Diese Pflichten hat ein externer Datenschutzbeauftragter

Eine der Pflichten von Datenschutzbeauftragten (DSB) ist die Zusammenarbeit mit Aufsichtsbehörden. Und wir werden oft gefragt, ob ein DSB deswegen über die Köpfe der Geschäftsführung hinweg entscheiden und einen Datenschutzverstoß direkt an die Behörden melden kann – oder vielleicht sogar muss.

In diesem Artikel beleuchten wir die Pflichten eines externen Datenschutzbeauftragten – von der Pflicht zur Zusammenarbeit mit den Aufsichtsbehörden bis zur Verschwiegenheitspflicht. Und wir klären, warum die Entscheidung, eine Datenpanne zu melden, fast immer beim Verantwortlichen (also dem Unternehmen) liegt. 

Das Wichtigste in Kürze:

  • Kurz zusammengefasst ist ein DSB für die Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften im Unternehmen verantwortlich.
  • Dazu gehört es, die Abläufe der Datenverarbeitung im Unternehmen zu überwachen und Datenschutzmaßnahmen zu steuern.
  • Dabei unterliegt ein DSB der Verschwiegenheitspflicht zum Schutz von Betroffenen.
  • Wird ein Datenschutzverstoß im Unternehmen bekannt, nimmt der DSB eine beratende Funktion gegenüber der Geschäftsführung ein und ist – falls eine Meldung des Verstoßes erfolgt – für die Zusammenarbeit mit der Aufsichtsbehörde zuständig.
  • Das bedeutet jedoch nicht, dass ein DSB sich ohne Zustimmung der Geschäftsführung mit Aufsichtsbehörden in Verbindung setzt. Ausnahmen sind nur in äußersten Extremfällen denkbar.

In diesem Beitrag:

Die Pflichten eines externen Datenschutzbeauftragten

Gesetzlich sind die Aufgaben eines Datenschutzbeauftragten (DSB) in Art. 39 der DSGVO geregelt. Kurz zusammengefasst ist ein DSB – ganz egal, ob ein interner oder externer – für die Umsetzung der Anforderungen der DSGVO im Unternehmen verantwortlich. Dazu gehört es, die Abläufe der Datenverarbeitung im Unternehmen zu überwachen und Datenschutzmaßnahmen zu steuern (auch bekannt als „Controlling und Monitoring“).  

Laut DSGVO sollte ein DSB mindestens folgende Aufgaben erfüllen:  

  1. Beratung von Verantwortlichen, Auftragsverarbeitern und Beschäftigten bezüglich ihrer Pflichten zur Einhaltung der DSGVO und anderen Datenschutzvorschriften
  2. Überwachung der Einhaltung der DSGVO, Ausarbeitung von Datenschutzstrategien einschließlich der Zuweisung von Zuständigkeiten und Sensibilisierung und Schulung der Mitarbeiter
  3. Beratung im Zusammenhang mit der Datenschutz-Folgeabschätzung und Überwachung ihrer Durchführung
  4. Zusammenarbeit mit der Aufsichtsbehörde
  5. Anlaufstelle für die Aufsichtsbehörde mit der Verarbeitung zusammenhängenden Fragen

Hier erfahren Sie alles weitere über die Position des externen Datenschutzbeauftragten sowie dem Unterschied zu einer internen Lösung.

Wichtig: Auch wenn der DSB vom Unternehmen bezahlt wird, handelt er qua Gesetz in erster Linie im Interesse der Betroffenen, nicht im Interesse des Unternehmens. In dem Punkt unterscheidet er sich beispielweise vom Informationssicherheitsbeauftragten.

Mehr zum Thema Datenschutz und Informationssicherheit finden Sie in diesem Beitrag.

Die Verschwiegenheitspflicht von Datenschutzbeauftragten

Die Verschwiegenheitspflicht des DSB ergibt sich aus den Interessen der Betroffenen. In der DSGVO ist die Verschwiegenheitspflicht in Art. 38 DSGVO geregelt. Dort heißt es:

"Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden."

 

Wird dem Datenschutzbeauftragten ein Hinweis darauf gegeben, dass irgendwo im Unternehmen die Anforderungen der DSGVO nicht korrekt umgesetzt werden, dann darf dieser den Namen des Hinweisgebers sowie die Identität möglicher Betroffener nicht an Vorgesetzte weitergeben. 

Ein Beispiel: Ein Marketing-Mitarbeiter hat bemerkt, dass der monatliche Newsletter ohne Double-opt-in-Einwilligungen versendet wird. Aus der Datenschutzschulung weiß er, dass das eigentlich nicht richtig ist und wendet sich an die interne Datenschutzbeauftragte. Weil er noch in der Probezeit ist, hat er Angst, dass seine Chefin von der Sache Wind bekommt und bittet die Datenschutzbeauftragte um Anonymität.  

