AUFGABEN DES DATENSCHUTZBEAUFTRAGTEN – GRUNDAUFGABEN

Im Nachfolgenden finden Sie eine nicht abschließende stichpunktartige Aufzählung der Grund- bzw. Standardaufgaben (auch Mindestaufgaben genannt) eines Datenschutzbeauftragten gemäß Art. 39 Datenschutzgrundverordnung (DSGVO), § 7 Bundesdatenschutzgesetz (BDSG) sowie § 15 Thüringer Datenschutzgesetz (ThürDSG) inkl. einer kurzen Kommentierung. 


Unterrichtung:

Des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten (Art. 39 Abs. 1 lit. a Alt. 1 DSGVO / § 7 Abs. 1 S. 1 Nr. 1 Alt. 1 BDSG / § 15 Abs. 3 Nr. 1 Alt. 1 ThürDSG);

  • Die Unterrichtung bezieht sich auf die Aufgaben, die der Verantwortliche oder Auftragsverarbeiter sowie die konkret tätigen Mitarbeiter bei einer Datenverarbeitung nach den einschlägigen Datenschutzbestimmungen zu beachten haben.[1]
  • Die Unterrichtung umfasst die Aufklärung über jede relevante Datenschutzvorschrift, neue Rechtsprechung und technologische Entwicklungen, die insbesondere im Rahmen von Art. 25 DSGVO bedeutend sind.[2]
  • Die Unterrichtung beinhaltet Erläuterungen dieser datenschutzrechtlichen Vorschriften und der jeweiligen Rechtsauffassung.[3] 
  • Des Weiteren lässt sich unter die Unterrichtung subsumieren, den Verantwortlichen/Auftragsverarbeiter sowie deren Beschäftigte allgemein über datenschutzrelevante Vorgänge zu informieren und sie für diese zu sensibilisieren.[4]
  • Die Unterrichtung hat proaktiv durch Schulungen oder Ausgabe von reinem Informationsmaterial, wie Fachliteratur, Kurzdarstellungen, passenden Empfehlungen der Aufsichtsbehörden oder Überblicke über neue datenschutzrelevante Technologien, aufbereitet z. B. in Newslettern, Rundschreiben zu erfolgen.[5]
  • Die Unterrichtung umfasst auch den Hinweis bei Missständen [6] sowie Vorschläge zu Verbesserungsmaßnahmen.[7]
  • Die Unterrichtung beinhaltet zudem das Erteilen von Hinweisen auf geeignete Maßnahmen zur Einhaltung des Datenschutzes als Anleitung für den Verantwortlichen, wie er seiner Verantwortung nach Art. 24 DSGVO nachkommen kann. [8]

Nicht unter die Unterrichtung fallen IT-Sicherheitskonzepte [9] und die Pflicht zur Dokumentation von Unterrichtungsstätigkeiten, jedoch ist diese dringend anzuraten. [10]


Beratung:

Des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten (Art. 39 Abs. 1 lit. a Alt. 2 DSGVO / § 7 Abs. 1 S. 1 Nr. 1 Alt. 2 BDSG / § 15 Abs. 3 Nr. 1 Alt. 2 ThürDSG);

Auf Anfrage im Zusammenhang mit der Datenschutz-Folgenabschätzung (Art. 39 Abs. 1 lit. c Alt. 1DSGVO / § 7 Abs. 1 S. 1 Nr. 3 Alt. 1 BDSG / § 15 Abs. 3 Nr. 3 Alt. 1 ThürDSG);

  • Die Beratung bezieht sich auf die Aufgaben, die der Verantwortliche oder Auftragsverarbeiter sowie die konkret tätigen Mitarbeiter bei einer Datenverarbeitung nach den einschlägigen Datenschutzbestimmungen zu beachten haben.[11]
  • Die Beratung ist typischerweise bedarfsorientiert und anlassabhängig.[12]
  • Sie bezieht sich beispielsweise auf Anträge auf Datenübertragbarkeit (Art. 20 DSGVO), Widersprüche (Art. 21 DSGVO), Datenschutz-Folgenabschätzung (DSFA) [13], Auskunftsersuchen (Art. 15 DSGVO).
  • Des Weiteren fällt hierunter auch die Beratung in der Entwicklung strategischer Unternehmenskonzepte, die datenschutzrechtlich relevante Fragestellungen berühren.[14]
  • Beratung bei der Auswahl, bei der Vertragsgestaltung und bei der Weisungserteilung an Auftragsverarbeiter (Art. 28 Abs. 1, 3, Art. 29 DSGVO).[15]
  • Beraten bei Schadensersatzforderungen (Art. 39 Abs. 1 lit. a i. V. m. Art. 82 DSGVO).[27]
  • Beraten bei Ordnungswidrigkeiten (Art. 39 Abs. 1 lit. a i. V. m. Art. 83 DSGVO).[27]
  • Beratung bei Straftaten (Art. 39 Abs. 1 lit. a DSGVO i. V. m. § 43 BDSG i. V. m. § 61 ThürDSG) [27]
  • Beratung bei der Erstellung und Aktualisierung von Verzeichnissen (Art. 30 DSGVO). 
  • Keine Pflicht zur Dokumentation von Beratungstätigkeit, jedoch ist diese dringend anzuraten.[16] 


