Ali Talip Pınarbası
Was ist ein Datenschutzbeauftragter (DPO)?
„DPO“ steht für Datenschutzbeauftragter. Ein Datenschutzbeauftragter (DPO) ist ein Experte für Datenschutzrecht, dessen Hauptaufgaben darin bestehen, eine Organisation über die DSGVO-Konformitätsanforderungen zu informieren, bei der Einhaltung der DSGVO zu beraten und die DSGVO-Konformitätsbemühungen einer Organisation kontinuierlich zu überwachen.
Wenn ein Unternehmen sensible personenbezogene Daten, etwa Gesundheitsdaten, erhebt und verarbeitet oder das Verhalten von Personen mithilfe von Tools wie Tracking-Cookies überwacht, setzt es seine Kunden, Website-Besucher und/oder seine Mitarbeiter aufgrund der Art der Verarbeitungstätigkeiten hohen Risiken für die Wahrung ihrer Privatsphäre aus.
Daher sollte sich eine solche Organisation von einem Experten beraten lassen, wie sie die strengen Anforderungen der DSGVO in der EU und im Vereinigten Königreich erfüllen kann, und ihre DSGVO-Konformität jederzeit überwachen.
Hier kommt das Konzept eines Datenschutzbeauftragten ins Spiel: Die DSGVO der EU und des Vereinigten Königreichs verpflichtet Organisationen zur Ernennung eines Datenschutzbeauftragten, wenn sie bestimmte Kriterien erfüllen.
Wann muss eine Organisation einen Datenschutzbeauftragten ernennen?
Gemäß der DSGVO der EU und des Vereinigten Königreichs sind Sie verpflichtet, einen Datenschutzbeauftragten zu ernennen, wenn Sie eines dieser drei Kriterien erfüllen:
- Your core activities require “large scale, regular and systematic monitoring of individuals”
Wie Sie aus dieser Definition schließen können, müssen drei Elemente erfüllt sein.
Erstens beziehen sich „Kernaktivitäten“ auf Ihre primären Geschäftsziele, und wenn Sie personenbezogene Daten sammeln und verwenden, um Ihre primären Ziele zu erreichen, erfüllen Sie möglicherweise dieses Kriterium.
Zweitens sollte Ihre Verarbeitung personenbezogener Daten eine regelmäßige und systematische Überwachung von Einzelpersonen umfassen. Dazu gehören Online-Tracking, Profilerstellung und verhaltensbasierte Werbung.
Thirdly, the monitoring of individuals should be conducted on a large scale. While there are no set thresholds, you need to consider various criteria such as the number of individuals concerned, the volume of personal data, and the range of personal data.
- Your core activities “consist of processing on a large scale of special categories of data pursuant to Article 9 or personal data relating to criminal convictions and offences referred to in Article 10.”
When you collect and use sensitive personal data such as health data or data related to racial or ethnic origin, it exposes individuals to higher risks. Therefore, if you process such data on a large scale, you are required to appoint a DPO.
- Wenn Sie eine Behörde oder öffentliche Einrichtung sind.
Wenn Sie eine öffentliche Behörde oder Einrichtung sind, müssen Sie einen Datenschutzbeauftragten ernennen. Öffentliche Stellen, die in gerichtlicher Funktion handeln, sind von dieser Pflicht jedoch ausgenommen.
Was sind die Hauptaufgaben eines Datenschutzbeauftragten?
Artikel 39 der DSGVO führt die Hauptverantwortlichkeiten eines DSB auf:
- Um sowohl die Organisation als auch ihre Mitarbeiter über die DSGVO und andere datenschutzrechtliche Anforderungen zu informieren und zu beraten
Ein DSB hat die Aufgabe, eine Organisation und ihre Mitarbeiter über die Anforderungen der DSGVO und anderer relevanter Datenschutzgesetze zu informieren. Ein weiteres relevantes Datenschutzgesetz in Großbritannien ist beispielsweise die PECR.
Im Rahmen dieser Pflicht kann ein DSB Entscheidungen zur Einführung neuer oder zur Überarbeitung bestehender Prozesse entwerfen . Beispielsweise kann ein DSB der Organisation empfehlen, Änderungen an bestehenden Verarbeitungsaktivitäten vorzunehmen, um die Einhaltung der Datenminimierungsgrundsätze der DSGVO sicherzustellen. Darüber hinaus fällt auch die Ausarbeitung interner Richtlinien und Regeln im Zusammenhang mit Datenschutzgesetzen, wie z. B. Richtlinien zur Datenaufbewahrung, in den Aufgabenbereich dieser Aufgabe.
- Überwachung der Einhaltung der DSGVO und anderer Datenschutzgesetze durch die Organisation
Gemäß Artikel 39.1.(b) der DSGVO ist ein DSB verpflichtet, die Einhaltung der DSGVO und anderer Datenschutzgesetze durch eine Organisation kontinuierlich zu überwachen.