Die Datenschutzbeauftragte ist zum Glück gut in ihrem Job und beraumt einen routinemäßigen Datenschutz-Check der Marketing-Prozesse an – ohne Verdacht auf einen möglichen Whistleblower zu erwecken. Dabei fragt sie unter anderem nach der Einwilligung für den Erhalt von Newslettern und merkt, dass überraschenderweise kein Double-opt-in eingeholt wird. Zusammen mit der Marketing-Managerin erarbeitet sie einen Plan, wie das ab sofort geändert werden kann.

In diesem Beispiel besteht keine Meldepflicht an die Aufsichtsbehörde. Das Problem kann also intern geklärt werden. Etwas brenzliger wird es, wenn ein DSB Kenntnis von schwerwiegenden, gravierenden datenschutzrechtlichen Verstößen des Verantwortlichen erlangt.

Bei schwerwiegenden Datenschutzverstößen: So weit reichen die Pflichten und Befugnisse des DSB

Datenschutzbeauftragte sind zur Zusammenarbeit mit der Aufsichtsbehörde verpflichtet und müssen wahrheitsgemäß auf Fragen dieser antworten. Kann man also den Rückschluss ziehen, dass ein DSB sich an die Aufsichtsbehörde wenden muss, sobald ein gravierender Verstoß im Unternehmen bekannt wird?  

Grundsätzlich besteht keine Meldepflicht. Diese ist nur in Ausnahmezuständen denkbar.

Zunächst einmal muss der DSB sich mit der Geschäftsführung zusammensetzen und diese über die nächsten Schritte unterrichten – zum Beispiel die gesetzliche 72-stündige Meldepflicht bei Datenpannen sowie mögliche Gegenmaßnahmen. Die Einhaltung der Meldepflicht liegt aber beim Verantwortlichen, also der Geschäftsführung des Unternehmens.

Wenn diese sich entscheidet, der gesetzlichen Meldepflicht nicht nachzukommen, dann ist es nicht die Pflicht des Datenschutzbeauftragten, sich über diese Entscheidung hinwegzusetzen. Die Befürchtung, dass der Datenschutzbeauftragte Datenpannen über die Köpfe der Führungsebene hinweg meldet, ist also nicht begründet.

Es sind allerdings Extremfälle denkbar, bei denen Leib und Leben von Betroffenen in Gefahr ist. Dann liegt der Fall anders, denn ein DSB hat auch eine ethische Verantwortung.

Mehr zum Thema Meldepflicht und Datenschutzverstöße finden Sie hier:

Die Zusammenarbeit mit Aufsichtsbehörden – so weit reicht die Pflicht des DSB 

Nehmen wir an, ein Datenschutzverstoß wurde an die Aufsichtsbehörde gemeldet. Die stellt im nächsten Schritt Ermittlungen an und wird versuchen, den Sachverhalt genau zu verstehen. Dabei muss der DSB auf Rückfragen antworten. Nur eine Frage ist von dieser Pflicht ausgenommen: Die nach der Identität von Hinweisgeber(n) und Betroffenen.

Geht es um die Verschwiegenheitspflicht von Datenschutzbeauftragten, ist damit immer genau das gemeint. Stillschweigen über Interna wird bei internen Datenschutzbeauftragten wie bei allen anderen Mitarbeitern über einen Arbeitsvertrag geregelt, bei externen Datenschutzbeauftragten über den Vertrag bzw. ein Non-Disclosure-Agreement (NDA).

Zusammenfassung

Datenschutzbeauftragte sind dazu verpflichtet, die Identität von Hinweisgebern und Betroffenen vertraulich zu behandeln und nicht an Vorgesetzte weiterzugeben. Die Verschwiegenheitspflicht reicht bis vor die Aufsichtsbehörde, wo DSB ein Zeugnisverweigerungsrecht bezüglich dieser Informationen hat.

Wird ein meldepflichtiger Datenschutzverstoß im Unternehmen bekannt, hat der DSB eine beratende Funktion. Entscheidet sich ein Verantwortlicher jedoch dazu, den Verstoß entgegen dem Gesetz nicht an eine Aufsichtsbehörde zu melden, so kann ein DSB sich in der Regel nicht über diese Entscheidung hinwegsetzen.

whitepaper-download whitepaper-download

DIE TOP 6 DATENSCHUTZFEHLER IN UNTERNEHMEN

UND WIE SIE ES BESSER MACHEN

WHITEPAPER HERUNTERLADEN

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren