Die Rolle des behördlichen Datenschutzbeauftragten, was er ist, wer einen solchen braucht und wer die richtige Person für diese Aufgabe ist.

UNSER KOSTENLOSES EBOOK HERUNTERLADEN

Für Einhaltung der GDPRIn der Regel benötigen die meisten größeren Organisationen einen Datenschutzbeauftragten oder DSB, die meisten kleineren jedoch nicht.

Hier sind die Details.

In den folgenden drei Fällen ist ein DSB zwingend vorgeschrieben:

Erstens, wenn der für die Verarbeitung Verantwortliche oder der Prozess eine Behörde oder Einrichtung ist oder im Warmen handelt.

Zweitens, wenn die Kochtätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters aus Verarbeitungsvorgängen besteht, die eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern.

Und schließlich, wenn die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters in der Verarbeitung besonderer Datenkategorien in großem Umfang besteht. Also, sprechen über hochsensible Daten wie politische Zugehörigkeit oder sexuelle Vorlieben oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten, Übereinstimmung, dass er verwendet.

Die Arbeitsgruppe nach Artikel 29, die für die Erstellung der GDPR-Anleitung Die Kernaktivitäten können als die wichtigsten Vorgänge betrachtet werden, die zur Erreichung der Ziele der für die Verarbeitung Verantwortlichen oder der Verarbeiter erforderlich sind. Wir sprechen also davon, dass die Datenverarbeitung das Herzstück der Betriebsfähigkeit der Organisation ist. Denken Sie also an ein Krankenhaus oder ein privates Sicherheitsunternehmen, das diese Daten benötigt. Nun ist der Begriff "groß" ein schwammiger Begriff, und es liegt an den Datenverantwortlicher oder Prozesse, um festzustellen, ob sie auf der Grundlage von Faktoren wie der Anzahl der Probanden, der Aufzeichnungen, der geografischen Lage und der Dauer der Tätigkeit auf sie anwendbar sind.

Beispiele für eine groß angelegte Überwachung sind die Suchmaschinen unserer Krankenhäuser und die Daten von Versicherungsgesellschaften und Kunden. Beispiele, die keine groß angelegte Überwachung darstellen, sind die Verarbeitung von Daten durch einen einzelnen Arzt oder Buchhalter oder die Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten. Durch einen einzelnen Anwalt.

Man kann also die drei Arten von Organisationen zusammenfassen, die eine DSB als staatliche Dienste. Denken Sie hier also an eine Stadtverwaltung. Die Artikel-29-Arbeitsgruppe empfiehlt, dass private Unternehmen, die ähnliche öffentliche Aufgaben wahrnehmen, einen Datenschutzbeauftragten benennen. Sie sind also nicht unbedingt eine Regierungsbehörde oder eine Kommunalbehörde, aber sie könnten wie eine solche handeln.

Denken Sie also an Organisationen wie eine Wohnungsbaugesellschaft, einen Wasser- oder Energieversorger. Denken Sie zweitens daran, ob Ihre Daten das Herzstück Ihrer Organisation sind und einen großen Umfang haben. Also zum Beispiel eine Bank, ein Webanalyse-Unternehmen oder ein Krankenhaus.

Wenn Daten Ihr Lebenselixier sind und in großem Umfang anfallen, dann brauchen Sie einen Datenschutzbeauftragten.

Und schließlich, wenn Sie viele sensible Daten verarbeiten, wissen Sie, was wir besondere Datenkategorien nennen. In allen drei Fällen brauchen wir also einen DSB.

Einige der Dinge, die bei der DPA zu beachten sind, können auch nach den Gesetzen der einzelnen Länder und allen Compliance-Regelungen verbindlich sein. Im Vereinigten Königreich müssen wir ab April 2017 noch diese lokalen Länderrichtlinien für das Vereinigte Königreich und die anderen EU-Länder hören, aber das wird kommen. Wenn eine Organisation nicht dazu verpflichtet ist einen DSB bestellen aber freiwillig tut, als die Anforderungen des DSB oder die gleichen, als ob die Rolle von vornherein erforderlich wäre.

