Impulsvortrag: Der Datenschutzbeauftragte nach der DS-GVO

Größe: px

Ab Seite anzeigen:

Download "Impulsvortrag: Der Datenschutzbeauftragte nach der DS-GVO"

Angela Koenig
vor 6 Jahren
Abrufe

Impulsvortrag: Der Datenschutzbeauftragte nach der DS-GVO Rechtlicher Rahmen und Gestaltungsspielräume Bayerisch-tschechischer Workshop am 8. März 2018 im Europahaus in Freyung Univ.

1 Impulsvortrag: Der Datenschutzbeauftragte nach der DS-GVO Rechtlicher Rahmen und Gestaltungsspielräume Bayerisch-tschechischer Workshop am 8. März 2018 im Europahaus in Freyung Univ.-Professor Dr. jur. Dirk Heckmann Mitglied des Bayerischen Verfassungsgerichtshofes Lehrstuhl für Öffentliches Recht, Sicherheitsrecht und Internetrecht Prof. Dr. Dirk Heckmann 1

2 Datenschutzbeauftragte: Mann/Frau der Stunde? Prof. Dr. Dirk Heckmann 2

3 Der Datenschutzbeauftragte nach den Vorgaben der DS-GVO: Neuland oder sicherer Hafen? Prof. Dr. Dirk Heckmann 3

4 Wo finden sich die zentralen Vorgaben zum Datenschutzbeauftragten in der DS-GVO? Art. 37 DS-GVO: Benennung eines Datenschutzbeauftragten Art. 38 DS-GVO: Stellung des Datenschutzbeauftragten Art. 39 DS-GVO: Aufgaben des Datenschutzbeauftragten Prof. Dr. Dirk Heckmann 4

5 Wer ist zur Benennung eines Datenschutzbeauftragten verpflichtet? Öffentliche Stellen (u.a. Behörden) Ein Datenschutzbeauftragter ist grundsätzlich obligatorisch zu bestellen, außer die Verarbeitung erfolgt durch ein Gericht im Rahmen seiner justiziellen Tätigkeit, Art. 37 Abs. 1 lit. a DS-GVO Nicht-öffentliche Stellen (u.a. Wirtschaftsunternehmen) Prof. Dr. Dirk Heckmann 5

6 Wer ist zur Benennung eines Datenschutzbeauftragten verpflichtet? Öffentliche Stellen (u.a. Behörden) Nicht-öffentliche Stellen (u.a. Wirtschaftsunternehmen) Fall 1: Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Datenverarbeitungsvorgängen, welche eine umfangreiche, regelmäßige und systematische Überwachung der betroffenen Personen erfordern, Art. 37 Abs. 1 lit. b DS-GVO oder Fall 2: Die Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen, Art. 37 Abs. 1 lit. c DS-GVO Prof. Dr. Dirk Heckmann 6

7 Gibt es abweichende Bestimmungen im nationalen Datenschutzrecht? Mit den 5, 6, 7, 38 BDSG n. F. macht der deutsche Gesetzgeber von der in Art. 37 Abs. 4 Satz 1 HS. 2 DS-GVO angelegten Möglichkeit Gebrauch, die Ernennung eines Datenschutzbeauftragten für weitere Bereiche verpflichtend vorzuschreiben. Pflicht zur Benennung bei öffentlichen Stellen, 5 Abs. 1 Satz 1 BDSG Zusätzliche Bestellungspflicht für nicht-öffentliche Stellen Prof. Dr. Dirk Heckmann 7

8 Gibt es abweichende Bestimmungen im nationalen Datenschutzrecht? 5, 6, 7, 38 BDSG n. F. Pflicht zur Benennung bei öffentlichen Stellen, 5 Abs. 1 Satz 1 BDSG Öffentliche Stellen haben in jedem Fall einen Datenschutzbeauftragten zu benennen. Zusätzliche Bestellungspflicht für nicht-öffentliche Stellen Prof. Dr. Dirk Heckmann 8

9 Gibt es abweichende Bestimmungen im nationalen Datenschutzrecht? 5, 6, 7, 38 BDSG n. F. Pflicht zur Benennung bei öffentlichen Stellen, 5 Abs. 1 Satz 1 BDSG Bestellungspflicht für nicht-öffentliche Stellen zusätzlich dann, wenn - mindestens zehn Personen ständig mit der automatisierten Verarbeitung beschäftigt sind, - die Verarbeitung einer Datenschutz-Folgenabschätzung im Sinne des Art. 35 DS-GVO unterliegt oder - die Verarbeitung geschäftsmäßig zum Zweck der (auch anonymisierten) Übermittlung oder der Markt- oder Meinungsforschung erfolgt. Prof. Dr. Dirk Heckmann 9

10 Formelle Voraussetzungen bei der Benennung Intern/extern? Interne und externe Bestellung des Datenschutzbeauftragten möglich, Art. 37 Abs. 6 DS- GVO. Konzernweit? Art. 37 Abs. 2 DS-GVO ermöglicht die Benennung eines Konzerndatenschutzbeauftragten. Vorausgesetzt wird allerdings, dass dieser von jeder Niederlassung aus leicht erreichbar ist. Wann und wie zu benennen? Der Datenschutzbeauftragte ist nach Art. 38 Abs. 1 DS-GVO / 6 Abs. 1 BDSG n. F. ordnungsgemäß und frühzeitig vor Beginn der Verarbeitung einzubinden. Aus Beweisgründen empfiehlt sich die schriftliche Benennung. Prof. Dr. Dirk Heckmann 10

