Die Datenschutz-Grundverordnung (DSGVO), die bereits seit fast 5 Jahren in Kraft ist, bietet einen modernisierten, auf dem Grundsatz der Rechenschaftspflicht basierenden Handlungsrahmen für die Überprüfung der Einhaltung der Datenschutzvorschriften.
Die Rolle des Datenschutzbeauftragten
Die Rechenschaftspflicht ist ein allgemeiner Grundsatz für Unternehmen in vielen Bereichen. Der Grundsatz bedeutet, dass Unternehmen den Erwartungen gerecht werden müssen, zum Beispiel bei der Bereitstellung ihrer Produkte. Auch in der DSGVO ist der Grundsatz der Rechenschaftspflicht integriert, wonach Unternehmen und nicht die Datenschutzbehörden nachweisen müssen, dass die Datenschutzvorschriften eingehalten werden. Das bedeutet unter anderem, dass Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen und in der Lage sein müssen, auf Anfrage nachzuweisen, was sie unternommen haben und wie wirksam das war. In dieser Hinsicht hat der Datenschutzbeauftragte eine wichtige Rolle.
Datenschutzbeauftragte erleichtern nicht nur die Einhaltung der Bestimmungen, indem sie etwa Instrumente zur Anwendung bringen, die der Einhaltung der Rechenschaftspflicht dienen (wie z.B. Durchführung von Risikoanalysen und Datenschutz-Folgenabschätzungen), sondern fungieren darüber hinaus auch als Mittler zwischen den maßgeblichen Interessenträgern (z. B. Aufsichtsbehörden, betroffene Personen und die Geschäftsführung des Unternehmens).
Den Unternehmen kommt zugleich eine wichtige Rolle dabei zu, die Voraussetzung dafür zu schaffen, dass der Datenschutzbeauftragte seinen Aufgaben wirksam nachgehen kann. In dieser Hinsicht muss der Datenschutzbeauftragte auch über hinreichende Eigenständigkeit und genügend Ressourcen verfügen. Dies beinhaltet unter anderem eine aktive Unterstützung der Funktion des Datenschutzbeauftragten durch das leitende Management und die Gewährung von genügend Zeit für die Erfüllung seiner Pflichten. Besonders wichtig ist dies in Fällen, in denen ein interner Datenschutzbeauftragter seiner Arbeit in Teilzeit nachgeht oder ein externer Datenschutzbeauftragter seine Datenschutztätigkeit neben anderen Pflichten wahrnimmt. Andernfalls besteht die Gefahr einer Vernachlässigung der Pflichten der Datenschutzbeauftragten infolge einander zuwiderlaufender Prioritäten. Die Ausübung zusätzlicher Funktionen kann ebenfalls zu Interessenkonflikten führen, z. B. im Falle von Compliance-Beauftragten, IT-Beauftragten oder Personalbeauftragten. Besondere Aufmerksamkeit sollte auch der Anforderung gegeben werden, dass Datenschutzbeauftragte direkt an die höchste Führungsebene des für die Verarbeitung Verantwortlichen berichten.
Prüfung zu Stellung und Aufgaben
Um all diese Aspekte zu überprüfen, hat der Europäische Datenschutzausschuss (EDSA) eine koordinierte Prüfung zu Stellung und Aufgaben von Datenschutzbeauftragten gestartet. Um festzustellen, ob die Datenschutzbeauftragten in ihren Unternehmen die nach Art. 37-39 DSGVO geforderte Stellung haben und über die zur Erfüllung ihrer Aufgaben erforderlichen Ressourcen verfügen, werden die europäischen Datenschutzbehörden ausgewählten Datenschutzbeauftragten Fragebögen zur Unterstützung der Sachverhaltsermittlung zuschicken.
Die Erkenntnisse der Initiative werden in koordinierter Weise analysiert, und die Datenschutzbehörden werden über mögliche Verbesserungen oder auch Abhilfemaßnahmen entscheiden. Darüber hinaus werden die Ergebnisse zusammengeführt, was einen tieferen Einblick in das Thema und gezielte Folgemaßnahmen auf EU-Ebene ermöglichen wird. Abschließend wird der Europäische Datenschutzausschuss einen Bericht über das Ergebnis dieser Prüfung veröffentlichen, sobald die Maßnahmen abgeschlossen sind.
Fazit
Nachdem bereits die Frage des Sonderkündigungsschutzes von Datenschutzbeauftragten durch den EuGH positiv geklärt wurde, betont die koordinierte Prüfung der europäischen Datenschutzbehörden einmal mehr die zentrale Rolle der Datenschutzbeauftragten in Unternehmen zum Schutz personenbezogener Daten und für das Gelingen datenschutzgerechter Digitalisierung. Wir werden den Bericht und die Empfehlungen, die die EDSA in Bezug auf den Datenschutzbeauftragten erarbeiten wird, für Sie verfolgen und Sie über weitere Entwicklungen informieren.
Autor: Ovidiu Coman (LL.B. I Data Privacy Consultant)