Datenschutzbeauftragter – wann wird er benötigt?

Service

Die DSGVO verlangt von einigen Verwaltern personenbezogener Daten, einen Datenschutzbeauftragten (DSB) zu ernennen. Alle staatlichen Behörden, Einrichtungen, die sensible Daten in großem Umfang verarbeiten, und Einrichtungen, deren Haupttätigkeit darin besteht, Personen in großem Umfang zu überwachen, müssen einen DSB ernennen. Wann wird der Datenschutzbeauftragte benötigt?

Wer ist der Datenschutzbeauftragte (DPO)?

Der Inspektor für den Schutz personenbezogener Daten ist eine vom Administrator oder Auftragsverarbeiter ernannte Person, die bei der Einhaltung der Bestimmungen zum Schutz personenbezogener Daten im Unternehmen oder der Organisation hilft. Der DSB fungiert als Vermittler zwischen den interessierten Stellen (dem Amt für den Schutz personenbezogener Daten, dem Auftragsverarbeiter und der betroffenen Person). Darüber hinaus sorgt der Inspektor für den Schutz personenbezogener Daten für die Umsetzung des Grundsatzes der Rechenschaftspflicht – er hilft bei der Erstellung einer Risikobewertung oder Bewertung der Auswirkungen des Schutzes personenbezogener Daten.

Die Aufgaben des Datenschutzbeauftragten sind:

  • Information des Administrators, des Auftragsverarbeiters und der Mitarbeiter über die sich aus der DSGVO ergebenden Pflichten zum Schutz personenbezogener Daten,

  • Beratung zur Einhaltung der Bestimmungen zum Schutz personenbezogener Daten,

  • Überwachung der Einhaltung von Bestimmungen und Richtlinien im Bereich des Schutzes personenbezogener Daten,

  • Unterstützung bei der Erstellung einer Risiko- oder Folgenabschätzung zum Schutz personenbezogener Daten,

  • Wahrung der Vertraulichkeit in Bezug auf die Aufgaben, die unter dem Schutz personenbezogener Daten ausgeführt werden,

  • als Anlaufstelle für die Aufsichtsbehörde fungieren.

Beachtung!
Der Datenschutzbeauftragte ist nicht verantwortlich für die Nichteinhaltung der DSGVO. Die Pflicht zur ordnungsgemäßen Einhaltung der Bestimmungen zum Schutz personenbezogener Daten liegt beim Verantwortlichen oder Auftragsverarbeiter. Der DSB kann mit der Rolle eines Assistenten, Beraters verglichen werden.

Wer muss einen DSB ernennen?

Öffentliche Einrichtungen, Einrichtungen, die sensible Daten in großem Umfang verarbeiten, und Einrichtungen, deren Haupttätigkeit darin besteht, Personen in großem Umfang zu überwachen, müssen einen DSB ernennen. Andere Einrichtungen können ebenfalls einen DSB ernennen, dies ist jedoch für sie nicht obligatorisch. Wenn sie jedoch trotz des Fehlens einer solchen Verpflichtung einen DSB ernennen, sollten sie gemäß den für ihn geltenden Anforderungen (in Bezug auf die Aufgaben, die Rolle des Inspektors) handeln.

Die Arbeitsgruppe 29, d. h. ein Expertenteam, das mit der Erstellung von Richtlinien im Bereich der DSGVO beauftragt ist, empfiehlt, dass eine bestimmte Stelle, die nicht zur Benennung eines DSB verpflichtet ist, eine Dokumentation erstellen sollte, die dies begründet.

Wem soll die Funktion des DSB übertragen werden - ein Mitarbeiter oder eine externe Stelle?

Der Inspektor für den Schutz personenbezogener Daten kann ein Mitarbeiter des Administrators oder Auftragsverarbeiters sein oder Aufgaben im Rahmen eines Vertrags über die Erbringung von Dienstleistungen ausführen.

Eine Unternehmensgruppe kann einen DSB ernennen, wenn dieser von jeder dieser Stellen und jeder Organisationseinheit leicht zu erreichen ist. Um den Kontakt zu erleichtern, sollte die Stelle, die den Inspektor bestellt hat, seine Kontaktdaten veröffentlichen.

Der Inspektor für den Schutz personenbezogener Daten wird vom Administrator oder dem Auftragsverarbeiter für die Erfüllung seiner Aufgaben nicht abberufen oder bestraft. Es berichtet direkt an die oberste Leitung des Verantwortlichen oder Auftragsverarbeiters.

Sie kann jedoch in begründeten Fällen widerrufen werden, beispielsweise aus Gründen, die beispielsweise das Arbeitsverhältnis oder den Vertrag betreffen, z.B. Belästigung, Diebstahl, schwerwiegende Pflichtverletzungen. Dies gilt für Mitarbeiterinspektoren ebenso wie für externe Inspektoren. Die DSGVO erklärt nicht, wie und wann der DSB widerrufen und durch eine andere Person ersetzt werden kann – es hängt von der Stelle ab, die den Inspektor bestellt hat.

Starten Sie eine kostenlose 30-tägige Testphase ohne Bedingungen!

Wie ernennt man einen DSB?

