Datenschutzbeauftragte unter der Lupe der polnischen Datenschutzbehörde
Seit Inkrafttretem der DSGVO-Bestimmungen hat das polnische Datenschutzamt etwa 270 Kontrollen durchgeführt und über 8.000 Entscheidungen erlassen. Obwohl sich die Behörde nur in einigen wenigen Entscheidungen direkt mit der Frage der Ernennung und Ausübung der Funktion eines Datenschutzbeauftragten (DSB) befasst hat, scheint diese Frage weiterhin in ihrem Interessenbereich zu liegen. Dies zeigte sich auch in der Veröffentlichung einer Liste mit 27 Fragen zum Status des DSB durch den Präsidenten der Datenschutzbehörde, die im ersten Quartal 2022 an ausgewählte Einrichtungen verschickt wurde.
In kleineren Unternehmen wird der DSB wie ein Alleskönner behandelt – er soll sich mit Vorschriften und technologischen Aspekten oder Risikoanalysen auskennen, um spezielle Lösungen zu entwerfen, aber auch um Lücken im Überwachungsprozess zu erkennen.
Wo stehen wir jetzt, sechs Jahre nach dem Start der DSGVO und fast zwei Jahre nachdem die Datenschutzbehörde ein systematisches Interesse an der Funktion des Datenschutzbeauftragten bekundet hat?
Mit welchen Problemen sind Datenschutzbeauftragte konfrontiert?
Wenn jüngere Datenschutzbeauftragte erfahrene Kollegen um Ratschläge für den Einstieg bitten, scheint die Liste der Tipps endlos.
Gemäß der DSGVO sind DSB aufgrund ihrer beruflichen Qualifikationen, einschließlich ihrer Fachkenntnisse in Bezug auf Datenschutzpraktiken und -vorschriften, zu ernennen. Die Verantwortlichen müssen sicherstellen, dass die DSB ordnungsgemäß und unverzüglich in alle Datenschutzangelegenheiten einbezogen werden. Gleichzeitig sind sie mit den erforderlichen Ressourcen auszustatten, um diese Aufgaben zu erfüllen, wobei sie gleichzeitig Zugang zu Daten und Verarbeitungsvorgängen haben müssen. Laut Vorschriften können die DSB auch Aufgaben und Pflichten wahrnehmen, die nicht mit dem Datenschutz zusammenhängen, aber es ist Aufgabe des Unternehmens, Interessenkonflikte zu vermeiden.
Der DSB hat unabhängig zu sein, daher können ihm keine Anweisungen zur Erfüllung seiner Aufgaben erteilt werden und er untersteht nur der obersten Führungsebene, z. B. dem Vorstand.
Wie lässt sich die Theorie in die Praxis umsetzen?
DSB beschweren sich regelmäßig über einen Mangel an Ressourcen zur Ausübung ihrer Funktion.
Erstens beklagen sie die mangelnde Unterstützung des Verantwortlichen in Bereichen, in denen sie gerne auf Fachwissen zurückgreifen würden, das über ihr Ausbildungs- oder Erfahrungsprofil hinausgeht. Vor allem in kleineren Unternehmen wird der Inspektor wie ein Alleskönner behandelt – er soll sich mit Vorschriften, aber auch mit technischen Aspekten oder Risikoanalysen auskennen, um spezielle Lösungen zu entwerfen, aber auch um deren Lücken im Überwachungsprozess zu erkennen. DSB haben oft keine Unterstützung durch eine Rechtsabteilung, eine externe Anwaltskanzlei oder ein IT-Team.
Der zweite Aspekt in Bezug auf den Mangel an behördlichen Ressourcen bezieht sich auf die späte oder zufällige Einbeziehung der Datenschutzbeauftragten in Unternehmensangelegenheiten. DSB werden häufig erst dann in ein neues Projekt einbezogen, wenn bereits alle Vorkehrungen getroffen, die Verträge abgeschlossen sind und die Daten im Wesentlichen „ab morgen“ verarbeitet werden sollen. Sie haben daher nicht nur keine Zeit, sich mit dem Projekt vertraut zu machen, sondern sie handeln auch in dem Wissen, dass es keine reale Möglichkeit gibt, das Projekt zu verändern. Dies wiederum bedeutet, dass ihre Anmerkungen oft nur „auf dem Papier“ existieren.
Bei der Aufzählung ihrer Probleme verweisen DSB auf die Schwierigkeit, ihre Aufgaben mit anderen Aufgaben zu kombinieren. Wenn dies geschieht, haben DSB nicht nur nicht genug Zeit für Angelegenheiten die oft zusätzlich zu anderen, wichtigeren Aufgaben anfallen, sondern sie sind auch besorgt über mögliche Interessenkonflikte. Einige DSB berichten, dass sie in eine Doppelrolle gedrängt werden – sie müssen Dokumente vorlegen, die sie dann im Zuge der Überwachung der Einhaltung der DSGVO überprüfen sollen. Dies wiederum führt zu einem Verstoß gegen den Grundsatz, dass die Aufsicht nicht gleichzeitig Beaufsichtigte sein kann.
