Kapitel 4, Abschnitt 4 der Datenschutzgrundverordnung (DS-GVO) enthält Bestimmungen zum Datenschutzbeauftragten (DSB). Wer jedoch bei einem Blick in die Artt. 37 bis 39 ff. DS-GVO auf umfangreiche Informationen zum Anforderungsprofil eines DSB gehofft hat, wird unbefriedigt zurückgelassen.
Der Datenschutzbeauftragte nach der DS-GVO
Der DSB wird gem. Art. 37 DS-GVO von dem für die Verarbeitung personenbezogener Daten Verantwortlichen und dem Auftragsverarbeiter bestellt. Seine Pflichten umfassen unter anderem:
- Die Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen.
- Die Überwachung der Einhaltung von Datenschutzvorschriften (z.B. der Dokumentationspflichten aus Art. 5 Abs. 2 DS-GVO).
- Überwachung der Einhaltung der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten.
- Zuweisung von Zuständigkeiten und entsprechende Überprüfungen (Entwicklung von geeigneten Prozessen zum Schutz der von der Verarbeitung betroffener personenbezogener Daten).
- Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter, sowie entsprechende Überprüfungen.
Daraus ergibt sich kein offensichtliches Anforderungsprofil. Erwägungsgrund 97 DS-GVO präzisiert, dass der DSB über ein Fachwissen verfügen sollte, welches sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die verarbeiteten personenbezogenen Daten richtet.
Studie und Handreichung (CNIL)
Diesen wenig bestimmten Anforderungen möchte die französische Aufsichtsbehörde, Commission Nationale de l’Informatique et des Libertés (CNIL) mit einer Handreichung zum Datenschutzbeauftragten abhelfen.
Die Handreichung stützt sich unter anderem auf eine von dem französischen Ministerium für Arbeit, in Auftrag gegebene Studie. Diese wurde durch die CNIL unterstützt.
Investierte Zeit in die Tätigkeit
Die Studie zeigt auf, dass 44% der DSB angaben, erhebliche Schwierigkeiten bei der Umsetzung der DS-GVO zu haben. Dabei ist zu beobachten, dass die Umsetzungsschwierigkeiten und das damit verbundene Niveau der erforderlichen Kompetenzen als umso größer wahrgenommen werden, je mehr Zeit ein DSB in seine Tätigkeit investiert (Studie, S. 14).
Rund 75% der Befragten unternehmensinternen DSB sind Teilzeitkräfte, 43% wenden weniger als ein Viertel ihrer Arbeitszeit für Datenschutztätigkeiten auf. (Studie, S. 15). Hieraus lässt sich jedoch nicht ableiten, wie viel Arbeitszeit ein interner DSB für seine konkrete Tätigkeit in einem konkreten Unternehmen eigentlich einplanen müsste.
Die für den Datenschutz notwendige Arbeitszeit wird unter anderem durch folgende Faktoren beeinflusst (Studie, S. 5):
- Welche und wie viele personenbezogene Daten werden im Unternehmen verarbeitet?
- Welche Ressourcen stehen dem DSB zur Verfügung (monetär und personell)?
- Wie ist das Unternehmen in Bezug auf den Datenschutz im Allgemeinen aufgestellt?
Anforderungen an die Fachkompetenzen
Die DS-GVO sieht keine speziellen Schul- oder Studienabschlüsse als Voraussetzung für die Tätigkeit als DSB vor. Die Studie zeigt jedoch auf, dass sich die Fachkompetenzen welche die DSB als Grundlage ihrer Tätigkeit mitbringen wie folgt aufteilen:
- 28 % juristischer Hintergrund,
- 28 % IT-Hintergrund,
- 48% sonstiger beruflicher Hintergrund.
Die sonstigen beruflichen Hintergründe umfassen u.a. die Gebiete Verwaltung, Finanzen, Buchhaltung und Compliance.
Wenig überraschend sind in diesem Zusammenhang auch die Empfehlungen der CNIL. So sollte der DSB über die folgenden Fähigkeiten verfügen (Handreichung, S. 14):
- Juristisches sowie technisches Know-how, bezogen auf den Datenschutz.
- Ein Verständnis über die Verarbeitungsvorgänge, die IT-Systeme sowie die individuellen datenschutzrechtlichen Anforderungen in Abhängigkeit vom konkreten Unternehmen.
- Branchenspezifisches Hintergrundwissen.
- Kenntnisse der geltenden Verwaltungsvorschriften und Verfahren, wenn es um den Datenschutz von öffentlichen Stellen geht.
