Der Datenschutzbeauftragte (auf Englisch „Data Protection Officer“ oder „DPO“) spielt innerhalb des durch die Datenschutz-Grundverordnung (DSGVO) geschaffenen Rechtsrahmens eine wichtige Rolle.
Artikel 37 bis 39 DSGVO regeln die Benennung, Stellung und Aufgaben des DPO.
Die Art. 37 bis 39 der DSGVO legen die Regeln für die Benennung, die Funktion und die Aufgaben des DPOs fest.
Darüber hinaus hatte die ehemalige Artikel-29-Datenschutzgruppe am 5. April 2017 Leitlinien zu DPO angenommen. Diese Leitlinien, die vom Europäischen Datenschutzausschuss (EDSA) gebilligt wurden, enthalten Empfehlungen, für Verantwortliche und Auftragsverarbeiter sowie für die Datenschutzbeauftragten, denen sich die CNPD anschließt.
1. Wann ist die Benennung eines DPO verpflichtend?
Die Benennung eines DPO ist in drei Fällen obligatorisch:
- die Verarbeitung durch eine Behörde oder eine öffentliche Einrichtung erfolgt, mit Ausnahme der Gerichte, die in Ausübung ihrer richterlichen Funktion handeln;
- die Kerntätigkeiten des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters in Verarbeitungsvorgängen bestehen, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern; oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der groß angelegten Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10.
Sofern nicht offensichtlich ist, dass eine Organisation nicht verpflichtet ist, einen DPO zu benennen, wird empfohlen, die durchgeführte interne Analyse zu dokumentieren, um festzustellen, ob ein DPO zu benennen ist oder nicht.
Wie im ersten Fall dargelegt, muss jede Behörde oder öffentliche Stelle einen Datenschutzbeauftragten benennen, wenn sie personenbezogene Daten als Verantwortlicher oder Auftragsverarbeiter verarbeitet.
Dies gilt unabhängig von der Größe oder der Zahl der Beschäftigten einer Behörde oder öffentlichen Einrichtung.
Der Begriff „Behörde“ und „öffentliche Einrichtung“ umfasst die Verwaltungen und Dienststellen des Staates, die Gemeinden sowie andere Einrichtungen des öffentlichen Rechts wie öffentliche Einrichtungen.
2. Was ist unter „Kerntätigkeiten“ zu verstehen?
Die Kerntätigkeiten beziehen sich auf die Haupttätigkeiten des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters und betreffen nicht die Verarbeitung personenbezogener Daten als Nebentätigkeit. „Grundtätigkeiten“ können als wesentliche Vorgänge angesehen werden, die zur Erreichung der Ziele des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters erforderlich sind.
Beispiel: Das Kerngeschäft einer Bank umfasst die Verarbeitung von Finanzdaten ihrer Kunden. Die Bank muss auch Personaldaten ihrer Mitarbeiter verarbeiten, dies ist jedoch eine Nebentätigkeit.
3. Was ist unter „umfangreicher Verarbeitung“ zu verstehen?
Die DSGVO legt nicht fest, was unter „umfangreich“ zu verstehen ist. Es wird empfohlen, insbesondere folgende Faktoren zu berücksichtigen:
- Anzahl der betroffenen Personen (absoluter Wert oder relativer Wert im Verhältnis zur betroffenen Bevölkerung);
- Umfang und/oder Spektrum der verarbeiteten Daten;
- Dauer oder Dauer der Datenverarbeitung;
- den geografischen Umfang der Datenverarbeitung.
Beispiel für eine umfangreiche Verarbeitung: Die Verarbeitung von Patientendaten durch ein Krankenhaus (im Gegensatz zur Verarbeitung von Patientendaten durch einen einzelnen Arzt).
4. Was ist unter „regelmäßiger und systematischer Überwachung“ zu verstehen?
Die DSGVO definiert diesen Begriff nicht, umfasst aber eindeutig alle Formen der Überwachung und Profilerstellung im Internet, auch für verhaltensorientierte Werbung. Das Konzept der Überwachung ist jedoch nicht auf das Online-Umfeld beschränkt.
