Diese Pflichten hat ein externer Datenschutzbeauftragter

Eine der Pflichten von Datenschutzbeauftragten (DSB) ist die Zusammenarbeit mit Aufsichtsbehörden. Und wir werden oft gefragt, ob ein DSB deswegen über die Köpfe der Geschäftsführung hinweg entscheiden und einen Datenschutzverstoß direkt an die Behörden melden kann – oder vielleicht sogar muss.

In diesem Artikel beleuchten wir die Pflichten eines externen Datenschutzbeauftragten – von der Pflicht zur Zusammenarbeit mit den Aufsichtsbehörden bis zur Verschwiegenheitspflicht. Und wir klären, warum die Entscheidung, eine Datenpanne zu melden, fast immer beim Verantwortlichen (also dem Unternehmen) liegt. 

Das Wichtigste in Kürze:

  • Kurz zusammengefasst ist ein DSB für die Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften im Unternehmen verantwortlich.
  • Dazu gehört es, die Abläufe der Datenverarbeitung im Unternehmen zu überwachen und Datenschutzmaßnahmen zu steuern.
  • Dabei unterliegt ein DSB der Verschwiegenheitspflicht zum Schutz von Betroffenen.
  • Wird ein Datenschutzverstoß im Unternehmen bekannt, nimmt der DSB eine beratende Funktion gegenüber der Geschäftsführung ein und ist – falls eine Meldung des Verstoßes erfolgt – für die Zusammenarbeit mit der Aufsichtsbehörde zuständig.
  • Das bedeutet jedoch nicht, dass ein DSB sich ohne Zustimmung der Geschäftsführung mit Aufsichtsbehörden in Verbindung setzt. Ausnahmen sind nur in äußersten Extremfällen denkbar.

In diesem Beitrag:

Die Pflichten eines externen Datenschutzbeauftragten

Gesetzlich sind die Aufgaben eines Datenschutzbeauftragten (DSB) in Art. 39 der DSGVO geregelt. Kurz zusammengefasst ist ein DSB – ganz egal, ob ein interner oder externer – für die Umsetzung der Anforderungen der DSGVO im Unternehmen verantwortlich. Dazu gehört es, die Abläufe der Datenverarbeitung im Unternehmen zu überwachen und Datenschutzmaßnahmen zu steuern (auch bekannt als „Controlling und Monitoring“).  

Laut DSGVO sollte ein DSB mindestens folgende Aufgaben erfüllen:  

  1. Beratung von Verantwortlichen, Auftragsverarbeitern und Beschäftigten bezüglich ihrer Pflichten zur Einhaltung der DSGVO und anderen Datenschutzvorschriften
  2. Überwachung der Einhaltung der DSGVO, Ausarbeitung von Datenschutzstrategien einschließlich der Zuweisung von Zuständigkeiten und Sensibilisierung und Schulung der Mitarbeiter
  3. Beratung im Zusammenhang mit der Datenschutz-Folgeabschätzung und Überwachung ihrer Durchführung
  4. Zusammenarbeit mit der Aufsichtsbehörde
  5. Anlaufstelle für die Aufsichtsbehörde mit der Verarbeitung zusammenhängenden Fragen

Hier erfahren Sie alles weitere über die Position des externen Datenschutzbeauftragten sowie dem Unterschied zu einer internen Lösung.

Wichtig: Auch wenn der DSB vom Unternehmen bezahlt wird, handelt er qua Gesetz in erster Linie im Interesse der Betroffenen, nicht im Interesse des Unternehmens. In dem Punkt unterscheidet er sich beispielweise vom Informationssicherheitsbeauftragten.

Mehr zum Thema Datenschutz und Informationssicherheit finden Sie in diesem Beitrag.

Die Verschwiegenheitspflicht von Datenschutzbeauftragten

Die Verschwiegenheitspflicht des DSB ergibt sich aus den Interessen der Betroffenen. In der DSGVO ist die Verschwiegenheitspflicht in Art. 38 DSGVO geregelt. Dort heißt es:

"Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden."

 

Wird dem Datenschutzbeauftragten ein Hinweis darauf gegeben, dass irgendwo im Unternehmen die Anforderungen der DSGVO nicht korrekt umgesetzt werden, dann darf dieser den Namen des Hinweisgebers sowie die Identität möglicher Betroffener nicht an Vorgesetzte weitergeben. 

Ein Beispiel: Ein Marketing-Mitarbeiter hat bemerkt, dass der monatliche Newsletter ohne Double-opt-in-Einwilligungen versendet wird. Aus der Datenschutzschulung weiß er, dass das eigentlich nicht richtig ist und wendet sich an die interne Datenschutzbeauftragte. Weil er noch in der Probezeit ist, hat er Angst, dass seine Chefin von der Sache Wind bekommt und bittet die Datenschutzbeauftragte um Anonymität.  

