BVD-Verbandstage 2018 Datenschutzbeauftragte unter der DS-GVO. Berlin, 26. April 2018, Katja Horlbeck (Der Hessische Datenschutzbeauftragte)

Transkript

1 BVD-Verbandstage 2018 Datenschutzbeauftragte unter der DS-GVO Berlin, 26. April 2018, Katja Horlbeck (Der Hessische Datenschutzbeauftragte)

2 Katja Horlbeck Seit 2017 Referentin für Beschäftigtendatenschutz beim Hessischen Datenschutzbeauftragten Mitglied der IAPP (CIPP-E/CIPM) Zuvor tätig als Rechtsanwältin & externe Datenschutzbeauftragte

3 Themen I. Pflicht zur Benennung eines Datenschutzbeauftragten II. Persönliche Voraussetzungen des Datenschutzbeauftragten III. Aufgaben und Pflichten IV.Stellung des Datenschutzbeauftragten V. Sanktionen und Haftung des Datenschutzbeauftragten

4 Pflicht zur Benennung eines Datenschutzbeauftragten Artikel 37 Abs. 1, Abs. 4 DS-GVO, 38 Abs. 1 BDSG

5 Pflicht zur Benennung eines Datenschutzbeauftragten Öffentliche Stellen Generelle Bestellpflicht vgl.: Art. 37 Abs. 1 lit. a DS-GVO & 5 Abs. 1 BDSG Nicht-öffentliche Stellen soweit in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder bei weniger als 10 Personen wenn: Verantwortliche oder Auftragsverarbeiter nehmen Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS- GVO unterliegen Verantwortliche oder Auftragsverarbeiter verarbeiten personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung vgl. Öffnungsklausel des Art 37 Abs. 4 DS-GVO i. V. m. 38 Abs. 1 BDSG),

6 Vgl. Art. 37 Abs. 1 lit. b und c DS-GVO: Nicht-öffentliche Stellen die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

7 Was sonst noch zu beachten ist Benennungspflicht trifft Auftragsverarbeiter und Verantwortliche Kein Schriftformerfordernis, sondern Veröffentlichungs- und Mitteilungspflicht Benennung eines Konzerndatenschutzbeauftragten ist möglich Interne und externe Benennung im öffentlichen und nicht-öffentlichen Bereich Datenschutzteam/Benennung juristischer Personen Bei freiwilliger Benennung gelten die Voraussetzungen der DS-GVO aber nicht der besondere Kündigungsschutz vgl. 38 Abs 2 BDSG

8 Persönliche Voraussetzungen des Datenschutzbeauftragten Artikel 37 Abs. 5, 38 Abs. 3 und 6 DS-GVO

9 Persönliche Voraussetzungen des Datenschutzbeauftragten Berufliche Qualifikation Erforderliche Fachkunde Fähigkeit zur Erfüllung der übertragenen Aufgaben Kein Interessenskonflikt Unabhängig und weisungsfrei

10 Aufgaben und Pflichten Artikel 39 DS-GVO

11 Unterrichtung und Beratung Überwachung der Einhaltung der DSGVO/ des BDSG Beratung und Überwachung im Zusammenhang mit der Datenschutz- Folgenabschätzung Sensibilisierung und Schulung Zusammenarbeit mit der Aufsichtsbehörde Tätigkeit als Anlaufstelle für die Aufsichtsbehörde Erweiterung des Aufgabenkatalogs durch Vereinbarung möglich

12 Maßstab der Aufgabenerfüllung Vgl. Artikel 39 Abs. 2 DS-GVO: Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

13 Stellung des Datenschutzbeauftragten Artikel 38 und 39 DS-GVO

14 Stellung des Datenschutzbeauftragten Ordnungsgemäße und frühzeitige Einbindung Bereitstellung erforderlicher Ressourcen Weisungsfreiheit/Unabhängigkeit Keine Benachteiligung: Abberufung und Kündigung Unmittelbarer Berichtsweg zur Geschäftsführung Anrufungsrecht des Betroffenen Geheimhaltung, Vertraulichkeit und Zeugnisverweigerungsrecht Kein Interessenkonflikt Zusammenarbeit mit der Aufsichtsbehörde

15 Sanktionen und Haftung des Datenschutzbeauftragten Artikel 83 DS-GVO

16 Sanktionen und Haftung Erhebliche Sanktionsverschärfung Keine Verhängung von Bußgeldern gegen öffentliche Stellen Datenschutzbeauftragte trifft nach wie vor Hinwirkungspflicht, aber keine Umsetzungsverantwortung!

17 Quellen Der behördliche und betriebliche Datenschutzbeauftragte nach neuem Recht (Der Hessische Datenschutzbeauftragte, Juni 2017) Guidelines on Data Protection Officers ('DPOs') (wp243rev.01)

18 Fragen

19 Vielen Dank für Ihre Aufmerksamkeit! Datenschutzbeauftragte unter der DS-GVO

20 shockfactor.de Bildnachweis