Die Überwachung erfolgt regelmäßig, wenn eine gewisse Wiederholung, Periodizität, Konstanz oder Permanenz vorliegt.
Die Überwachung erfolgt systematisch, wenn sie methodisch organisiert, im Voraus festgelegt oder Teil einer Strategie ist.
Beispiel: Eine Bank, die die Entwicklung der Konten und Transaktionen ihrer Kunden regelmäßig und systematisch überwachen muss, insbesondere im Rahmen ihrer Verpflichtungen im Zusammenhang mit der Verhinderung von Betrug, Geldwäsche oder Terrorismusfinanzierung.
5. Ist es möglich, einen DPO auf freiwilliger Basis zu benennen?
Ja, eine Organisation kann einen DPO auf freiwilliger Basis benennen. In diesem Fall gelten die rechtlichen Anforderungen (Artikel 37 bis 39 der DSGVO) für seine Benennung, seine Funktion und seine Aufgaben, als ob seine Benennung verbindlich gewesen wäre. Es besteht daher kein Statusunterschied zwischen einem obligatorisch oder freiwillig benannten DPO.
6. Wer kann als DPO benannt werden?
Der Datenschutzbeauftragte kann ein Mitarbeiter des Verantwortlichen oder des Auftragsverarbeiters (interner Datenschutzbeauftragter) sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags (externer Datenschutzbeauftragter) wahrnehmen.
Der DPO muss über die erforderlichen beruflichen Eigenschaften verfügen, seine Aufgaben in völliger Unabhängigkeit wahrnehmen und darf keine anderen Aufgaben und Pflichten wahrnehmen, die zu einem Interessenkonflikt führen würden.
Behörden oder öffentliche Stellen haben unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe die Möglichkeit, ihre DPOs mit anderen Behörden oder öffentlichen Stellen zu bündeln. In diesem Fall muss jedoch jede der betroffenen Stellen das DPO-Bezeichnungsformular ausfüllen und an die CNPD weiterleiten.
7. Über welche berufliche Qualifikation sollte der DPO verfügen?
Der DPO wird auf der Grundlage seiner beruflichen Qualitäten und insbesondere seines Fachwissens im Bereich des Datenschutzrechts und der Datenschutzpraxis sowie seiner Fähigkeit, seine Aufgaben zu erfüllen, ernannt.
In der DSGVO ist nicht festgelegt, welches Kenntnisniveau erforderlich ist, es muss jedoch mit der Sensibilität, Komplexität und dem Umfang der vom Verantwortlichen oder Auftragsverarbeiter verarbeiteten Daten im Zusammenhang stehen.
Die erforderlichen Kompetenzen und Fachkenntnisse müssen insbesondere Folgendes umfassen:
- Fachwissen im Bereich des nationalen und europäischen Datenschutzrechts, einschließlich umfassender Kenntnisse der DSGVO;
- Verständnis der Verarbeitungsvorgänge des Verantwortlichen oder des Auftragsverarbeiters;
- Verständnis der Informationstechnologie und der Datensicherheit;
- Kenntnis des Tätigkeitsbereichs und der Einrichtung;
- Fähigkeit, innerhalb der Organisation eine Kultur des Datenschutzes zu fördern.
8. Was ist unter „Interessenkonflikten“ zu verstehen?
Der DPO kann andere Aufgaben und Pflichten wahrnehmen, sofern diese nicht zu einem Interessenkonflikt führen. Der DPO kann innerhalb der Organisation keine Funktion ausüben, die ihn dazu veranlassen würde, die Mittel (wie?) und die Zwecke (warum?) der Datenverarbeitung zu bestimmen. Dieser Aspekt ist von Fall zu Fall zu prüfen.
Beispiele für Funktionen, die als mit der DPO-Funktion unvereinbar angesehen werden können: Alle leitenden Funktionen wie Generaldirektor, Betriebsleiter, Finanzdirektor, Chefarzt, Leiter der Marketingabteilung, Leiter der Personalabteilung oder Leiter der IT-Abteilung, aber auch andere Rollen auf einer niedrigeren Ebene der Organisationsstruktur, wenn diese Funktionen oder Rollen die Bestimmung der Zwecke und Mittel der Verarbeitung erfordern. Die Tätigkeit eines Auftragsverarbeiters und eines (externen) DPO für denselben Verantwortlichen kann ebenfalls zu einem Interessenkonflikt führen.