Überwachung:

Der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen (Art. 39 Abs. 1 lit. b Alt. 2 DSGVO / § 7 Abs. 1 S. 1 Nr. 2 BDSG / § 15 Abs. 3 Nr. 2 ThürDSG);

  • Überwachung der Einhaltung aller gesetzlichen Datenschutzvorschriften und der internen Datenschutzrichtlinien durch den Verantwortlichen bzw. den Auftragsverarbeiter. [17] 
  • Prüfung abstrakter und konkreter (datenschutzrechtlicher)-Rechtsfragen.[27]
  • Regelmäßige Kontrollen durchführen und diese dokumentieren ("Stichprobenprinzip").[18]
  • Prüfen, ob die Häufigkeit, die Auswahl der Kategorien von Beschäftigten, die Dauer, die Qualität des Schulenden und ähnliche abstrakte Kriterien angemessen sind. Dies betrifft Schulungen der verarbeitenden Stelle im Rahmen ihrer Pflicht zur Ergreifung angemessener Datenschutzvorkehrungen nach Art. 24 Abs. 2 DSGVO.[19]
  • Prüfung, ob die Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden (Art. 5 DSGVO)
  • Prüfung der Rechtmäßigkeit der Datenverarbeitung (Art. 6 DSGVO)
  • Prüfung bei Schadensersatzforderungen (Art. 39 Abs. 1 lit. b i. V. m. Art. 82 DSGVO) [27]
  • Prüfung bei Ordnungswidrigkeiten (Art. 39 Abs. 1 lit. b i. V. m. Art. 83 DSGVO) [27]
  • Prüfung bei Straftaten (Art. 39 Abs. 1 lit. b DSGVO i. V. m. § 43 BDSG i. V. m. § 61 ThürDSG) [27]
  • Prüfung der Vorgaben für die Einwilligung und deren Nachweis (Art. 7 DSGVO)
  • Prüfung der Vorgaben für die Einwilligung eines Kindes (Art. 8 DSGVO)
  • Prüfung der ausnahmsweise zulässigen Verarbeitung sensibler Daten (Art. 9 DSGVO)
  • Prüfung, ob die Informationspflichten bei der Datenerhebung beim Betroffenen eingehalten werden (Art. 13 DSGVO)
  • Prüfung der Informationspflichten bei Erhebung bei Dritten (Art. 14 DSGVO)
  • Prüfung, ob auf Antrag des Betroffenen Daten berichtigt werden (Art. 16 DSGVO)
  • Prüfung, ob auf Antrag des Betroffenen Daten gelöscht werden (Art. 17 DSGVO)
  • Prüfung, ob auf Antrag des Betroffenen Daten gesperrt werden (Art. 18 DSGVO)
  • Prüfung, ob im Falle der Art. 16-18 Mitteilungspflichten bei Übermittlung an Dritte bestehen (Art. 19 DSGVO)
  • Prüfung hinsichtlich automatisierter Einzelentscheidungen einschließlich Profiling (Art. 22 DSGVO)
  • Prüfung der getroffenen Datensicherungsmaßnahmen sowie deren Aktualisierung und Dokumentation (Art. 24 DSGVO)
  • Prüfung der Technikgestaltung und der datenschutzfreundlichen Voreinstellung (Art. 25 DSGVO)
  • Prüfung der ordnungsgemäßen Anwendung der DV-Programme
  • Prüfung der Sicherheit der Verarbeitung und in diesem Zusammenhang der Verpflichtungserklärungen auf das Datengeheimnis (Art. 32 DSGVO)
  • Prüfung der Verarbeitung mittels Videoüberwachungsanlagen [20]
  • Überwachung der Datenschutz-Folgenabschätzung (DSFA) [21]

