Mythos 4: Datenschutzbeauftragter (DSB)

Der Datenschutzbeauftragte (DSB) wird oft in einem Atemzug mit der Datenschutz-Grundverordnung (DSGVO) genannt. Die DSGVO schreibt vor, dass die Ernennung eines DSB in einigen Fällen obligatorisch ist, aber es ist ein Mythos, dass ein DSB für alle Unternehmen Pflicht ist. Es stimmt auch nicht, dass ein DSB nur für große Organisationen vorgeschrieben ist. In diesem Blog erfährst du alles über die DSGVO.

Was ist ein DSB?

Ein DSB (oder auf Englisch "DPO": Data Protection Officer) ist ein unabhängiger Datenschutzexperte, der innerhalb einer Organisation (oder mehrerer Organisationen) ernannt wird, um über die Einhaltung der DSGVO zu beraten, zu informieren und diese auch zu überwachen. So ist der DSB auch ein Aspekt der Rechenschaftspflicht, die im letzten Blogpost erwähnt wurde.

Ein DSB kann ein Mitarbeiter oder eine externe Person sein, der die Arbeiten auf der Grundlage eines Dienstleistungsvertrags ausführt. Die DSGVO sieht auch vor, dass eine Gruppe einen einzigen DSB ernennen kann, sofern der DSB mit den verschiedenen Bereichen praktisch zusammenarbeiten kann. Gleiches gilt für Behörden und Einrichtungen: Mehrere dieser Behörden oder Einrichtungen können gemeinsam einen DSB benennen, sofern ihre Größe dies zulässt.

Die Person, die die Rolle des DSB übernimmt, muss über fachliche Qualitäten und Kenntnisse auf dem Gebiet des Datenschutzes verfügen und in der Lage sein, die Aufgaben des DSB zu erfüllen.

Aufgaben des DSB

Diese Aufgaben sind: Information und Beratung der Organisation und der Mitarbeiter über die DSGVO, Überwachung der Einhaltung der DSGVO, Unterstützung bei PIAs und Vertretung der Organisationen bei der Datenschutzbehörde.

Um diese Aufgaben ordnungsgemäß ausführen zu können, schreibt die DSGVO vor, dass der DSB Zugang zu allen Informationen haben muss, die er zu diesem Zweck benötigt. Der DSB darf auch nicht für die Erfüllung ihrer Aufgaben entlassen oder bestraft werden. Darüber hinaus berichtet der DSB direkt an die Geschäftsleitung der Organisation.

DSB ≠ Privacy Officer

Ein weiteres Missverständnis: Ein DSB wird oft mit einem Privacy Officer verwechselt. Dies sind jedoch zwei verschiedene Funktionen. Ein Privacy Officer ist in der Regel ein Mitarbeiter der Rechts- oder Compliance-Abteilung, der die Aufgabe hat, Projekte zu leiten und dafür zu sorgen, dass der Datenschutz “ordnungsgemäß geregelt wird”. Der genaue Inhalt dieser Funktion variiert von Organisation zu Organisation. Der DSB hat jedoch (wie oben beschrieben) rechtliche Aufgaben und eine Sonderstellung, deren Hauptaufgabe darin besteht, die Einhaltung der DSGVO zu überwachen. Der DSB berät und überwacht daher die Arbeit des Privacy Officers. Es ist sogar vorzuziehen, dass sowohl ein DSB als auch ein Privacy Officer in einer großen Organisation arbeiten. Dadurch wird verhindert, dass der DSB sowohl ausführt als auch die Ausführung kontrolliert, d.h. sich selbst überwacht.

In welchen Fällen ist ein DSB Pflicht?

Die Ernennung eines DSB ist für die folgenden Organisationen obligatorisch:

  1. Für eine Behörde oder sonstige Regierungsstellen;
  2. Für Organisationen, die hauptsächlich Verarbeitungsvorgänge mit regelmäßiger und systematischer Beobachtung der betroffenen Personen in großem Maßstab durchführen;
  3. Für Organisationen, deren Haupttätigkeit die groß angelegte Verarbeitung spezieller Kategorien von personenbezogenen Daten oder strafrechtlich relevanten Daten ist.

Hauptaufgaben

In den eben genannten Punkten zwei und drei steht "hauptsächlich". Der Begriff "hauptsächlich" bezieht sich auf alle Verarbeitungsvorgänge, die mit den "Haupttätigkeiten" der Organisation zusammenhängen. Was sind die Hauptaktivitäten? Diese Haupttätigkeiten sind die Tätigkeiten, die erforderlich sind, um das Hauptziel der betreffenden Organisation zu erreichen. Zum Beispiel ist der Hauptzweck eines Krankenhauses die Gesundheitsversorgung, nicht die Verarbeitung personenbezogener Daten. Die Verarbeitung personenbezogener Daten und Informationen über die Gesundheit der Patienten ist jedoch untrennbar mit der Gesundheitsversorgung verbunden; eine sichere und effiziente Versorgung ist dringend erforderlich.
Solche eng verwandten Tätigkeiten sind von sekundären Unterstützungsmaßnahmen zu unterscheiden. Zum Beispiel: Die Personalabteilung des Krankenhauses verarbeitet auch einige spezielle Kategorien von personenbezogenen Daten während des Bewerbungsverfahrens oder bei Krankheitsmeldungen von Mitarbeitern. Diese Tätigkeiten sind den Haupttätigkeiten untergeordnet und nicht untrennbar mit dem Hauptzweck des Krankenhauses verbunden.

In großem Maßstab

Bei der Beurteilung der Frage, ob eine Verarbeitung "in großem Maßstab" erfolgt oder nicht, müssen wir die Menge der verarbeiteten personenbezogenen Daten, die Ebene (regional, national oder supranational) und die Anzahl der betroffenen Personen berücksichtigen.
Wie bereits erwähnt, gehört die Verarbeitung spezieller Kategorien von personenbezogenen Daten (Informationen über den Gesundheitszustand der Patienten) zu den Hauptaktivitäten eines Krankenhauses. Wir können auch feststellen, dass dies in großem Umfang in einem Krankenhaus geschieht. Daher ist es für ein Krankenhaus obligatorisch, eines DSB zu ernennen (siehe Punkt 3).

DSB werden? Oder möchtest du mehr über die Arbeit der DSB in der Praxis erfahren? Behalte die Blog-Seite im Auge. Ein Fact Sheet mit Do's & Don'ts und Tipps & Tricks für die Zusammenarbeit mit DSBs wird in Kürze veröffentlicht!

Author image
Jill Baehring
Referentin für Datenschutz & Recht auf Privatsphäre bei Privacy Company