Die europäischen Datenschutzaufsichtsbehörden starten eine gemeinsame Prüfaktion zur Rolle der Datenschutzbeauftragten. Ziel ist es, die Handlungsbedingungen und mögliche Verbesserungen zu analysieren. Das BayLDA beteiligt sich und sieht die Datenschutzbeauftragten als wichtige Garanten für den Datenschutz in Unternehmen. Die Ergebnisse sollen allen Datenschutzbeauftragten zugänglich gemacht werden.
Für das BayLDA sind die Datenschutzbeauftragten seit jeher mehr als nur die ersten Ansprechpartner:innen der Aufsichtsbehörde. Sie sind die Garanten des Datenschutzes im Alltag, gerade für kleine und mittlere Unternehmen.
https://www.lda.bayern.de/media/pm/pm2023_03.pdf
Der Europäische Datenschutzausschuss hat Leitlinien für Datenschutzbeauftragte verabschiedet. Die gemeinsame Prüfaktion der Datenschutzaufsichtsbehörden zielt auf Fragen der Qualifikation, Ressourcenausstattung und möglicher Beeinträchtigungen der Aufgabenwahrnehmung ab. Interessenkonflikte durch Zusatzfunktionen und die Berichtspflicht der Datenschutzbeauftragten an die Unternehmensleitung werden besonders beachtet. Ziel ist es, ein klares Bild der Datenschutzorganisation zu erhalten und Fehlentwicklungen entgegenzuwirken.
Mögliche Fragen
Der Fragebogen ist noch nicht offiziell veröffentlicht worden. Jedoch ergeben sich folgende Fragen auf der Leitlinie für wahrscheinlich. Den gesamten Fragebogen können Sie hier herunterladen — diese Version scheint noch nicht die finale Version zu sein.
TEIL 1: Benennung, Fachkenntnis und Erfahrung
- Hat die Organisation einen Datenschutzbeauftragten benannt und falls ja, aufgrund welcher der folgenden Grundlagen?
- Seit wann ist der aktuelle Datenschutzbeauftragte für die Organisation benannt (Datum)?
- Fungiert die als Datenschutzbeauftragter benannte Person als gemeinsamer Datenschutzbeauftragter für eine Unternehmensgruppe?
- Ist der Datenschutzbeauftragte ein Mitarbeiter der Organisation oder werden die Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllt?
- Für welche Dauer ist der Datenschutzbeauftragte benannt?
- Zu welcher Abteilung / Personengruppe gehört der Datenschutzbeauftragte der Organisation?
- In welchem der folgenden Themen verfügt der Datenschutzbeauftragte der Organisation (oder dessen Mitarbeiter) über Erfahrung oder Fachwissen? Wählen Sie alle zutreffenden Optionen aus.
- Welche der folgenden Faktoren wurden bei der Benennung des Datenschutzbeauftragten als Voraussetzung für die Rolle festgelegt?
- Über wie viele Jahre Erfahrung verfügt der Datenschutzbeauftragte bezüglich der Anwendung und Auslegung der datenschutzrechtlichen Anforderungen?
- Über wie viele Jahre einschlägige Erfahrung verfügt der Datenschutzbeauftragte bezüglich der Tätigkeit in der Branche oder dem Sektor der Organisation (oder bzgl. Aufgaben im Zusammenhang mit der Branche oder dem Sektor der Organisation, z. B. Beratung)?
- Wie viele Stunden Fortbildung hat der Datenschutzbeauftragte jährlich, um seine fachlichen Qualitäten und sein Fachwissen zum Datenschutzrecht und zur Datenschutzpraxis weiterzuentwickeln und/oder aufrechtzuerhalten?
TEIL II: Aufgaben und Ressourcen
- Hat die Leitung der Organisation die Aufgaben des Datenschutzbeauftragten klar definiert und eine schriftliche Beschreibung der Aufgaben des Datenschutzbeauftragten gefertigt?
- Wurde die oben genannte schriftliche Beschreibung der Aufgaben des Datenschutzbeauftragten dem Personal der Organisation mitgeteilt oder wurden die Aufgaben dem Personal anderweitig mitgeteilt?
- Entspricht die schriftliche Beschreibung der Aufgaben allen tatsächlichen Aufgaben des Datenschutzbeauftragten in der Organisation und deckt diese ab?
- Welche der folgenden Aufgaben wird dem Datenschutzbeauftragten der Organisation übertragen?
- Wurden dem Datenschutzbeauftragten zusätzlich zu den in der DS-GVO vorgesehenen Aufgaben weitere Aufgaben übertragen? Wählen Sie alle zutreffenden Optionen aus.
- Sollte es sich bei Ihrem DSB gleichzeitig um einen Mitarbeiter der Organisation handeln („interner” DSB): Nimmt der Datenschutzbeauftragte seine Funktion als Vollzeitbeschäftigung wahr?
- Sollte es sich bei Ihrem DSB gleichzeitig um einen Mitarbeiter der Organisation handeln („interner” DSB): Wie viel von seiner Arbeitszeit kann der Datenschutzbeauftragte für die Wahrnehmung der Aufgaben und Pflichten des Datenschutzbeauftragten reservieren?
