Zu den typischen Aufgaben eines Datenschutzbeauftragten (DSB) zählen:
- Beratung der Geschäftsführung in datenschutzrechtlichen Angelegenheiten
- Unterstützung bei Schulungen der Mitarbeiter im Datenschutz
- Kontrolle der technisch-organisatorischen Maßnahmen des Unternehmens
- Überprüfung der Verpflichtung der Mitarbeiter auf das Datengeheimnis
- Erstellung von jährlichen Tätigkeitsberichten
- Überprüfung von Verzeichnissen über Verarbeitungstätigkeiten
- Dokumentation und Prüfung der Auftragsverarbeitung
- Prüfung des IT-Sicherheitskonzepts des Verantwortlichen
- Unterstützung bei der Ausarbeitung eines Löschkonzepts
- Kooperation mit Aufsichtsbehörden
Damit der DSB die dargestellten Aufgaben und Anforderungen erfüllen kann, muss er sämtliche Datenschutzregelungen und deren Auslegung kennen. Das bedeutet, dass nicht nur die DSGVO von Relevanz ist, sondern auch alle bereichsspezifischen Spezialnormen sowie Vereinbarungen mit den Arbeitnehmervertretungen.
Die Aufgaben eines DSB regeln Artikel 38 und Artikel 39 DSGVO. Diese lassen sich in drei Bereiche einteilen:
- die Tätigkeit des DSB im Unternehmen,
- seine Rolle gegenüber den Aufsichtsbehörden und
- seine Funktion gegenüber Betroffenen.
Im Hinblick auf die interne Tätigkeit des DSB im Unternehmen legt die DSGVO die folgenden drei Hauptaufgaben fest:
- Unterrichtung und Beratung des Unternehmens,
- Überwachung der Einhaltung von datenschutzrechtlichen Vorgaben sowie
- Beratung und Überwachung im Rahmen der Datenschutz-Folgenabschätzung.
Die Unterrichtung meint die allgemeine Information über die bestehenden datenschutzrechtlichen Pflichten. Eine Beratung bietet eine aktive Unterstützung beim Lösen von konkreten Problemen, die im Zuge der Umsetzung datenschutzrechtlicher Vorgaben auftauchen.
Die Überwachungspflicht stellt eine typische Compliance-Aufgabe dar. Denn Gegenstand der Überwachung ist nicht nur Wahrung des Datenschutzrechts, sondern auch die Einhaltung der Strategien des Unternehmens. Die Kontrollbefugnis des DSB umfasst dabei die interne Zuweisung von Zuständigkeiten sowie die Sensibilisierung und Schulung der Mitarbeiter sowie diesbezügliche Überprüfungen. Zu beachten ist, dass der DSB für die praktische Umsetzung der Datenschutzvorschriften nicht selbst verantwortlich ist. Vielmehr fällt dies in den Aufgabenbereich des Verantwortlichen.
Im Hinblick auf die Datenschutz-Folgenabschätzung kommt dem DSB eine Kontroll- und Beratungsfunktion zu. Er überwacht insbesondere die ordnungsgemäße Durchführung der Datenschutz-Folgenabschätzung.
Rolle gegenüber den Aufsichtsbehörden
Ferner ist der DSB für die Zusammenarbeit mit den Aufsichtsbehörden zuständig und dient somit als ihr direkter Ansprechpartner in datenschutzrechtlichen Angelegenheiten.
Funktion gegenüber Betroffenen
Schließlich kommt dem DSB die Funktion als Anlaufstelle für Betroffene zu. Diese haben nach der DSGVO das Recht, den DSB zu allen Fragen zu Rate zu ziehen, die mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte (Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit) im Zusammenhang stehen.
Haftung bei Fehlern und Missachtung der Aufgaben
Ein externer DSB haftet für die Erfüllung der o.g. Aufgaben und damit der ihm vertraglich auferlegten Pflichten gegenüber der ihn benennenden Stelle grundsätzlich in vollem Umfang.
Soweit intern ein Arbeitnehmer als DSB benannt ist, gelten dagegen die Grundsätze der beschränkten innerbetrieblichen Arbeitnehmerhaftung. Danach haftet der Arbeitnehmer lediglich bei Vorsatz und grober Fahrlässigkeit in vollem Umfang. Bei leichtester Fahrlässigkeit scheidet eine Haftung des internen DSB aus.
Um die o.g. Aufgaben erfüllen zu können, muss der DSB von der verantwortlichen Stelle im Unternehmen umfassend über alle Vorhaben der automatisierten Erhebung relevanter Daten informiert werden, unabhängig davon, ob er extern oder intern angestellt ist. Ein DSB hat also die Aufgabe, den Ist-Stand des Datenschutzniveaus in einem Unternehmen zu analysieren und infolge dessen der Geschäftsleitung konkrete Vorschläge zur Verbesserung zu unterbreiten.