Die Ernennung des Datenschutzbeauftragten erfolgt aufgrund fachlicher Qualifikation, insbesondere fachlicher Kenntnisse des Datenschutzrechts und der Datenschutzpraxis sowie der Fähigkeit, Aufgaben im Bereich des Datenschutzes zu erfüllen.

Pflichten für Verantwortliche oder Auftragsverarbeiter im Zusammenhang mit DSB:

  • sofortige Einbeziehung des Datenschutzbeauftragten in Angelegenheiten des Schutzes personenbezogener Daten;

  • Bereitstellung der erforderlichen Materialien für den Datenschutzbeauftragten, damit dieser seine Aufgabe erfüllen kann, z.B. Zugang zu personenbezogenen Daten, Verarbeitungsvorgänge und Zugang zu Fachwissen;

  • Information der Mitarbeiter über die Bestellung eines DSB;

  • dem DSB keine Weisungen zur Wahrnehmung seiner Aufgaben erteilen – Datenschutzbeauftragte – unabhängig davon, ob sie Mitarbeiter des für die Verarbeitung Verantwortlichen sind oder nicht – sollten in der Lage sein, ihre Pflichten und Aufgaben unabhängig wahrzunehmen;

  • wird einer der Mitarbeiter zum Inspektor, sollte für die Aufgaben des DSB eine angemessene Arbeitszeit gewährleistet sein, damit diese Aufgaben andere Aufgaben nicht beeinträchtigen.

Der Verantwortliche oder der Auftragsverarbeiter muss die Kontaktdaten des Inspektors veröffentlichen und der Aufsichtsbehörde, d. h. dem Präsidenten des Amtes für den Schutz personenbezogener Daten, mitteilen.

Wann und wer sollte über die Ernennung des Datenschutzinspektors informiert werden?

Die Aufsichtsbehörde, d. h. der Präsident des Amtes für den Schutz personenbezogener Daten, sollte über die Bestellung eines DSB informiert werden. Die Fristen, innerhalb derer die Benachrichtigung erfolgen muss, sind im geänderten polnischen Gesetz zum Schutz personenbezogener Daten festgelegt.

Wenn der Administrator einen DSB ernennt, sollte die Benachrichtigung erfolgen:

  • bis 1. September 2018 - wenn der Administrator ABI vor dem 25. Mai 2018 ernannt hat und beschließt, dass dieselbe Person als Inspektor für den Schutz personenbezogener Daten fungieren wird (Artikel 158 (1) und (2) des neuen Gesetzes),

  • bis 1. September 2018 - wenn der Administrator den Informationssicherheitsadministrator (ISA) vor dem 25. Mai 2018 bestellt hat, aber eine andere Person zum Datenschutzinspektor ernennen möchte (Artikel 158 (1) des neuen Gesetzes),

  • bis 31. Juli 2018 - wenn der Verwalter vor dem 25. Mai 2018 keinen ABI bestellt hat (Artikel 158 (4) des neuen Gesetzes),

  • innerhalb von 14 Tagen ab dem Datum der Benennung des Datenschutzbeauftragten - wenn der Administrator vor dem 25. Mai 2018 kein ABI ernannt hat, aber beschließt, freiwillig einen Inspektor für den Schutz personenbezogener Daten zu ernennen (Artikel 10 des neuen Gesetzes).

Für Prozessoren, die:

  • zur Bestellung eines DSB verpflichtet sind - die Benachrichtigung soll bis zum 31. Juli 2018 erfolgen (Artikel 158 (5) des neuen Gesetzes),

  • sind nicht zur Benennung eines DSB verpflichtet und beschließen, eine solche Person zu benennen - die Benachrichtigung sollte innerhalb von 14 Tagen ab dem Datum der Benennung erfolgen (Artikel 10 (1) des neuen Gesetzes).

Die Mitteilung über die Ernennung des DSB sollte Folgendes enthalten:

  • Name, Vorname und E-Mail-Adresse oder Telefonnummer des Prüfers,

  • Vor- und Nachname und Wohnanschrift - wenn der Verantwortliche oder Auftragsverarbeiter eine natürliche Person ist,

  • die Firma des Unternehmers und die Anschrift des Geschäftssitzes, wenn der Verwalter oder Auftragsverarbeiter eine natürliche Person ist, die ein Gewerbe betreibt,

  • den vollständigen Namen und die vollständige Anschrift des eingetragenen Sitzes, wenn der Verantwortliche oder der Auftragsverarbeiter eine andere als die in den vorstehenden Punkten genannte Stelle ist,

  • REGON, wenn es dem Administrator oder Bearbeiter zugewiesen wurde.

Mitteilungen über die Bestellung eines Datenschutzbeauftragten sollten in elektronischer Form erfolgen und mit einer qualifizierten elektronischen Signatur oder einer von einem vertrauenswürdigen ePUAP-Profil bestätigten Signatur versehen werden. Ab dem 25. Mai 2018 steht hierfür ein elektronisches Formular auf der Website der Geschäftsstelle zur Verfügung.

Die Mitteilung kann auch durch den Bevollmächtigten der ernennenden Stelle erfolgen. Der Mitteilung ist eine in elektronischer Form erteilte Vollmacht beigefügt.