Datenschutzbeauftragte im Interessenkonflikt
Die Datenschutzgrundverordnung (DSGVO) legt fest, wann die Ernennung eines Datenschutzbeauftragten obligatorisch ist. In sonstigen Fällen kann die Bestellung eines behördlichen Datenschutzbeauftragten als Teil der so genannten guten Praxis erfolgen, z. B. um die Datenschutzkultur in einer Organisation zu stärken und hohe Datenschutzstandards zu gewährleisten. In beiden Fällen bringt die Bestellung eines Datenschutzbeauftragten zusätzliche rechtliche Verpflichtungen für das Unternehmen mit sich, die von der Aufsichtsbehörde überprüft werden können.
Benennung, Aufgaben und Qualifikationen des Datenschutzbeauftragten
Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikationen und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben benannt.
Die Definition des angemessenen Niveaus an Fachwissen ist in der DSGVO nicht ausdrücklich festgelegt, aber gemäß den Leitlinien der Datenschutzgruppe Art. 29 betreffend Datenschutzbeauftragte (WP 243) müssen diese Anforderungen der Art, der Komplexität und dem Umfang der von der betreffenden Einrichtung verarbeiteten Daten entsprechen.
Für außergewöhnlich komplexe Verarbeitungen, die Verarbeitung großer Mengen besonderer Datenkategorien oder Einrichtungen, die regelmäßig Daten in Drittländer übermitteln, kann ein höheres Maß an Fachwissen erforderlich sein.
Aufgaben des Datenschutzbeauftragten
- Unterrichtung und Beratung von Arbeitnehmern der Organisation über den Schutz personenbezogener Daten und die damit verbundenen Rechtsvorschriften
- Beratung in Angelegenheiten im Zusammenhang mit der Verarbeitung personenbezogener Daten, einschließlich der Einhaltung der geltenden Gesetze
- Überwachung der Einhaltung der Datenschutzvorschriften innerhalb der Organisation und Reagieren auf Verstöße gegen diese Vorschriften
- Zusammenarbeit mit der Datenschutzaufsichtsbehörde und Funktion als Ansprechpartner für die Aufsichtsbehörde in Datenschutzfragen
- Zusammenarbeit mit anderen Abteilungen der Organisation wie z.B. IT oder HR zwecks der Sicherstellung der Einhaltung der Datenschutzvorschriften in allen Bereichen der Tätigkeit der Organisation
- Funktion als Ansprechpartner für natürliche Personen und die Behörde
- Empfehlungen auf Anfrage zur Abschätzung der Folgen für den Datenschutz und Überwachung der Umsetzung
Die Aufgaben des Datenschutzbeauftragten sind also vielfältig und erfordern sowohl umfassende Datenschutzkenntnisse als auch analytische und organisatorische Fähigkeiten.
Wann bestehen Interessenkonflikte?
Der Datenschutzbeauftragte kann sowohl Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters als auch eine Person außerhalb der o.g. Einrichtungen sein, so dass in vielen Fällen ein Interessenkonflikt auftreten kann.
- Gemäß Art. 38 Abs. 3 und 6 DSGVO stellen der Verantwortliche und der Auftragsverarbeiter sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Er darf auch von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.
- Es ist jedoch wichtig, darauf hinzuweisen, dass der Datenschutzbeauftragte auch andere Aufgaben und Pflichten wahrnehmen kann. Der Verantwortliche oder der Auftragsverarbeiter muss jedoch sicherstellen, dass diese Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Das bedeutet, dass der Datenschutzbeauftragte innerhalb der Organisation keine Position innehaben darf, die die Festlegung der Mittel und Zwecke der Datenverarbeitung beinhaltet. Aufgrund des individuellen Charakters jeder Organisation sollte dieser Aspekt für jede einzelne Einrichtung analysiert werden.
- Die Arbeitsgruppe wies in dem o.g. Dokument auch darauf hin, dass das Erfordernis, keinen Interessenkonflikt zu schaffen, eng mit dem Erfordernis verbunden ist, die Aufgaben in unabhängiger Weise zu erfüllen. Konkret wies die Gruppe darauf hin, dass dies in erster Linie bedeutet, dass der Datenschutzbeauftragte keine Position innerhalb einer Organisation einnehmen darf, die ihm Zugang zu Informationen verschafft, die es ihm ermöglichen würden, die Zwecke und Mittel der Datenverarbeitung zu bestimmen. Dies ist durch das Auftreten widersprüchlicher Prioritäten verursacht, die zu einer Vernachlässigung der vom Datenschutzbeauftragten wahrgenommenen Aufgaben führen könnten.