Überwachung der Datenschutz-Folgenabschätzung (Art. 39 Abs. 1 lit. c Alt. 2 DSGVO / § 7 Abs. 1 S. 1 Nr. 3 Alt. 2 BDSG / § 15 Abs. 3 Nr. 3 Alt. 2 ThürDSG);

Die Mitwirkung bezieht sich der Sache nach auf die Beratung des Verantwortlichen im Hinblick auf alle Elemente der Datenschutz-Folgenabschätzung, namentlich: 

  • der Prüfung der Rechtsgrundlage (z. B. Reichweite einer Einwilligung)
  • der Identifikation von Risiken für Schutzziele des Datenschutzes (z. B. Rechtmäßigkeit der Datenverarbeitung, Datenqualität, Betroffenenrechte, Vertraulichkeit und Sicherheit der Datenverarbeitung);
  • die Bewertung der Wahrscheinlichkeit einer Realisierung der Risiken;
  • der Bestimmung berechtigter Interessen; und
  • der Festlegung von Garantien und Maßnahmen zur Minimierung etwaiger Risiken.[22]

Nach dem Wortlaut besteht eine Beratungspflicht nur „auf Anfrage“ des Verantwortlichen.[23]


Zusammenarbeit:

Mit der Aufsichtsbehörde (Art. 39 Abs. 1 lit. d DSGVO / § 7 Abs. 1 S. 1 Nr. 4 BDSG / § 15 Abs. 3 Nr. 4 ThürDSG)

  • Datenschutzbeauftragter ist Mittler zwischen Aufsichtsbehörde und verarbeitender Stelle.[24]
  • Umfassende Kooperationspflicht mit den zuständigen Aufsichtsbehörden.[25]
  • Von der Kooperationspflicht nicht umfasst ist die Verpflichtung des Datenschutzbeauftragten zur sofortigen Meldung von Verstößen ggü. der Aufsichtsbehörde.[26] 


 

Anlaufstelle:

Für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 DSGVO, und gegebenenfalls Beratung zu allen sonstigen Fragen (Art. 39 Abs. 1 lit. e DSGVO / § 7 Abs. 1 S. 1 Nr. 5 BDSG / § 15 Abs. 3 Nr. 5 ThürDSG). 

  • Anlaufstelle für die Aufsichtsbehörde bei vorheriger Konsultation (Art. 39 Abs. 1 lit. e i. V. m. Art. 36 DSGVO)
  • Anlaufstelle für die Aufsichtsbehörde bei Genehmigungsbefugnissen (Art. 39 Abs. 1 lit. d i. V. m. Art. 58 Abs. 3 DSGVO)
  • Anlaufstelle für die Aufsichtsbehörde bei Untersuchungsbefugnissen (Art. 39 Abs. 1 lit. d i. V. m. Art. 58 Abs. 1 DSGVO)
  • Anlaufstelle für die Aufsichtsbehörde bei Abhilfebefugnissen (Art. 39 Abs. 1 lit. d i. V. m. Art. 58 Abs. 2 DSGVO)
  • Anlaufstelle für die Aufsichtsbehörde bei Verletzung des Schutzes personenbezogener Daten (Art. 39 Abs. 1 lit. d i. V. m. Art. 33 Abs. 3 lit. b DSGVO)