Darüber hinaus kann der Interessenkonflikt aus einer früheren Funktion des DPO herrühren (z. B. aus einem RSSI, der zum DPO wird und die Verarbeitungen kontrollieren müsste, die er selbst im Rahmen seiner früheren Funktion eingeführt hat).
9. Muss der DPO über eine Zulassung seitens der CNPD verfügen?
Nein, die CNPD erteilt keine Zulassung für DPO. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter müssen der CNPD lediglich die Kontaktdaten des DPO mitteilen.
Die CNPD kann jedoch kontrollieren, ob die Art. 37 bis 39 der DSGVO, die die Benennung, die Funktion und die Aufgaben des DPO regeln, eingehalten werden.
10. Was geschieht mit dem Datenschutzbeauftragten?
Das aufgehobene Gesetz vom 2. August 2002 über den Schutz von Personen bei der Verarbeitung personenbezogener Daten erlaubte es dem Verantwortlichen, auf freiwilliger Basis einen „Datenschutzbeauftragten“ zu benennen. Der DPO ist der natürliche Nachfolger des Datenschutzbeauftragten, aber es gibt Unterschiede in Bezug auf Benennung, Funktion und Aufgaben.
Mit dem Inkrafttreten der DSGVO am 25. Mai 2018 wurde die Funktion des Datenschutzbeauftragten automatisch beendet. Zu diesem Zweck ist keine Kontaktaufnahme mit der CNPD erforderlich.
Der ehemalige Datenschutzbeauftragte übernimmt jedoch nicht automatisch die Funktion des DPO. Verantwortliche und Auftragsverarbeiter müssen die Artikel 37 bis 39 der DSGVO einhalten und insbesondere der CNPD die Kontaktdaten des DPO mitteilen.
11. Was ist unter der Verpflichtung zur Veröffentlichung der Kontaktdaten des DPO zu verstehen?
Jeder für die Verarbeitung Verantwortliche oder Auftragsverarbeiter muss den betroffenen Personen die Kontaktdaten seines DPO mitteilen, damit sie ihre Rechte in Bezug auf den Schutz personenbezogener Daten wahrnehmen können. Es besteht jedoch keine Verpflichtung, die Identität des DPO zu veröffentlichen.
Die Kontaktdaten des DPO müssen Informationen enthalten, die es den betroffenen Personen ermöglichen, den DPO leicht zu erreichen. So kann beispielsweise eine DPO-spezifische E-Mail-Adresse eingerichtet werden, um sicherzustellen, dass die Anträge der betroffenen Personen ordnungsgemäß entgegengenommen werden.
Andere Kommunikationsmittel können in Betracht gezogen werden, wie z. B. eine spezielle telefonische Unterstützung oder ein Kontaktformular, das speziell an den DPO auf der Website der Organisation gerichtet ist.
Darüber hinaus müssen die Koordinaten leicht zugänglich sein. Zu diesem Zweck können verschiedene Mittel in Betracht gezogen werden, z. B. eine E-Mail-Kontaktadresse, die in der auf der Website der Organisation verfügbaren Datenschutzerklärung angegeben ist, eine Erinnerung an die Kontaktdaten in Newslettern usw.
12. Was versteht man unter der Verpflichtung, der Aufsichtsbehörde die Koordinaten des DPO mitzuteilen?
Die Kontaktdaten des DPO sind der CNPD bei Amtsantritt mitzuteilen. Im Falle einer Änderung des DPO muss der Verantwortliche oder der Auftragsverarbeiter die CNPD ebenfalls unverzüglich benachrichtigen.
Zu diesem Zweck empfiehlt die CNPD, das auf ihrer Website unter folgendem Link verfügbare Formular zu verwenden: und ihn unterzeichnet an folgende Anschrift zurückzusenden: declarationdpo@cnpd.lu.
Die Identität des DPO muss notwendigerweise im Benennungsformular angegeben werden, da der DPO die Hauptkontaktstelle zwischen der CNPD und der betreffenden Stelle ist.