- Um Interessenkonflikte zu vermeiden, muss der Verantwortliche oder der Auftragsverarbeiter sicherstellen, dass zusätzliche Aufgaben und Pflichten des Datenschutzbeauftragte mit seiner Datenschutzfunktion vereinbar sind und seine Unabhängigkeit und Sorgfaltspflicht für den Datenschutz nicht beeinträchtigen. Wenn ein Interessenkonflikt auftritt, muss der Verantwortliche oder der Auftragsverarbeiter Maßnahmen ergreifen, um den Konflikt zu beseitigen.
Wie können Interessenkonflikte vermieden werden?
Die Datenschutzbehörde hat auf ihrer Website eine Reihe von Fragen und Antworten zur Bestellung und zum Status des Datenschutzbeauftragten aufgelistet. Viele davon beziehen sich auf die Verbindung der Funktion des Datenschutzbeauftragten mit anderen Funktionen innerhalb der Organisation.
In jeder Situation, die auf einen Interessenkonflikt hindeuten könnte, sollte sorgfältig geprüft werden, ob der Datenschutzbeauftragte seine Aufgaben effektiv wahrnehmen kann, wenn er gleichzeitig andere Funktionen ausübt.
Die Datenschutzbehörde schlägt in einer ihrer Antworten auf der Website (https://uodo.gov.pl/pl/495/2371) u.a. vor:
- Analyse des Zeitaufwands für die Erfüllung einzelner Aufgaben (einschließlich der Zusammenarbeit mit anderen Kontrolldiensten)
- Analyse des Schwierigkeitsgrads und der Bedeutung der Aufgaben in der Organisation
- Sicherstellung einer Zeitreserve für ungeplante Aufgaben (z.B. im Zusammenhang mit einer Datenschutzverletzung)
- Menge und Art der personenbezogenen Daten sowie Prozesse und IT-Systeme, die zu ihrer Verarbeitung verwendet werden, sowie die mit diesen Prozessen verbundenen Risikobereiche
- Analyse der Struktur, der Größe und der Personalressourcen der Organisation, insbesondere im Falle eines Teilzeit-Datenschutzbeauftragten.
Best Practices
Die Arbeitsgruppe verweist auch auf eine Reihe bewährter Verfahren zur Vermeidung von Problemen, wie z. B:
- „Identifizierung von Stellen, die mit der Funktion des Datenschutzbeauftragten unvereinbar sind
- Erarbeitung interner Regeln zur Vermeidung von Interessenkonflikten
- Sicherstellung einer allgemeinen Erläuterung bei Interessenkonflikten
- Erklärung, dass der Datenschutzbeauftragte keinen Interessenkonflikt im Zusammenhang mit seiner Funktion als Datenschutzbeauftragter hat, um das Bewusstsein für diese Anforderung zu schärfen
- Einführung von Schutzmaßnahmen in die internen Regelungen der Organisation und Sicherstellung, dass die Stellenausschreibung für die Position des Datenschutzbeauftragten oder der Dienstleistungsvertrag klar und präzise genug ist, um Interessenkonflikte zu vermeiden. In diesem Zusammenhang ist es auch wichtig zu bedenken, dass Interessenkonflikte unterschiedliche Formen annehmen können, je nachdem, ob die Einstellung für die Stelle des Datenschutzbeauftragten intern oder extern erfolgt.“
Besondere Aufgaben des Datenschutzbeauftragten
Es wird angenommen, die Aufgaben des Datenschutzbeauftragten nicht nur mit Funktionen der oberen Führungsebene, wie Direktoren, Departments- und Abteilungsleiter, sondern auch auf unteren Ebenenzuverbinden, die die Festlegung der Zwecke und Mittel der Datenverarbeitung ermöglichen.
Es ist unzulässig, eine Person zum Datenschutzbeauftragten zu ernennen, die eine leitende (geschäftsführende) Funktion beim Verantwortlichen, aber auch andere leitende Positionen wie z.B. innehat:
- CEO
- COO
- CFO
- Leiter der Marketing-Abteilung
- Leiter der HR-Abteilung
- Leiter der IT-Abteilung
Laut Datenschutzbehörde kann die Funktion des Datenschutzbeauftragten :
- durch einen Ausländer in Polen ausgeübt werden
- durch eine mit dem Geschäftsführer verwandte Person ausgeübt werden
- ein Bevollmächtigter zum Schutz nicht öffentlicher Informationen ausüben
- gleichzeitig mit dem Anwaltsberuf ausgeübt werden – die DSGVO-Vorschriften garantieren die Unabhängigkeit des Datenschutzbeauftragten, was auch Grundlage für die Ausübung des Anwaltsberufs ist
- nicht gemeinsam mit dem Beruf eines Rechtsanwalts ausgeübt werden (Soll-Vorschrift). Gemäß der Stellungnahme des Nationalen Rats der Rechtsanwälte (poln. KRRP) ist empfehlenswert, die Ausübung der Rollen innerhalb einer Einrichtung (Datenverantwortlicher/Auftraggeber) nicht zu verbinden.