Benötigte Soft Skills
Neben den fachlichen Anforderungen werden in der Studie auch die benötigten persönlichen Kompetenzen eines DSB näher beleuchtet. Denn es ist eine Sache die technischen und juristischen Fähigkeiten mitzubringen, eine andere hingegen die zur Rechtskonformität beitragenden Veränderungen einzuleiten und eine Akzeptanz dieser Veränderungen innerhalb der Unternehmensstruktur zu erreichen. (Studie, S. 6) Dabei sind die aufgezeigten Soft-Skills deckungsgleich mit den in Deutschland bereits allgemein bekannten Empfehlungen (siehe z.B. Tätigkeitsbericht 2018, LfDI BW und Kurzpapier Nr. 12 DSK). Diese sind:
- Integrität.
- Gute Kommunikationsfähigkeiten.
- Überzeugungskraft.
- Hohes Level an professioneller Ethik.
Vermeidung von Interessenskonflikten
Gem. Art. 39 Abs. 6 S. 2 DS-GVO hat der Verantwortliche oder der Auftragsverarbeiter sicherzustellen, dass es zu keinem Interessenskonflikt zwischen der Tätigkeit als DSB und der Ausübung anderer Aufgaben und Pflichten kommt. Zu beachten sind die folgenden Punkte (Handreichung, S. 14 bis 18):
- Dem DSB muss ein neutraler Blick auf die Sachverhalte ermöglicht werden. (z.B. dürfen keine Belohnungen für das “Durchwinken” von Sachverhalten versprochen werden)
- Von der Tätigkeit als DSB sind ferner diejenigen ausgeschlossen, die aufgrund anderer Aufgaben einen Einfluss auf die Zwecke und Mittel der Datenverarbeitung haben (z.B. IT-Leiter, Geschäftsführer).
Der CNIL geht ferner auf einen möglichen Interessenskonflikt eines externen DSB ein. Diesem ist es gesetzlich nicht untersagt, zeitgleich auch miteinander in Konkurrenz stehende Unternehmen zu beraten und zu vertreten. Liegt jedoch ein solcher Fall vor, so sollte der DSB dies offen kommunizieren und eine im besten Falle dokumentierte Überprüfung der Unabhängigkeit durchzuführen.
Ethik-Charta
Nach erfolgter Auswahl eines zu benennenden DSB und vor dessen Benennung empfiehlt die CNIL weiter die Unterzeichnung einer Ethik-Charta sowie die offen kommunizierte Rollenverteilung zwischen dem DSB und dem Verantwortlichen (Handreichung, S. 24).
Ein in der Studie aufgezeigtes Problem, mit welchem sich die DSB konfrontiert sehen, ist ein Konflikt zwischen den Anforderungen DS-GVO, dem ethischen Konzept und den Praktiken des Unternehmens. Ferner gaben immerhin noch gut ein Drittel der Befragten an, dass Ihre Rolle nicht hinreichend klar definiert sei bzw. vom Unternehmen und Management nicht hinreichend verstanden würde.
Lohnt sich ein vertiefender Blick in die Handreichung?
Auch wenn die Handreichung keinen festen Rahmen mit klar definierten Arbeitszeiten und benötigten Abschlüssen bildet, so werden die grundsätzlichen Anforderungen an einen DSB klar und verständlich umrissen. Anhand umfangreicher FAQ und Beispiele werden diese beschrieben. Ferner wird eine Checkliste zur Verfügung gestellt, die sowohl bei der Auswahl eines DSB als auch bei den erforderlichen Vorüberlegungen und der internen Organisation helfen kann. (Anhang Nr. 1, S. 43) Folglich schadet ein Blick in die Handreichung der CNIL keineswegs. Empfehlenswert ist dieser Blick insbesondere um einem angehenden DSB oder denjenigen, die beabsichtigen einen solchen zu bestellen, einen ersten Überblick zu verschaffen.
Schulungshinweis
Die als Grundlage für die Handreichung der CNIL durchgeführte Studie zeigt zudem auf, dass sich die unternehmensinternen DSB insbesondere auf den folgenden Gebieten fortbilden möchten (Studie, S. 18):
- Bereich der IT-Sicherheit,
- Durchführung einer DSFA,
- Kenntnisse über Informationssysteme und aktuelle technische Entwicklungen und Rechtsprechung.
Diesen Interessen folgend bieten wir regelmäßig Schulungen und Seminare für Datenschutzbeauftragte sowie Datenschutzkoordinatoren an.