Erfüllung der Anforderungen der GDPR an die Ernennung des Datenschutzbeauftragten (DPO)

Die Datenschutz-Grundverordnung (nachfolgend nur die „GDPR“, aus dem Englischen General Data Protection Regulation) soll am 25. Mai 2018 wirksam werden. Sie stellt im Rahmen der Europäischen Union eine Reform des Datenschutzes in dem sich entwickelnden digitalen Zeitalter dar. Die Verfasser dieser Gesetzgebung, inspiriert von den Regeln zum Schutz personenbezogener Daten in einigen Europaländern, stellten die neue europaweite Pflicht einiger Verantwortlichen und Auftragsverarbeiter vor, einen Datenschutzbeauftragten (nachfolgend nur der „DPO“, aus dem Englischen Data Protection Officer) im Rahmen ihrer Organisation zu ernennen.

 

Wer ist zur Ernennung des DPO verpflichtet?

Einige Verantwortliche und Auftragsverarbeiter haben die Pflicht zur Ernennung des DPO:

1. Wenn sie eine Behörde oder öffentliche Stelle sind. Dies umfasst nationale oder regionale Behörden, andere unter das öffentliche Recht fallende Stellen sowie juristische Personen, die dem öffentlichen oder Privatrecht in einzelnen öffentlich reglementierten Sektoren unterliegen. Die Letztgenannten sollen juristische Personen umfassen, die in den Bereichen Infrastruktur, Wasser-, Gas- oder Stromversorgung oder öffentliche Verkehrsleistungen tätig sind, sowie öffentlich-rechtliche Rundfunkanstalten oder Disziplinarorgane für reglementierte Berufe. Dieses Erfordernis gilt jedoch nicht für Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln.
2. Falls ihre Kerntätigkeit in Verarbeitungsvorgängen besteht, die eine regelmäßige, systematische und umfassende Überwachung von natürlichen Personen erfordern. Alle diese Kriterien müssen gleichzeitig erfüllt sein, damit vom Verantwortlichen oder Auftragsverarbeiter die Ernennung des DPO gefordert wird, wobei die folgenden Tatsachen in Betracht zu ziehen sind.
   1. Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters ist eine solche Tätigkeit, im Rahmen welcher die Verarbeitung personenbezogener Daten einen festen Bestandteil ihrer Tätigkeit bildet, z.B. die Tätigkeit eines Krankenhauses ist die Erbringung der Gesundheitsversorgung, bei einem privaten Sicherheitsdienst ist es die Beaufsichtigung möglicher betroffenen Personen.
   2. Die Frage, was unter einer umfassenden Verarbeitung zu verstehen ist, wurde bisher nicht quantifiziert, sie sollte jedoch wiederum z.B. ein Krankenhaus umfassen, das gesundheitsbezogene Patientendaten verarbeitet, oder einen Telefon- oder Internetdienstleister bei der Verarbeitung von inhalts-, betriebs- oder ortungsbezogenen Daten der Kunden, die Tätigkeit des Betreibers einer Internet-Suchmaschine bei der Verarbeitung von verhaltensbezogenen Daten seiner Benutzer oder ein Versicherungsunternehmern, das die Daten seiner Klienten verarbeitet.
   3. Regelmäßige und systematische Verarbeitung sollte laufende oder sich wiederholende Tätigkeiten umfassen, die in Übereinstimmung mit einer Strategie oder im Voraus organisierten Methodik erfolgen.
3. Wenn ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten besteht. Besondere Kategorien von personenbezogenen Daten bedeuten empfindliche Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Neben der obligatorischen Ernennung des DPO fordert die durch Artikel 29 eingesetzte Gruppe (europäische Beratungsstelle zur Auslegung der datenschutzbezogenen Fragen) die Verantwortlichen und Auftragsverarbeiter auf, auf freiwilliger Basis den DPO zu ernennen, und zwar auch in Fällen, in denen eine solche Ernennung für sie nicht obligatorisch ist, und dadurch besser ihre Verantwortung nachzuweisen und potentiell auch einen Konkurrenzvorteil zu gewinnen.

 

Wie sind die Schlüsselqualifikationen eines DPO?

