HOME > Blog > Datenschutzbeauftragter > Aufgaben und Verantwortung des Datenschutzbeauftragten

Aufgaben und Verantwortung des Datenschutzbeauftragten

Posted on Veröffentlicht in Datenschutzbeauftragter
Aufgaben und Verantwortung des Datenschutzbeauftragten
Aufgaben und Verantwortung des Datenschutzbeauftragten

Die polnische Datenschutzaufsichtsbehörde (UODO) hat eine Geldbuße in Höhe von PLN 50.000 (EUR 11.054) gegen die Warschauer Universität verhängt. Nach Ansicht der UODO hatte die Universität die Wirksamkeit technischer und organisatorischer Maßnahmen nicht ausreichend bewertet und überwacht. Bemängelt wurde ua eine unzureichende Schulung und Sensibilisierung von Mitarbeitern.

Ausgangspunkt des Verfahrens war der Diebstahl eines privaten Laptops. Auf dem Gerät befanden sich personenbezogene Daten von etwa 80.000 Studienkandidaten. Ein Universitätsmitarbeiter hatte die Daten, ohne Wissen des Administrators, aus dem zentralen Datenbestand der Universität übernommen und für berufliche Aufgaben verarbeitet.

Aufgaben des Datenschutzbeauftragten

Neben den Aussagen zu mangelhaften Sicherheitsmaßnahmen enthält der Bescheid auch einige interessante Aussagen zu den Aufgaben des Datenschutzbeauftragten.

So sei es Aufgabe des Datenschutzbeauftragten, die vom Verantwortlichen verabschiedeten Bestimmungen und Richtlinien zur Sicherheit der Verarbeitung von personenbezogenen Daten zu überwachen.

Dabei habe der Verantwortliche sicherzustellen, “dass der Datenschutzbeauftragte ordnungsgemäß und unverzüglich in alle Angelegenheiten im Zusammenhang mit dem Schutz personenbezogener Daten einbezogen wird.”

Der Datenschutzbeauftragte habe seine Aufgaben unter gebührender Berücksichtigung der mit Verarbeitungsvorgängen verbundenen Risiken unter Berücksichtigung von Art, Umfang, Kontext und Verwendungszwecken” wahrzunehmen. Nach dieser “Bestimmung muss der Datenschutzbeauftragte bei seiner Arbeit Prioritäten setzen, die darin bestehen sollten, Maßnahmen und Arbeitsmethoden individuell und unabhängig festzulegen und an die Besonderheiten (der jeweiligen Arbeitsvorgänge) beim Verantwortlichen anzupassen.”

Die Konzentration auf Aspekte, die ein höheres Risiko für den Schutz personenbezogener Daten mit sich bringen, sollte es dem Datenschutzbeauftragten erleichtern, dem für die Verarbeitung Verantwortlichen mitzuteilen:

  • Welche Methodik bei der Durchführung einer Datenschutz-Folgenabschätzung anzuwenden ist;
  • Ob einzelne Verarbeitungsbereiche intern oder extern geprüft werden sollten;
  • Welche internen Schulungen für Mitarbeiter oder Manager, die für die Datenverarbeitung verantwortlich sind, zu planen und durchzuführen sind und
  • in welchen Bereichen, Verantwortliche mehr Zeit und Ressourcen bereitstellen sollten.

Bezüglich Schulung und Sensibilisierung stellte die polnische Aufsichtsbehörde fest, dass die Sensibilisierung für Datensicherheit das Risiko der Verarbeitung personenbezogener Daten verringert. Daher läge es im Interesse des Verantwortlichen, die mit der Verarbeitung beschäftigten Personen zu schulen. Insbesondere gälte dies für personenbezogene Daten mit einem höheren Risiko für Betroffene. Als Arbeitgeber verfüge der Verantwortliche auch über Rechte, die es ermöglichen, Arbeitnehmer zur Teilnahme an Schulungen zu verpflichten.

Die Überwachung der Aktivitäten zur Sensibilisierung und Schulung zählt laut Aufsichtsbehörde zu den Aufgaben des Datenschutzbeauftragten.

Verantwortung des Verantwortlichen und Datenschutzbeauftragten

Die Behörde weist ausdrücklich darauf hin, dass der Verantwortliche alleine verantwortlich für die DSGVO-Umsetzung ist. Der Verantwortliche sei auch für die Handlungen des Datenschutzbeauftragten verantwortlich. Schließlich habe der Verantwortliche den Datenschutzbeauftragten, auf Grundlage seiner beruflichen Qualifikationen, insbesondere seiner Fachkenntnisse in Datenschutzgesetzen und -praktiken und der Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben, zum Datenschutzbeauftragten benannt.

Datenschutzbeauftragte seien wiederum gegenüber der beauftragenden Stelle für die Erfüllung der übertragenen Ausgaben direkt verantwortlich.

Empfehlungen

  • Aktive Einbeziehung des Datenschutzbeauftragten bei der Planung, Umsetzung und Kontrolle von Verarbeitungsvorgängen mit erhöhten Risiko für die betroffenen Personen;
  • Regelmässige und verpflichtende Schulungen und Sensibilisierungen für die mit der Verarbeitung von personenbezogenen Daten befassten Mitarbeiterinnen und Mitarbeiter;
  • Zur Bewertung der im Einzelfall mit den bestimmten Verarbeitungsvorgängen verbundenen Risiken empfiehlt sich eine grundlegende Schutzbedarfsfeststellung durch mit der Verarbeitung befasste Personen im Zusammenhang mit einer Bewertung zur Erforderlichkeit der Durchführung einer Datenschutzfolgenabschätzung;

Quellen