprämien, Betrugsprävention, Aufdeckung von Geldwäsche); Standortverfolgung (z. B. durch mobile Apps); Treueprogramme; verhaltensbezogene Werbung; Überwachung von Wellness-, Fitness- und Gesundheitsdaten über tragbare Geräte; Videoüberwachung; vernetzte Geräte (z. B. Smart Meter), Smart Cars, Automatisierung im Haus usw.
Daher muss ein Auftragsverarbeiter, der als Kerntätigkeit zur Bereitstellung von Websiteanalysediensten und zur Unterstützung bei gezielter Werbung und Marketing tätig ist, einen DSB benennen.
Sie können jederzeit einen DSB auf freiwilliger Basis ernennen, auch wenn dies gesetzlich nicht erforderlich ist. Bitte beachten Sie, dass Sie in diesem Fall alle Bestimmungen der DSGVO bezüglich der Aufgaben und Position des Datenschutzbeauftragten einhalten müssen. Daher wird empfohlen, den Titel des DSB nur für eine Person zu verwenden, deren Funktion und Position der Beschreibung der DSGVO entspricht.
Wer kann DPO in meiner Organisation sein?
Der DSB muss in der Lage sein, seine Aufgaben und Aufgaben unabhängig wahrzunehmen. Dies bedeutet, dass Ihre Organisation:
- dem DSB keine Weisungen hinsichtlich der Erfüllung seiner Aufgaben erteilen dürfen;
- darf den DSB nicht für die Erfüllung seiner Aufgaben bestrafen oder entlassen.
Die Autonomie der Datenschutzbeauftragten bedeutet jedoch nicht, dass sie über Entscheidungsbefugnisse verfügen, die über ihre Aufgaben hinausgehen. Organisationen bleiben für die Einhaltung des Datenschutzrechts verantwortlich und müssen in der Lage sein, die Einhaltung der Vorschriften nachzuweisen.
Der DSB sollte als Diskussionspartner innerhalb der Organisation angesehen werden und Teil der Diskussionen über Datenverarbeitungstätigkeiten innerhalb der Organisation sein.
Die DSBs melden direkt der höchsten Führungsebene des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters.
DSBs können andere Aufgaben innerhalb der Organisation erfüllen, aber sie können nicht zu einem Interessenkonflikt führen. Dies bedeutet, dass der DSB nicht in der Lage sein kann, die Zwecke und Mittel der Verarbeitung personenbezogener Daten festzulegen. Widersprüchliche Funktionen umfassen hauptsächlich Führungspositionen (Vorstandsvorsitzende, Chief Operating, Chief Financial Officer, Head of HR, Head of IT, Managing Director), aber auch andere Funktionen, wenn sie zur Bestimmung der Zwecke und der Mittel der Verarbeitung führen.
Nach der DSGVO ist es möglich, einen externen DSB mit einem Vertrag über ihre Dienstleistungen zu ernennen. Dieser Vertrag kann mit einer Einzelperson oder einer Organisation geschlossen werden. Im letztgenannten Fall ist es von wesentlicher Bedeutung, dass jedes Mitglied der Organisation keinen Interessenkonflikt hat und vor einem unlauteren Kündigungsvertrag, sondern auch vor missbräuchlicher Entlassung eines einzelnen Mitglieds der Organisation für Tätigkeiten als DSB geschützt ist.
Ihre Organisation sollte dem DSB dabei helfen, Zugang zu allen Verarbeitungsvorgängen sowie zu allen im Rahmen dieser Verarbeitungsvorgängen verarbeiteten personenbezogenen Daten zu gewähren. Es ist von entscheidender Bedeutung, dass der DSB so früh wie möglich in alle Fragen des Datenschutzes einbezogen wird. Außerdem sollten dem DSB die erforderlichen Ressourcen zur Verfügung gestellt werden, damit er seine Aufgaben wahrnehmen kann (Zeit, Schulung, Ausstattung und finanzielle Mittel).
In der Praxis
Bei der Wahrnehmung ihrer Aufgaben dürfen die DSBs nicht angewiesen werden, wie sie mit einer Angelegenheit umgehen sollen. So sollte dem DSB beispielsweise keine Weisung erteilt werden, was das Ergebnis seiner Beratung sein sollte, wie er eine Beschwerde einer Person untersuchen muss oder ob die Konsultation der Datenschutzbehörde angemessen oder obligatorisch ist. Darüber hinaus darf der DSB nicht angewiesen werden, zu einer Frage im Zusammenhang mit dem Datenschutzrecht, z. B. einer bestimmten Rechtsauslegung, einen bestimmten Standpunkt zu vertreten.
Checkliste für die Ernennung eines DSB
- Prüfen Sie, ob ein DSB erforderlich ist oder nicht: Prüfen Sie, ob Sie einen DSB ernennen müssen, und dokumentieren Sie im Zweifelsfall die Gründe, warum Sie einen DSB ernennen oder nicht.
- Wenn ein DSB erforderlich ist:
- Entscheidung zwischen einem internen oder externen Datenschutzbeauftragten: Wenn ein DSB erforderlich ist, entscheiden Sie, ob er auf der Grundlage eines Dienstleistungsvertrags Mitglied Ihrer Organisation oder eines DSB sein wird;
- Zu überprüfen, ob der DSB über die fachlichen Qualitäten und das Fachwissen im Bereich Datenschutzrecht und -praktiken sowie über die Fähigkeit zur Erfüllung der Aufgaben verfügt;
- Überprüfung der Unabhängigkeitsanforderungen: Prüfen Sie, ob Ihr DSB andere Aufgaben hat, die ihre Unabhängigkeit bei der Wahrnehmung ihrer Aufgaben beeinträchtigen könnten (Interessenkonflikte);
- Entwickeln Sie Standardverfahren innerhalb der Governance Ihrer Organisation für die Einbeziehung des DSB.
- Entscheidung zwischen einem internen oder externen Datenschutzbeauftragten: Wenn ein DSB erforderlich ist, entscheiden Sie, ob er auf der Grundlage eines Dienstleistungsvertrags Mitglied Ihrer Organisation oder eines DSB sein wird;
- Wenn ein DSB nicht erforderlich ist:
- Denken Sie es durch: Auch wenn Sie keinen DSB im Sinne der DSGVO bestellen, müssen Sie dennoch eine Reihe von Datenschutzanforderungen erfüllen. Wir empfehlen Ihnen, einen DSB auf freiwilliger Basis oder eine Person, die nicht den Titel eines DSB hat, zu ernennen, der, auch wenn er die Aufgaben eines DSB nicht vollständig ausübt, die Einhaltung überwacht und als Ansprechpartner für Personen fungiert, die ihre Betroffenenrechte ausüben.
- Denken Sie es durch: Auch wenn Sie keinen DSB im Sinne der DSGVO bestellen, müssen Sie dennoch eine Reihe von Datenschutzanforderungen erfüllen. Wir empfehlen Ihnen, einen DSB auf freiwilliger Basis oder eine Person, die nicht den Titel eines DSB hat, zu ernennen, der, auch wenn er die Aufgaben eines DSB nicht vollständig ausübt, die Einhaltung überwacht und als Ansprechpartner für Personen fungiert, die ihre Betroffenenrechte ausüben.