Was sagt das Datenschutzamt dazu?
Die oben beschriebenen Schwierigkeiten scheinen der Datenschutzbehörde nicht entgangen zu sein. Die Behörde hat in ihrem Newsletter, in Antworten auf Fragen von DSB und bei Konferenzen und Schulungen für DSB auf die angesprochenen Probleme hingewiesen.
Die wichtigste Maßnahme in diesem Zusammenhang ergriff die Datenschutzbehörde Anfang 2022, als sie auf ihrer Website eine Liste mit 27 Fragen an Verantwortliche und die Auftragsverarbeiter zur Ausübung der Funktion des DSB veröffentlichte. Der Fragenkatalog wurde an 24 private und öffentliche Einrichtungen gesandt.
Nach Analyse der Antworten leitete die Behörde vier Kontrollen und zwei Verwaltungsverfahren wegen Verstößen gegen die Datenschutzvorschriften ein. Die Verfahren betrafen Verstöße gegen die Bestimmungen über die Führung eines Verzeichnisses von Verarbeitungstätigkeiten, die Meldung von Verstößen gegen den Schutz personenbezogener Daten an die Behörde sowie die Bestimmungen über die Ausübung der Funktion des DSB.
Die Datenschutzbehörde fasste die „Maßnahmen“ zur Überprüfung der Verantwortlichen und der Auftragsverarbeiter in seinem Tätigkeitsbericht aus dem Jahr 2022 zusammen, in dem er darauf hinwies, dass die Mängel bei der Beauftragung und Ausübung der Funktion des DSB die folgenden Aspekte betrafen:
– unzureichende Einbindung des DSB in Datenschutzfragen
– das Fehlen von Maßnahmen, die sicherstellen, dass der DSB über die erforderlichen Ressourcen verfügt, um sein Fachwissen zu erhalten
– das Fehlen von Verfahren, die die Unabhängigkeit des DSB gewährleisten, insbesondere in Bezug auf das Verbot, Weisungen entgegenzunehmen und Anordnungen zu erteilen, sowie in Bezug auf die Gewährleistung, dass der DSB bei der Wahrnehmung seiner Aufgaben nicht entlassen oder sanktioniert wird,
– die Wahrnehmung von Aufgaben durch DSB, die nach dem Gesetz ausschließlich den Verantwortlichen obliegen, wie z. B. das Führen eines Verzeichnisses von Verarbeitungstätigkeiten oder eines Verzeichnisses der Datenschutzverstöße“ .
Die Behörde sah also die gleichen Probleme, die vom „Markt“ gemeldet wurden. Und obwohl die einmalige Aktion, Fragen an Rechtsträger zu richten, ein Tropfen auf den heißen Stein zu sein scheint, sollte nicht vergessen werden, dass die Maßnahmen der Datenschutzbehörde in Bezug auf den DSB auch im Rahmen von geplanten Inspektionen oder Kontrollen stattfinden können, die sich aus gemeldeten Datenschutzverletzungen und Beschwerden von Einzelpersonen ergeben.
Bei Inspektionen wird die Datenschutzbehörde immer Fragen zur Ernennung des Datenschutzbeauftragten, zur Veröffentlichung seiner Daten auf der Website und zur Dokumentation im Unternehmen bezüglich des Datenschutzbeauftragten stellen. Selbst das allgemeine Interesse der Behörde an der Bestellung oder der Arbeitsweise des DSB in einer Organisation scheint daher unvermeidlich zu sein.
Schlussfolgerungen aus der Prüfung durch das Datenschutzamt
Obwohl die oben beschriebene Initiative, Unternehmen Fragen zu den DSB zu stellen, nicht mit einer formellen Ausarbeitung durch die Datenschutzbehörde abgeschlossen wurde, können einige Schlussfolgerungen aus dem Jahresbericht der Behörde, ihren beiläufigen Entscheidungen und den auf ihrer Website veröffentlichten Inhalten gezogen werden. Unseres Erachtens lassen sich viele Informationen zu den Musterlösungen für die Bestellung, den Status und die Organisation der DSB auch aus dem Fragenkatalog der Datenschutzbehörde selbst ableiten.