- Wie viele Vollzeitäquivalente (VZÄ) sind dem Datenschutzbeauftragten bei der Erfüllung der Aufgaben des Datenschutzbeauftragten unterstellt (z. B. ein Datenschutzteam oder andere dauerhaft der Weisung des DSB unterstellte Personen)?
- Ist für den Datenschutzbeauftragten ein Stellvertreter benannt?
- Würden Sie die oben beantworteten Ressourcen als ausreichend betrachten, um die Aufgaben des Datenschutzbeauftragten zu erfüllen?
- Hat die Organisation dem Datenschutzbeauftragten ein Budget zugewiesen?
- Falls die Organisation dem Datenschutzbeauftragten ein Budget zugewiesen hat, kann der Datenschutzbeauftragte das Budget unabhängig verwalten?
- Hat der Datenschutzbeauftragte neben den Aufgaben des Datenschutzbeauftragten noch weitere Aufgaben oder Rollen und welche sind diese Aufgaben oder Rollen?
- Wie viele interne Anfragen (formell oder informell) zur Beratung bezüglich der Verpflichtungen aus dem Datenschutzrecht erhält der Datenschutzbeauftragte durchschnittlich innerhalb eines Monats?
TEIL III: Rolle und Stellung
- In welchem Umfang wird der Datenschutzbeauftragte an der Bearbeitung und Lösung von Fragestellungen im Zusammenhang mit der Verarbeitung und dem Schutz personenbezogener Daten in der Organisation beteiligt und/oder konsultiert?
- Ist die Konsultation des Datenschutzbeauftragten zu datenschutzrechtlichen Fragen (z.B. Verletzungen des Schutzes personenbezogener Daten) durch die internen Prozesse der Organisation vorgeschrieben?
- Hat der Datenschutzbeauftragte einen Zugang zu, bzw. erhält er ausreichende Informationen über Datenschutzfragen und die Verarbeitung personenbezogener Daten in der Organisation, um seine Aufgaben wahrnehmen zu können?
- Wird im Allgemeinen dem Rat des Datenschutzbeauftragten in der Organisation gefolgt?
- In Fällen, dass dem Rat des Datenschutzbeauftragten in der Organisation nicht gefolgt wird: Werden die Gründe hierfür dokumentiert?
- 31. Erteilt die Organisation dem Datenschutzbeauftragten Anweisungen zur Wahrnehmung seiner Aufgaben und Pflichten?
- 32. Wurde der/ein Datenschutzbeauftragte/r jemals von der Organisation für die Wahrnehmung seiner Aufgaben und Pflichten entlassen oder bestraft?
- 33. Wird vom Datenschutzbeauftragten erwartet, dass dieser regelmäßig der höchsten Führungsebene der Organisation Bericht erstattet? Wenn ja, wie oft (jährlich)?
- Auf welche der folgenden Arten erfolgt die Berichterstattung des Datenschutzbeauftragten an die höchste Führungsebene und ggf. andere Führungskräfte?
- Hat die Organisation die Kontaktdaten des Datenschutzbeauftragten veröffentlicht und diese der Aufsichtsbehörde gemeldet?
- Falls die Organisation die Kontaktdaten des Datenschutzbeauftragten veröffentlicht hat, auf welchen der folgenden Wege?
- Haben die betroffenen Personen die Möglichkeit, sich in Angelegenheiten im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten oder der Ausübung ihrer Rechte an den Datenschutzbeauftragten zu wenden?
- Wie oft wird der Datenschutzbeauftragte durchschnittlich innerhalb eines Monats von betroffenen Personen zu Rate gezogen?
TEIL IV: UNTERSTÜTZUNG SEITENS DER AUFSICHTSBEHÖRDE
- Sollte die Datenschutzaufsichtsbehörde Ihrer Meinung nach die Kontaktdaten (Postanschrift, Telefonnummer und/oder E‑Mail-Adresse) der Datenschutzbeauftragten veröffentlichen, um Transparenzverpflichtungen zu erleichtern?
- Welche Art von weiterer Unterstützung würde sich Ihre Organisation von den Datenschutzaufsichtsbehörden wünschen, um die Aufgaben und die Rolle des Datenschutzbeauftragten zu erläutern?
Weitere Informationen
Hinweis: Bitte fügen Sie Ihrer Rückmeldung folgende Unterlagen bei, sofern Ihre Antwort auf Frage 1 ein „Ja” gewesen ist:
- ein Organigramm Ihrer Organisation, aus welchem auch die Verortung des Datenschutz-beauftragten hervorgeht
- die Datenschutz-Richtlinie Ihrer Organisation oder vergleichbare Regelwerke, in denen Stellung und
- Aufgaben des Datenschutzbeauftragten sowie seine Zusammenarbeit mit anderen Organisationseinheiten bei der Erfüllung datenschutzrechtlicher Verpflichtungen festgelegt sind
- die Benenn-Urkunde des Datenschutzbeauftragten oder eine vergleichbare Dokumentation der Aufgabenübertragung
- den aktuellsten schriftlichen Bericht (oder die aktuellste vergleichbare Dokumentation) des Datenschutzbeauftragten über dessen Tätigkeit