13. Was sind „notwendige Ressourcen“ des DPO zur Erfüllung seiner Aufgaben?
In der DSGVO ist festgelegt, dass der Verantwortliche oder der Auftragsverarbeiter den DPO bei der Wahrnehmung seiner Aufgaben unterstützt, indem er ihm die für die Wahrnehmung seiner Aufgaben erforderlichen Ressourcen zur Verfügung stellt, ohne jedoch klare Angaben dazu zu machen, wie viel Zeit den Aufgaben des DPO zugewiesen werden muss.
Für den Fall, dass die Stelle der Ansicht ist, dass weniger als 1 Vollzeitäquivalent (VZÄ) ausreicht, um alle Aufgaben des DPO zu erfüllen, ist es eine gute Praxis, einen Prozentsatz der für die Funktion des DPO aufgewendeten Zeit festzulegen und den gewählten Prozentsatz zu begründen. Diese Analyse ist umso wichtiger, wenn der DPO eine andere Funktion innerhalb der Organisation kumuliert.
Darüber hinaus muss der DPO leichten Zugang zu anderen Diensten wie Personal, Juristischer Dienst, IT, Sicherheit usw. haben, damit er sich auf die Unterstützung, die Beiträge und die wesentlichen Informationen dieser anderen Dienste stützen kann.
Wenn der DPO über ein Datenschutzteam verfügt, müssen die interne Struktur des Teams sowie die Aufgaben und Zuständigkeiten jedes seiner Mitglieder klar festgelegt werden.
14. Was versteht man unter dem Begriff der Autonomie des DPO?
Der DPO darf bei der Wahrnehmung seiner Aufgaben keine Weisungen entgegennehmen.
Trifft der Verantwortliche Entscheidungen, die mit der DSGVO und der Stellungnahme des Datenschutzbeauftragten unvereinbar sind, sollte der Datenschutzbeauftragte die Möglichkeit haben, eine Stellungnahme, die von der höchsten Führungsebene und den Entscheidungsträgern abweicht, klar anzugeben.
15. Was versteht man unter dem Begriff der Verknüpfung des DPO mit allen Fragen des Datenschutzes?
Der DPO sollte so früh wie möglich in alle Fragen des Datenschutzes einbezogen werden. Dazu muss der DSB bei der Umsetzung neuer Projekte, bei denen personenbezogene Daten verarbeitet werden, unbedingt informiert und konsultiert werden.
Zu diesem Zweck kann sich der DPO an den verschiedenen Ausschüssen/Arbeitsgruppen beteiligen, damit er direkt und umfassend informiert werden kann (z.B. Teilnahme an den Direktionsausschüssen, Projektkoordinierungsausschüssen, Ausschüssen für neue Produkte, Sicherheitsausschüssen oder anderen Ausschüssen, die im Rahmen des Datenschutzes als nützlich erachtet werden).
16. Was versteht man unter den Informations- und Beratungsaufgaben des DPO?
Der DPO muss den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter sowie die Mitarbeiter über ihre Datenschutzpflichten informieren und beraten.
Zu diesem Zweck kann der DPO beispielsweise eine förmliche Berichterstattung über seine Tätigkeiten an die Geschäftsleitung sowie eine angemessene Schulung des Personals im Bereich des Datenschutzes einrichten.
17. Was versteht man unter den Kontrollaufgaben des DPO?
Der DPO muss die Einhaltung der DSGVO überwachen. Um dies zu erreichen, kann er beispielsweise einen Kontrollplan auf der Grundlage einer festgelegten Häufigkeit erstellen. Dieser Plan ermöglicht es, eine Kontrollstrategie zu definieren und den DPO nicht in eine reaktive Rolle einzuschließen.
18. Was tun, wenn der DPO zurücktritt?
Bei Einrichtungen, die zur Bestellung eines DPO verpflichtet sind, muss jede freie Stelle so bald wie möglich besetzt werden. Es wird empfohlen, das Verfahren zur Ersetzung des DPO einzuleiten, sobald er Kenntnis von seinem Ausscheiden erhält, insbesondere zu Beginn seiner Kündigungsfrist.