11 Welche Qualifikationen muss der Datenschutzbeauftragte aufweisen können? Art. 37 Abs. 5 DS-GVO nennt drei wesentliche Kriterien: Berufliche Qualifikation Fachwissen im Bereich des Datenschutzes Fähigkeit zur Erfüllung der gesetzlichen Mindestaufgaben Prof. Dr. Dirk Heckmann 11

12 Welche Qualifikationen muss der Datenschutzbeauftragte aufweisen können? Erforderlich sind insbesondere: Kenntnisse der europäischen und nationalen Datenschutzbestimmungen Kenntnisse über die jeweils zugrundeliegenden Verarbeitungsvorgänge Kenntnisse über das Unternehmen und dessen Organisationsstruktur Prof. Dr. Dirk Heckmann 12

Aufgaben und Pflichten des Datenschutzbeauftragten Unterrichtung und Beratung der datenschutzrechtlich Verantwortlichen (auch Beschäftige) Überwachung und Einhaltung der

13 Aufgaben und Pflichten des Datenschutzbeauftragten Unterrichtung und Beratung der datenschutzrechtlich Verantwortlichen (auch Beschäftige) Überwachung und Einhaltung der Datenschutzbestimmungen Mitarbeit bei Datenschutz- Folgeabschätzungen Zusammenarbeit mit den Aufsichtsbehör den Beratung betroffener Personen Prof. Dr. Dirk Heckmann 13

14 Die Stellung des Datenschutzbeauftragten im Unternehmen Der Datenschutzbeauftragte ist umfassend zu unterstützen. Der Datenschutzbeauftragte ist weisungsfrei. Es gilt ein grundsätzliches Benachteiligungs- und Abberufungsverbot. Verschwiegenheitspflicht des Datenschutzbeauftragten. Prof. Dr. Dirk Heckmann 14

15 Welche weiteren Regelungen gibt es zum Datenschutzbeauftragten innerhalb der DS-GVO? Die Kontaktdaten des Datenschutzbeauftragten sind Betroffenen bei Datenerhebung mitzuteilen. Das Verarbeitungsverzeichnis muss die Kontaktdaten des Datenschutzbeauftragten beinhalten. Die Tätigkeit einer Aufsichtsbehörde für einen Datenschutzbeauftragten ist unentgeltlich. Der Data Breach Notification sind die Kontaktdaten des Datenschutzbeauftragten beizufügen. Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten. Mitteilung der Kontaktdaten des Datenschutzbeauftragten an die Aufsichtsbehörde. Prof. Dr. Dirk Heckmann 15

16 Risikoberuf Datenschutzbeauftragter? Haftungsrisiken des Datenschutzbeauftragten noch nicht abschließend geklärt. Eine Haftung gegenüber den Betroffenen oder der verantwortlichen Stelle ist denkbar. In Betracht kommt auch die straf- und ordnungswidrigkeitsrechtliche Verantwortlichkeit. Prof. Dr. Dirk Heckmann 16

17 Fazit und Ausblick Der Datenschutzbeauftragte als deutsches Erfolgsmodell. Weitgehende Konkretisierung der Anforderungen und Pflichten. Mögliche Zunahme des Haftungsrisikos des Datenschutzbeauftragten. Prof. Dr. Dirk Heckmann 17

18 One more thing Ein Dozent für Informationssicherheit stellte seinen Studierenden die Frage, wer in Ihren Unternehmen verantwortlich sei, den Datenschutz aufrecht zu erhalten. Das Auditorium äußerte den Vorschlag: Der Datenschutzbeauftragte. Der Dozent hatte diese Antwort erwartet und schilderte die folgende Situation: Nehmen wir an, Sie fahren auf eine rote Ampel zu. Neben Ihnen sitzt ein Polizist, der Sie über alle rechtlichen sowie technischen Problemstellungen aufklärt und eine Handlungsempfehlung entsprechend der aktuellen Situation abgibt. Letztlich befolgen sie den Rat und bremsen es kommt zu keinem Schaden und alles ist gut. Der Dozent schaute in verwunderte Gesichter, die ihn fragen wollten, was das mit Datenschutz zu tun hätte. Der Dozent entgegnete: Würden Sie dieses Vorgehen für erforderlich halten, sofern davon ausgegangen werden kann, dass alle Fahrzeugführer einen Führerschein haben und die Grundregeln im Straßenverkehr beherrschen? Langsam löste sich die Spannung und es prasselte Kritik. Das wäre absolut überzogen und unbezahlbar. - Es reicht, wenn die Polizei stichprobenartig den Verkehr kontrolliert. - Ich würde mich überwacht fühlen. - Wer ein Fahrzeug führt, muss auch Verantwortung für sonstige Verkehrsteilnehmer übernehmen. Der Dozent war froh über die Rückmeldungen und wiederholte die anfängliche Frage: Wer trägt Verantwortung für den Datenschutz im täglichen Arbeitsumfeld?. Die Studenten schlussfolgerten: Jeder, der mit Daten zu tun hat. Entnommen und angepasst bei: GDD, Geschichten, die der Datenschutz schrieb - Anekdoten, Erinnerungen und Meinungen anlässlich des 9. Europäischen Datenschutztages, 2015, S. 9. Prof. Dr. Dirk Heckmann 18

Ähnliche Dokumente

Ihre externen Datenschutzbeauftragten

netvocat Externer Datenschutz und Seminare Ihre externen Datenschutzbeauftragten WANN benötigen Sie einen Datenschutzbeauftragten (DSB) nach 4f Bundesdatenschutzgesetz (BDSG)? In Ihrem Unternehmen sind