Der Datenschutzbeauftragte (DSB) ist eine zentrale Figur im Datenschutz-Compliance-System, trägt aber NICHT die Verantwortung für die Einhaltung der DSGVO - diese liegt beim Verantwortlichen (Art. 24 Abs. 1 DSGVO).
Aufgaben (Art. 39 DSGVO)
- Unterrichtung und Beratung des Verantwortlichen, des Auftragsverarbeiters und der Beschäftigten
- Überwachung der Einhaltung der Datenschutzvorschriften, einschließlich Schulungen und Audits
- Beratung bei der DSFA und Überwachung ihrer Durchführung
- Zusammenarbeit mit der Aufsichtsbehörde
- Anlaufstelle für die Aufsichtsbehörde und für betroffene Personen
Stellung (Art. 38 DSGVO, Paragraph 6 BDSG)
- Weisungsfreiheit: Der DSB darf keine Anweisungen bezüglich seiner Aufgaben erhalten.
- Berichtsweg: Direkter Bericht an die höchste Leitungsebene.
- Kündigungsschutz: Nur außerordentliche Kündigung möglich; nachwirkend für ein Jahr (Paragraph 6 Abs. 4, Paragraph 38 Abs. 2 BDSG). Gilt nur bei verpflichtender Benennung.
- Kein Interessenkonflikt: Der DSB darf nicht gleichzeitig Geschäftsführer, IT-Leiter oder HR-Leiter sein, da diese Positionen über Zwecke und Mittel der Verarbeitung entscheiden.
- Verschwiegenheit: Der DSB ist zur Verschwiegenheit über die Identität von Beschwerdeführern verpflichtet (Paragraph 6 Abs. 5 BDSG).
- Kontaktdaten: Müßen veröffentlicht und der Aufsichtsbehörde mitgeteilt werden (Art. 37 Abs. 7 DSGVO).
Risikoorientierter Ansatz
Der DSB muss seine Aufgaben risikoorientiert priorisieren: Hochrisiko-Verarbeitungen zürst, weniger riskante nachrangig (Art. 39 Abs. 2 DSGVO).