Die Behörde betonte die Bedeutung des Grundsatzes der Rechenschaftspflicht für den Nachweis, dass Verantwortliche die Bestimmungen der RODO über den DSB korrekt umsetzen. Die Behörde untersuchte nicht nur, wie der DSB bei dem betreffenden Verantwortlichen oder Auftragsverarbeiter funktioniert, sondern auch, wie diese Stellen dies nachweisen können. Unternehmen sollten daher bedenken, dass unabhängig von den tatsächlichen Aspekten der Arbeitsweise des DSB für die Behörde auch wichtig ist, wie sie ihre Leistung nachweisen können. Die Behörde befragte die Unternehmen beispielsweise zu den folgenden Themen:
– Wurden Regeln dafür aufgestellt, in welchen Angelegenheiten der DSB zu konsultieren ist, wer in welchen Situationen für eine Konsultation des DSB in Frage kommt und ob und unter welchen Bedingungen der DSB an den Sitzungen der Geschäftsführung teilnimmt?
– Hat der Verantwortliche interne Vorschriften für die Arbeitsweise des DSB erlassen (insbesondere zur Wahrung der Garantien für seine Unabhängigkeit und seiner Befugnisse in Bezug auf den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen, die Einbeziehung in alle den Schutz personenbezogener Daten betreffenden Angelegenheiten, die Vermeidung von Interessenkonflikten), und wenn ja, in welchem internen Rechtsakt sind diese vorgesehen?
– Wie geht der Verantwortliche mit Fällen um, in denen der den Leitlinien oder Empfehlungen des DSB nicht folgt, z. B. dokumentiert er die Gründe für die Nichtbefolgung der Leitlinien?
– Hat der Verantwortliche Grundsätze für den Umgang mit Interessenkonflikten entwickelt oder einen anderen Mechanismus eingeführt, um sicherzustellen, dass kein Interessenkonflikt vorliegt?
– Hat der DSB einen Plan für seine Arbeit entwickelt (systematisch entwickelt), z. B. Schulungen, Audits?
Die obigen Ausführungen deuten darauf hin, dass die von der Behörde behandelten Fragen Gegenstand interner Vorschriften, einschließlich Strategien, werden sollten
Was raten die Datenschutzexpertinnen?
Eine ordnungsgemäß strukturierte Funktion des DSB kann für die Ausgestaltung der Datenschutzregelung in Unternehmen von entscheidender Bedeutung sein. Dies ist umso wichtiger, als jede Unregelmäßigkeit in Bezug auf die Bestellung des DSB, seinen Status und seine Arbeitsweise, einschließlich der Erfüllung seiner Aufgaben, den Verantwortlichen oder den Auftragsverarbeiter wegen Verstoßes gegen die Bestimmungen der BSB belasten wird. Im Extremfall bedeutet dies, dass die Behörde eine Geldstrafe gegen die Einrichtung verhängen kann, weil sie gegen die Bestimmungen über den DSB verstoßen hat, wie es im Beschluss über die Naturwissenschaftliche Universität Warschau der Fall war, in dem diese u. a. dafür bestraft wurde, dass sie die Aufgaben des DSB ohne Berücksichtigung der mit der Verarbeitung personenbezogener Daten verbundenen Risiken wahrgenommen hat (Beschluss der Datenschutzbehörde vom 21. August 2023, Az. ZSOŚS.421.25.2019).
Es sollte sich daher als gute Praxis erweisen, die Unterlagen daraufhin zu überprüfen, wie die Einhaltung der Bestimmungen der DSGVO durch den DSB nachgewiesen wird. Hat ein Unternehmen beschlossen, einen DSB zu bestellen, sollte es überprüfen, ob der DSB durch einen entsprechenden Akt eines befugten Organs bestellt wurde (z. B. durch Anordnung des Vorstands oder durch einen Beschluss zur Annahme einer Geschäftsordnung für die Organisation seines Amtes), und dann überprüfen, ob die Einhaltung der Qualifikationsanforderungen für einen DSB dokumentiert wurde.
Unternehmen sollten auch prüfen, wie der Status und die Aufgaben des DSB ausgestaltet sind, z. B. durch die Ausarbeitung von Regeln für Angelegenheiten, die der obligatorischen Konsultation des DSB unterliegen, oder von Grundsätzen für das Management von Interessenkonflikten. Der Verantwortliche ist zwar nicht befugt, dem DSB verbindliche Anweisungen zu den wahrzunehmenden Aufgaben zu erteilen, sollte aber sicherstellen, dass der DSB seine Funktion wahrnimmt, indem er z. B. die Prüfungspläne und -ergebnisse des DSB prüft, die ebenfalls dokumentiert werden sollten.
Wir würden es sicherlich vorziehen, die obigen Überlegungen mit dem Postulat zusammenzufassen, den Umfang der erstellten Dokumentation zu begrenzen. Wir möchten jedoch darauf hinweisen, dass die Dokumentation bis zu einem gewissen Grad notwendig ist. Es lohnt sich also, darüber nachzudenken, wie man sie so aufbereiten kann, dass sie im Unternehmensalltag von praktischem Nutzen ist und nicht nur für den Fall einer Inspektion durch die Datenschutzbehörde in einer Schublade verschlossen bleibt.