Die Wahl der richtigen Person für die Wahrnehmung der Aufgaben des DPO ist von entscheidender Bedeutung. Die Verordnung fordert, dass der DPO ein höheres Fachniveau und Kenntnisstand in den Vorgängen der Organisation bei Organisationen mit höherem Maße an Komplexität der Daten aufweist. DPO sollte auch über eine angemessene Unterstützung verfügen, wenn größere Datenmengen verarbeitet werden, und die Aufgaben des DPO sollten daher in solchen Fällen von einem genügend besetzten DPO-Team wahrgenommen werden. Vom DPO wird verlangt, dass er die durch die Organisation ausgeführten Verarbeitungsvorgänge gut versteht, sich ordnungsgemäß mit den Verwaltungsregeln und -vorgängen der Organisation vertraut macht, sowie dass er Kenntnis über die entsprechende lokale und europaweite Regelung des Schutzes der Privatsphäre, die GDPR selbst sowie die sektorenspezifische Regelung in Bezug auf die Tätigkeit der Organisation besitzt.

 

Wie ist die Position des DPO in der Organisation?

Organisationen, die den DPO – egal ob obligatorisch oder freiwillig - ernennen, haben dafür zu sorgen, dass der DPO in Fragen der Verarbeitung personenbezogener Daten stets informiert und angesprochen wird. Der DPO sollte insbesondere an Sitzungen der Leitungsebene teilnehmen, wenn Fragen des Schutzes der Privatsphäre behandelt werden, und sollte Unterstützung vom Hochmanagement, genügend Zeit für die Erfüllung seiner Pflichten, angemessene Finanzmittel, fortlaufende Fachausbildung sowie den erforderlichen Zugang zu anderen Abteilungen im Rahmen der Organisation wie HR-, Rechts-, IT- oder Sicherheitsabteilung bekommen.

 

Welche Mitarbeiter können zur Wahrnehmung der Aufgaben des DPO nicht ernannt werden?

Die Organisationen sollten stets bedenken, dass der DPO seine Funktion unabhängig wahrnehmen muss. Daher sollte er Berichte erstatten und Zugang zu der obersten Leitungsebene der Organisation haben und imstande sein, jeglichen Widerspruch zu offenbaren. DPO kann keine Position im Rahmen der Organisation bekleiden, an der er den Zweck und die Art und Weise der Verarbeitung von personenbezogenen Daten bestimmen könnte. Im Einzelnen kann die Aufgaben des DPO kein Generaldirektor, Finanzdirektor, Leiter der Marketingabteilung, Leiter der Abteilung für Personalmanagement, IT-Leiter oder Anwalt, der die Organisation in datenschutzbezogenen Fällen vertritt, wahrnehmen.

 

Was sind die Aufgaben des DPO?

Als Bestandteil seiner Pflicht zur Überwachung der Einhaltung der Vorschriften hat der DPO insbesondere:

• die Organisation zu unterrichten, zu beraten und ihr Empfehlungen zu geben,
• Informationen zur Identifizierung der Verarbeitungstätigkeiten zu erheben,
• die Rechtskonformität der Verarbeitung personenbezogener Daten zu analysieren und zu kontrollieren,
• zu kooperieren und Kontaktstelle für den Schutz personenbezogener Daten zu sein,
• die Organisation zu beraten, ob sie die Datenschutz-Folgenabschätzung (nachfolgend nur die „DPIA“), aus dem Englischen Data Protection Impact Assessment) durchführen soll oder nicht,
• die Organisation zu beraten, welche Methodik sie bei der Ausführung der DPIA anwenden soll,
• die Organisation zu beraten, ob sie die DPIA betriebsintern ausführen oder extern vergeben soll.

 

Kann ein externer DPO ernannt werden?

Ja, der DPO kann auch aus Personen ausgewählt werden, die nicht Mitarbeiter der Organisation sind, der DPO kann auch ein Einzelner oder eine Organisation sein und die Aufgaben des DPO auf Grundlage eines Dienstleistungsvertrags wahrnehmen. Der Vorteil liegt im niedrigeren Risiko, dass der externe DPO in einem Interessenkonflikt steht, wobei vorausgesetzt wird, dass die Aufgaben des externen DPO meistens von Teammitgliedern wahrgenommen werden, die über detaillierte Kenntnisse in spezifischen Fachgebieten verfügen. Auch kann ein externer DPO im derzeitigen Umfeld nützlich sein, das einen Mangel am geschulten Personal für die Wahrnehmung der Aufgabe des DPO aufweist.

 

Wir in Konečná & Zacha bieten für unsere Klienten die Dienstleistung der Erfüllung der Aufgaben des DPO für deren Organisationen an und helfen unseren Klienten mit der Einhaltung der neuen, durch die GDPR festgelegten Regeln zum Schutz personenbezogener Daten. Sollten Sie jegliche weiteren Fragen zu diesem Thema haben oder jegliche Hilfe bei der Ernennung des DPO in Ihrem Unternehmen benötigen, so sind wir gerne für Sie da, um Sie durch die Dschungel der GDPR zu begleiten.