Um dieser Pflicht nachzukommen, kann ein DSB bei verschiedenen Abteilungen innerhalb der Organisation Informationen anfordern, um die Aktivitäten zur Verarbeitung personenbezogener Daten zu identifizieren, und er kann die Konformität der bestehenden Datenverarbeitungsaktivitäten überprüfen.
- Beratung zu Datenschutz-Folgenabschätzungen (DSFA)
Artikel 39.1. (c) der DSGVO schreibt vor, dass ein DSB auf Anfrage gemäß Artikel 35 der DSGVO Beratung in Bezug auf Datenschutz-Folgenabschätzungen leistet.
In ihren Leitlinien zu Datenschutzbeauftragten empfiehlt die WP29, dass der Datenschutzbeauftragte zu einer Reihe von Fragen beraten kann, beispielsweise, ob eine Datenschutz-Folgenabschätzung durchgeführt werden soll, ob eine Datenschutz-Folgenabschätzung in Übereinstimmung mit der DSGVO durchgeführt wurde und wie eine Datenschutz-Folgenabschätzung durchgeführt wird.
- Tätigkeit als erster Ansprechpartner für die Aufsichtsbehörde und Zusammenarbeit mit der Aufsichtsbehörde
Eine Aufsichtsbehörde für den Datenschutz wie das britische ICO kann verschiedene Befugnisse ausüben, beispielsweise die in Artikel 58 der DSGVO aufgeführten Untersuchungs- und Abhilfebefugnisse.
Beispielsweise kann eine Aufsichtsbehörde eine Untersuchung einleiten und eine Organisation um Herausgabe interner Dokumente bitten.
Daher kommt dem DSB die Aufgabe zu, als Kontaktstelle für die Aufsichtsbehörden zu fungieren und diesen den Zugriff auf die notwendigen Dokumente und Informationen zu ermöglichen.
- Tätigkeit als erster Ansprechpartner für Personen, deren Daten von der Organisation verarbeitet werden
Wenn eine Person die in den Artikeln 13–23 der DSGVO aufgeführten Rechte ausübt, beispielsweise das Recht auf Zugriff oder das Recht auf Löschung ihrer Daten, sollte ein Datenschutzbeauftragter als erster Ansprechpartner fungieren und bei der Bearbeitung von Anträgen der betroffenen Person auf Zugriff auf die personenbezogenen Daten beraten.
Welche Qualifikationen und Fähigkeiten sollte ein DSB haben?
Artikel 37(5) der DSGVO besagt, dass eine Organisation einen DSB „ auf der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens im Bereich Datenschutzrecht und -praxis “ ernennen muss.
Darüber hinaus sollte die Organisation auch die Fähigkeit eines Datenschutzbeauftragten berücksichtigen, die in Artikel 39 der DSGVO aufgeführten Kernaufgaben eines Datenschutzbeauftragten zu erfüllen, wie etwa die Beratung bei Datenschutz-Folgenabschätzungen.
Wie Sie vielleicht bemerken, legt die DSGVO keine besonderen Qualifikationen für einen DSB fest .
Allerdings heißt es in den Leitlinien zu DSBs sowohl des ICO als auch des EDPB , dass ein DSB über Expertenwissen sowohl zur EU-DSGVO als auch zu anderen Datenschutzgesetzen verfügen sollte.
Was das erforderliche Fachwissen angeht, heißt es in den Leitlinien des ICO zu DSBs, dass das Fachwissen des DSB dem Grad der Risiken für die personenbezogenen Daten und der Art der Verarbeitungstätigkeiten angemessen sein sollte.
Das ICO empfiehlt außerdem, dass ein DSB über Kenntnisse des spezifischen Sektors verfügt, in dem Ihr Unternehmen tätig ist.
Nicht zuletzt sind für die Hauptaufgaben eines DSB auch ausgeprägte Kommunikations- und Organisationsfähigkeiten von entscheidender Bedeutung, da dieser kontinuierlich mit verschiedenen Interessengruppen kommunizieren muss.
Gewährleistung der Unabhängigkeit des Datenschutzbeauftragten
Ein DSB kann seine Aufgaben nur dann erfolgreich erfüllen, wenn er möglichst objektive und genaue Beratung leisten kann. Daher ist es von entscheidender Bedeutung, die Unabhängigkeit und Autonomie des DSB sicherzustellen.
Artikel 38(3) der DSGVO besagt, dass eine Organisation einem DSB keine Anweisungen erteilen kann, in einer bestimmten Art und Weise zu handeln, und dass sie einen DSB nicht wegen der Erfüllung seiner Aufgaben entlassen oder bestrafen darf.
Darüber hinaus wird in Erwägungsgrund 97 der DSGVO klargestellt, dass der DSB auch dann, wenn er als bestehender Mitarbeiter einer Organisation zum DSB ernannt wird, bei der Erfüllung seiner Aufgaben unabhängig und autonom handeln muss.
