Kontrolle durch den betrieblichen Datenschutzbeauftragten

Wie funktioniert die Kontrolle durch den betrieblichen Datenschutzbeauftragten?

Eine zentrale Rolle bei der Überprüfung der Verarbeitung personenbezogener Daten durch Arbeitgeber nehmen die betrieblichen Datenschutzbeauftragten ein. Diese müssen die Einhaltung der DSGVO, des BDSG und anderer Datenschutzvorschriften sowie die Strategien des Verantwortlichen überwachen (Art. 39 DSGVO).

Wichtig: Zu den zu überwachenden Vorschriften gehören auch Betriebsvereinbarungen. Art. 88 DSGVO sieht ausdrücklich das Recht der EU-Mitgliedsstaaten vor, durch Kollektivvereinbarungen spezifischere Vorschriften der Mitgliedsstaaten zu erlassen.

Die Überwachung der Strategien der Arbeitgeber umfasst die Kontrolle

   -    der Zuweisung von Zuständigkeiten,
   -    der Sensibilisierung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und
   -    der Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter.

Ferner muss der Datenschutzbeauftragte im Betrieb überwachen, ob der Arbeitgeber sein Konzept überprüft. Auch die Durchführung der Datenschutz-Folgenabschätzung muss der betriebliche Datenschutzbeauftragte überprüfen. Bringen Datenverarbeitungsvorgänge ein hohes Risiko für die Betroffenen mit sich, muss der Arbeitgeber mittels der sog. Datenschutz-Folgenabschätzung vorab die Auswirkungen auf den Datenschutz einschätzen und notfalls die Verarbeitung unterlassen oder anpassen.  

Die Überwachung soll der Datenschutzbeauftragte im Betrieb frei von Weisungen und vertraulich vornehmen (Art. 38 Abs. 3 und 5 DSGVO). Mit der Vertraulichkeit ist vor allem die Geheimhaltung der Identität von Personen, die Hinweise geben, gemeint (Art. 38 Abs. 2 DSGVO, § 6 Abs. 5 Satz 2 BDSG).

Neben der Überwachung soll der betriebliche Datenschutzbeauftragte den Arbeitgeber sowie die hierbei tätigen Beschäftigten beraten.

Wann muss ein Arbeitgeber einen betrieblichen Datenschutzbeauftragten bestellen?
Die DSGVO selbst sieht für private Unternehmen lediglich zwei Fälle vor, in denen betriebliche Datenschutzbeauftragte bestellt werden müssen:

   -    wenn die Kerntätigkeit des Arbeitgebers die umfangreiche, regelmäßige und systematische
        technische Überwachung von Personen erforderlich macht oder
   -    wenn die Kerntätigkeit des Arbeitgebers in der umfangreichen Verarbeitung besonders sensibler
        Daten, vor allem nach Art. 9 DSGVO, besteht (Art. 37 Abs. 1 DSGVO).

Die DSGVO ermöglicht es aber den EU-Mitgliedsstaaten, selbst weitere Fälle vorzuschreiben, in denen ein Datenschutzbeauftragter im Betrieb bestellt werden muss (Art. 37 Abs. 4 DSGVO). Der deutsche Gesetzgeber hat die Gelegenheit ergriffen und eine solche Verpflichtung eingeführt. Ein Datenschutzbeauftragter ist danach unter anderem auch zu bestellen

   -    wenn ein Arbeitgeber in der Regel mindestens zehn Personen ständig mit der automatisierten
        Verarbeitung personenbezogener Daten beschäftigt (Art. 38 Abs. 1 BDSG-neu) oder
   -    wenn die Verarbeitung einer Datenschutz-Folgenabschätzung unterliegt (Art. 35 DSGVO)

Auch wenn ein Arbeitgeber nicht dazu verpflichtet ist, kann er selbstverständlich einen Datenschutzbeauftragten bestellen.

zurück

RSS abonieren Drucken Per Email empfehlen