Für Organisationen, die beschließen, dass sie keinen Datenschutzbeauftragten benötigen, empfiehlt die Artikel 29-Arbeitsgruppe eine interne Analyse.

Diese Entscheidung wird durchgeführt und dokumentiert, um nachzuweisen, dass alle relevanten Faktoren angemessen berücksichtigt wurden. Was tut ein DSB also eigentlich?

Erstens: Der DSB ist nicht zuständig, ich wiederhole es also. Der DSB ist nicht für die Einhaltung der DSGVO verantwortlich oder rechenschaftspflichtig. Diese Aufgabe obliegt der Organisation selbst. Der DSB soll die Organisation bei der Einhaltung der Datenschutzbestimmungen unterstützen. Sie sollten fachliche Beratung, Unterstützung, Datenschutz, Folgenabschätzungen und Audits anbieten und als Vermittler zwischen den betroffenen Personen, den Organisationen, den Geschäftsbereichen und der Aufsichtsbehörde fungieren. Der Datenschutzbeauftragte steht im Falle einer Datenschutzverletzung an vorderster Front und muss über ein tiefes Verständnis des Datenschutzes der Organisation verfügen. Die Kontaktdaten des Datenschutzbeauftragten müssen für die betroffenen Personen öffentlich zugänglich sein, z. B. auf einer öffentlichen Datenschutzseite auf der Website, und die Mitarbeiter sollten wissen, wer der Datenschutzbeauftragte ist und wie sie sich an ihn wenden können.

Das ist von entscheidender Bedeutung. Jetzt Tag heute, der behördliche Datenschutzbeauftragte ist die interne Instanz bzw. die Autorität für Datenschutzleitlinien für alle Tätigkeiten, die personenbezogene Daten betreffen. Daher sollte jeder neue Projektarchitekturentwurf oder -plan, der personenbezogene Daten enthält, vom DSB mitgestaltet werden.

Die Verfügbarkeit des DSB für alle Teams ist unerlässlich. Jeder muss in der Lage sein, an sie heranzukommen. Die Anleitung des DSB muss nicht zwangsläufig befolgt werden, aber wenn dies nicht der Fall ist, sollte ausdrücklich dokumentiert werden, warum dies der Fall ist und welche Risikobewertungen vorgenommen wurden.

Der behördliche Datenschutzbeauftragte kann in jeder Geschäftseinheit tätig sein, in der kein Interessenkonflikt besteht, und muss eine direkte Verbindung zur obersten Führungsebene haben. Der Umfang der von einem DSB zu leistenden Arbeit wird von Unternehmen zu Unternehmen sehr unterschiedlich sein. Ein kleineres Unternehmen benötigt vielleicht einen oder zwei Tage behördlichen Einsatz pro Monat. Ich weiß, dass dies einen Vollzeit-Beauftragten mit einem großen Team und Unterstützung erfordern kann.

Eine Unterbesetzung der Rolle des Datenschutzbeauftragten wäre ein sehr leichtsinniger Fehler, insbesondere wenn die Aufsichtsbehörde anklopft. Entscheidend ist nun, dass die Der DSB muss ein echter Experte für die DSGVO seinEgal, ob es sich um einen ausgebildeten Juristen, einen Compliance-Manager oder einen externen Berater handelt. Sie müssen die DSGVO in- und auswendig kennen und wissen, wie man sie in der Praxis einhält. Für einen DSB sind keine besonderen Qualifikationen erforderlich. Aber zusätzlich zu den Fachkenntnissen über die DSGVO müssen sie auch starke Fähigkeiten in den Bereichen Informationssicherheit, Projektmanagement, geschäftliche und organisatorische Nuancen für Verwaltungsvorschriften und -verfahren haben.

Zusammengefasst, der DSB ist Ihr fachkundiger GDPR-Berater bereit, mit Projektteams zu arbeiten und die Einhaltung der Vorschriften zu bewerten. Und er ist bereit, sich im Falle einer Datenschutzverletzung an die Aufsichtsbehörde oder die Behörde zu wenden. Der DSB verfügt über ein breites Kompetenzspektrum und ist direkt dem Vorstand unterstellt.

Zur Unterstützung Ihrer Recherche können Sie die Vorlage für eine Stellenbeschreibung des DSB hier.