Eine Organisation kann beispielsweise nicht verlangen, dass der DSB die Anforderungen der DSGVO auf eine bestimmte Art und Weise interpretiert . Auch kann sie keine Anweisungen dazu geben, wie mit den Anfragen betroffener Personen umzugehen ist oder welche Datenschutzverletzungen der Aufsichtsbehörde zu melden sind.
Weitere Informationen und Ressourcen zu Datenschutzbeauftragten
WP29-Richtlinien zum DSB:
https://ec.europa.eu/newsroom/just/document.cfm?doc_id=44100
Text und Erwägungsgründe der DSGVO:
https://gdpr-info.eu/recitals/no-97/
Leitlinien der britischen Datenschutzbehörde zu DSBs:
Leitlinien der französischen Datenschutzbehörde zu DSBs:
Wichtige Erkenntnisse und Zusammenfassung
In diesem Artikel haben wir Ihnen geholfen, Folgendes über Datenschutzbeauftragte (DPOs) zu verstehen:
- Ein DSB ist ein Experte für Datenschutzgesetze, der Organisationen hinsichtlich der Einhaltung der DSGVO-Anforderungen berät, diese überwacht und sicherstellt.
- Appointment of a DPO is mandatory for organisations engaged in large-scale monitoring, processing of sensitive data, or those that are public authorities.
- Zu den Hauptaufgaben eines DSB gehören die Beratung zur DSGVO, die Überwachung der Einhaltung, die Unterstützung bei Datenschutz-Folgenabschätzungen und die Funktion als Kontaktperson für Aufsichtsbehörden und Einzelpersonen.
- DSBs müssen über Expertenwissen im Datenschutzrecht und ausgeprägte Kommunikationsfähigkeiten verfügen und unabhängig und selbstständig agieren.
DPOs spielen eine wichtige Rolle bei der Gewährleistung der Datenschutzkonformität und der Reduzierung organisatorischer Risiken. Buchen Sie noch heute eine Demo , um herauszufinden, wie Privasee Sie bei Ihren DPO-Anforderungen unterstützen kann.
DPO – Häufig gestellte Fragen
Kann ein DSB andere Positionen innerhalb der Organisation innehaben?
Ja, Artikel 38(6) der DSGVO besagt, dass ein DSB andere Funktionen innerhalb der Organisation wahrnehmen kann, solange keine Interessenkonflikte bestehen.
Welche Interessenkonflikte können für einen DSB bestehen?
Wenn der DSB in einer anderen Funktion die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmen müsste, würde dies zu Interessenkonflikten führen.
Wie oft sollte ein DSB Datenschutz-Audits durchführen?
Es gibt keine festgelegten Intervalle für die Durchführung eines Datenschutzaudits. Ein DSB sollte verschiedene Kriterien wie das Volumen der verarbeiteten personenbezogenen Daten, die Kategorien der Daten und die organisatorischen Erfordernisse berücksichtigen, um zu bestimmen, wie oft Audits durchgeführt werden sollen.
Welche Konsequenzen hat es, wenn kein DSB ernannt wird, obwohl dies erforderlich ist?
Wenn Sie es versäumen, einen DSB gemäß der britischen DSGVO zu ernennen, drohen Ihnen Geldbußen von bis zu 8,7 Millionen Pfund oder 2 % Ihres gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem, welcher Betrag höher ist) .
Nach der EU-DSGVO können Ihnen Geldbußen von bis zu 10 Millionen Euro oder bis zu 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres drohen.
Best Practices für die Verwaltung der Rolle eines Datenschutzbeauftragten
Das Datenschutzrecht ist ein hochkomplexes und dynamisches Rechtsgebiet, in dem es beinahe täglich zu neuen Entwicklungen kommt.
Daher sollten Datenschutzbeauftragte bestimmte Best Practices befolgen, um auf dem neuesten Stand zu bleiben und die Einhaltung der DSGVO zu erleichtern.
Erstens sollte ein DSB regelmäßig Schulungen zum Datenschutzrecht absolvieren und sich über die relevanten Datenschutzgesetze informieren. Er kann sich beispielsweise für Kurse anmelden oder an Veranstaltungen und Seminaren teilnehmen, die von den Aufsichtsbehörden organisiert werden.
Zweitens sollten Datenschutzbeauftragte regelmäßig Audits durchführen, um etwaige nicht konforme Prozesse oder Praktiken zu identifizieren, damit sie Organisationen beraten können, wie sie ihre Datenverarbeitungsaktivitäten in Übereinstimmung bringen können.
Darüber hinaus sollten DSBs bei der Kommunikation mit betroffenen Personen und Aufsichtsbehörden transparent und ehrlich sein.
%20(34).png)
%20(33).png)
%20(29).png)
