DSGVO regelt den Umfang der Einbindung des Datenschutzbeauftragten (DSB)
Artikel 38 und 39 der Datenschutzgrundverordnung (DSGVO) geben die gesetzlichen Leitlinien für die Zusammenarbeit zwischen Verantwortlichem und Datenschutzbeauftragtem im Unternehmen vor. Dazu gehört die Sicherstellung der
- Einbindung
- Weisungsfreiheit
- Berichtsrechts
- Beratung Betroffener
So ist der DSB u.a. frühzeitig und ordnungsgemäß in alle Fragen einzubinden, die mit dem Schutz personenbezogener Daten zusammenhängen. Der Verantwortliche ist also verpflichtet, eigenständig den DSB frühzeitig zu benachrichtigen, so dass dessen Einschätzung bei der Planung eines Verarbeitungsvorganges noch ordnungsgemäß Berücksichtigung finden kann.
Bei der Erfüllung seiner Aufgaben sind dem DSB keine Anweisungen zur Art der Ausübung zu machen und ihm stehen alle erforderlichen Ressourcen zu, die er zur Erlangung und Erhaltung des entsprechenden Fachwissens benötigt. Jegliche Einflussnahme auf etwaige Prüf-/Beratungsergebnisse durch den Verantwortlichen ist untersagt.
Berichte des DSB gehen immer direkt an die höchste Managementebene. Untergeordnete Stellen dürfen nicht zwischengeschaltet sein, um hier eine Einflussnahme zu vermeiden.
Auch die direkte Beratung von Betroffenen Personen gehört zu den Aufgaben eines DSB. Der Verantwortliche hat dies zu ermöglichen, u.a. durch die Veröffentlichung der Kontatkdaten des DSB (Art. 37 Abs. 7 DSGVO).
In Art. 83 Abs. 4 lit. a DSGVO ist das Bußgeld geregelt, das bei Verstößen des Verantwortlichen gegen die Vorgaben des Art. 38 und 39 DSGVO verhängt werden kann: So kann dieses bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes betragen.
In 2021 verhängte nun die luxemburgische Datenschutzbehörde (CNPD) ein Bußgeld in Höhe von 18.700 € – verbunden mit einer einstweiligen Verfügung – gegen eine luxemburgische Privatgesellschaft, weil der DSB dort nicht in alle Fragen des Schutzes personenbezogener Daten eingebunden worden war und so gegen alle vier wesentlichen Verpflichtungen verstoßen wurde:
- Es gab keine formalisierten Prozesse bzw. Kontrollpläne: Der DSB wurde lediglich auf „ad-hoc-Basis“ in interne Sitzungen oder Ausschüsse eingebunden. (Verstoß Artikel 38 Abs. 1 DSGVO)
- Es fehlte ein Überwachungsplan bzw. -verfahren, welches sicherstellt, dass der Datenschutzbeauftragte in der Lage ist, die Einhaltung der Datenverarbeitungspraktiken des Unternehmens mit der DSGVO ordnungsgemäß zu überwachen. Auch hatte der Datenschutzbeauftragte keine ausreichende Schulung/Fortbildung erhalten, um den Verantwortlichen ordnungsgemäß und unabhängig beraten und informieren zu können. (Verstoß Artikel 39 Absatz 1b DSGVO)
- Die monatlichen Berichte an die höchste Managementebene mussten vom DSB zudem zuvor mit dem Verwaltungs- und Finanzdirektor abgestimmtwerden. Nach Auffassung der Datenschutzbehörde genügte dies nicht den datenschutzrechtlichen Vorgaben an die Autonomie des Datenschutzbeauftragten (Verstoß Artikel 38 Absatz 3 DSGVO)
Das hier verhängte Bußgeld zeigt, dass Datenschutzaufsichtsbehörden auch die Einbindung des Datenschutzbeauftragten prüfen und Fehler ggf. ahnden. Mit der Bestellung eines externen DSB ist ein Unternehmen hier prinzipiell immer sicher aufgestellt.