Die Datenschutzbeauftragte ist zum Glück gut in ihrem Job und beraumt einen routinemäßigen Datenschutz-Check der Marketing-Prozesse an – ohne Verdacht auf einen möglichen Whistleblower zu erwecken. Dabei fragt sie unter anderem nach der Einwilligung für den Erhalt von Newslettern und merkt, dass überraschenderweise kein Double-opt-in eingeholt wird. Zusammen mit der Marketing-Managerin erarbeitet sie einen Plan, wie das ab sofort geändert werden kann.

In diesem Beispiel besteht keine Meldepflicht an die Aufsichtsbehörde. Das Problem kann also intern geklärt werden. Etwas brenzliger wird es, wenn ein DSB Kenntnis von schwerwiegenden, gravierenden datenschutzrechtlichen Verstößen des Verantwortlichen erlangt.

Bei schwerwiegenden Datenschutzverstößen: So weit reichen die Pflichten und Befugnisse des DSB

Datenschutzbeauftragte sind zur Zusammenarbeit mit der Aufsichtsbehörde verpflichtet und müssen wahrheitsgemäß auf Fragen dieser antworten. Kann man also den Rückschluss ziehen, dass ein DSB sich an die Aufsichtsbehörde wenden muss, sobald ein gravierender Verstoß im Unternehmen bekannt wird?  

Grundsätzlich besteht keine Meldepflicht. Diese ist nur in Ausnahmezuständen denkbar.

Zunächst einmal muss der DSB sich mit der Geschäftsführung zusammensetzen und diese über die nächsten Schritte unterrichten – zum Beispiel die gesetzliche 72-stündige Meldepflicht bei Datenpannen sowie mögliche Gegenmaßnahmen. Die Einhaltung der Meldepflicht liegt aber beim Verantwortlichen, also der Geschäftsführung des Unternehmens.

Wenn diese sich entscheidet, der gesetzlichen Meldepflicht nicht nachzukommen, dann ist es nicht die Pflicht des Datenschutzbeauftragten, sich über diese Entscheidung hinwegzusetzen. Die Befürchtung, dass der Datenschutzbeauftragte Datenpannen über die Köpfe der Führungsebene hinweg meldet, ist also nicht begründet.

Es sind allerdings Extremfälle denkbar, bei denen Leib und Leben von Betroffenen in Gefahr ist. Dann liegt der Fall anders, denn ein DSB hat auch eine ethische Verantwortung.

Mehr zum Thema Meldepflicht und Datenschutzverstöße finden Sie hier:

Die Zusammenarbeit mit Aufsichtsbehörden – so weit reicht die Pflicht des DSB 

Nehmen wir an, ein Datenschutzverstoß wurde an die Aufsichtsbehörde gemeldet. Die stellt im nächsten Schritt Ermittlungen an und wird versuchen, den Sachverhalt genau zu verstehen. Dabei muss der DSB auf Rückfragen antworten. Nur eine Frage ist von dieser Pflicht ausgenommen: Die nach der Identität von Hinweisgeber(n) und Betroffenen.

Geht es um die Verschwiegenheitspflicht von Datenschutzbeauftragten, ist damit immer genau das gemeint. Stillschweigen über Interna wird bei internen Datenschutzbeauftragten wie bei allen anderen Mitarbeitern über einen Arbeitsvertrag geregelt, bei externen Datenschutzbeauftragten über den Vertrag bzw. ein Non-Disclosure-Agreement (NDA).

Zusammenfassung

Datenschutzbeauftragte sind dazu verpflichtet, die Identität von Hinweisgebern und Betroffenen vertraulich zu behandeln und nicht an Vorgesetzte weiterzugeben. Die Verschwiegenheitspflicht reicht bis vor die Aufsichtsbehörde, wo DSB ein Zeugnisverweigerungsrecht bezüglich dieser Informationen hat.

Wird ein meldepflichtiger Datenschutzverstoß im Unternehmen bekannt, hat der DSB eine beratende Funktion. Entscheidet sich ein Verantwortlicher jedoch dazu, den Verstoß entgegen dem Gesetz nicht an eine Aufsichtsbehörde zu melden, so kann ein DSB sich in der Regel nicht über diese Entscheidung hinwegsetzen.

whitepaper-download whitepaper-download

DIE TOP 6 DATENSCHUTZFEHLER IN UNTERNEHMEN

UND WIE SIE ES BESSER MACHEN

WHITEPAPER HERUNTERLADEN

Über den Autor

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile auf einen Blick

  • Datenschutz, Informationssicherheit und Compliance aus einer Hand
  • Individuelle Beratung durch qualifizierte Experten – ganz ohne Fachjargon
  • Zeitsparende Technologie zur Automatisierung repetitiver Aufgaben
  • Faire und transparente Preise für optimale Planbarkeit und Budgetierung

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT
 

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Jetzt Termin vereinbaren

ODER RUFEN SIE UNS AN:(089) 8967 551 000