----------------------------------------------

  1. Drewes, in: Simitis Kommentar zur DSGVO, 1. Auflage 2019, Art. 39, Rn. 9.
  2. Moos, in: BeckOK Datenschutzrecht, Wolff/Brink, 38. Edition, Stand: 01. 11. 2019, Art. 39, Rn. 2
  3. Drewes, in: Simitis Kommentar zur DSGVO, 1. Auflage 2019, Art. 39, Rn. 7.
  4. Raum, in: Auernhammer Kommentar zur DSGVO, 7. Auflage 2020, Art. 39, Rn. 6.
  5. Paal, in: Paal/Pauly, DS-GVO BDSG, 3. Auflage 2021, Art. 39, Rn. 5; Moos, in: BeckOK Datenschutzrecht, Wolff/Brink, 38. Edition, Stand: 01. 11. 2019, Art. 39, Rn. 3; Raum, in: Auernhammer, Kommentar zur DSGVO, Art. 39, Rn. 6; Drewes, in: Simitis Kommentar zur DSGVO, 1. Auflage 2019, Art. 39, Rn. 13.
  6. Moos, in: BeckOK Datenschutzrecht, Wolff/Brink, 38. Edition, Stand: 01. 11. 2019, Art. 39, Rn. 4; Paal, in: Paal/Pauly, DS-GVO BDSG, 3. Auflage 2021, Art. 39, Rn. 5.
  7. Kirchberg-Lennartz, in Gierschmann, Kommentar zur DSGVO, 2018, Art. 39, Rn. 10.
  8. Drewes, in: Simitis Kommentar zur DSGVO, 1. Auflage 2019, Art. 39, Rn. 13; Kirchberg-Lennartz, in Gierschmann, Kommentar zur DSGVO, 2018, Art. 39, Rn. 10.
  9. Raum, in: Auernhammer Kommentar zur DSGVO, 7. Auflage 2020, Art. 39, Rn. 9.
  10. Heberlein, in: Ehmann/Selmayr, Kommentar zur DSGVO, 2. A 2018, Art. 39, Rn. 8.
  11. Drewes, in: Simitis Kommentar zur DSGVO, 1. Auflage 2019, Art. 39, Rn. 9.
  12. Moos, in: BeckOK Datenschutzrecht, Wolff/Brink, 38. Edition, Stand: 01.11.2019, Art. 39, Rn. 6; Raum, in: Auernhammer Kommentar zur DSGVO, 7. Auflage 2020, Art. 39, Rn. 6.
  13. Helfrich, in Sydow Kommentar zur DSGVO, 2. Auflage 2018, Art. 39, Rn. 66; Schaffland/Holthaus, in: Kommentar zur DSGVO, Ergl. 11/20, Art. 39, Rn. 7.
  14. Helfrich, in Sydow Kommentar zur DSGVO, 2. Auflage 2018, Art. 39, Rn. 65.
  15. Vgl. Schaffland/Holthaus, in: Kommentar zur DSGVO, Ergl. 11/20, Art. 39, Rn. 7.
  16. Heberlein, in: Ehmann/Selmayr, Kommentar zur DSGVO, 2. A 2018, Art. 39, Rn. 8; Scheja, in: Taeger/Gabel, Kommentar zur DSGVO, 3. Auflage. 2019, Art. 39, Rn. 9.
  17. Moos, in: BeckOK Datenschutzrecht, Wolff/Brink, 38. Edition, Stand: 01. 11. 2019, Art. 39, Rn. 8; Paal, in: Paal/Pauly, DS-GVO BDSG, 3. Auflage 2021, Art. 39, Rn. 6; Schaffland/Holthaus, in: Kommentar zur DSGVO, Ergl. 11/20, Art. 39, Rn. 18.
  18. Schaffland/Holthaus, in: Kommentar zur DSGVO, Ergl. 11/20, Art. 39, Rn. 20; Moos, in: BeckOK Datenschutzrecht, Wolff/Brink, 38. Edition, Stand: 01.11.2019, Art. 39, Rn. 13; Paal, in: Paal/Pauly, DS-GVO BDSG, 3. Auflage 2021, Art. 39, Rn. 6b.
  19. Paal, in: Paal/Pauly, DS-GVO BDSG, 3. Auflage 2021, Art. 39, Rn. 5; Moos, in: BeckOK Datenschutzrecht, Wolff/Brink, 38. Edition, Stand: 01.11.2019, Art. 39, Rn. 5.
  20. Schaffland/Holthaus, in: Kommentar zur DSGVO, Ergl. 11/20, Art. 39, Rn. 7.
  21. Scheja, in: Taeger/Gabel, Kommentar zur DSGVO, 3. Auflage. 2019, Art. 39, Rn. 14.
  22. Moos, in: BeckOK Datenschutzrecht, Wolff/ Brink, 38. Edition, Stand: 01. 11. 2019, Art. 39, Rn. 18.
  23. Heberlein, in: Ehmann/Selmayr, Kommentar zur DSGVO, 2. A 2018, Art. 39, Rn. 15; Scheja, in: Taeger/Gabel, Kommentar zur DSGVO, 3. Auflage. 2019, Art. 39, Rn. 13; Schaffland/Holthaus, in: Kommentar zur DSGVO, Ergl. 11/20, Art. 39, Rn. 56.
  24. Moos, in: BeckOK Datenschutzrecht, Wolff/ Brink, 38. Edition, Stand: 01. 11. 2019, Art. 39, Rn. 21.
  25. Scheja, in: Taeger/Gabel, Kommentar zur DSGVO, 3. Auflage. 2019, Art. 39, Rn. 16.
  26. Paal, in: Paal/Pauly, DS-GVO BDSG, 3. Auflage 2021, Art. 39, Rn. 8.
  27. Vgl. Schaffland/Holthaus, in: Kommentar zur DSGVO, Ergl. 11/20, Art. 39, Rn. 7a.