Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung (DS-GVO) GDD Erfa Kreis Essen, 12. Mai 2016 RAin Yvette Reif Stellv. Geschäftsführerin GDD e.v.
Seite 2 Agenda Bestellpflicht / Öffnungsklausel (Art. 37 DS-GVO) Anforderungen an die Bestellung (Art. 37 DS-GVO) Stellung des DSB (Art. 38 DS-GVO) Aufgaben des DSB (Art. 39 DS-GVO) Fazit
Seite 3 Bestellpflicht/Öffnungsklausel (I) Bestellpflicht, wenn pb Datenverarbeitung durch Behörde / öffentliche Stelle (Ausnahme: Rechtsprechung) Bestellpflicht, wenn die Kerntätigkeit in Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen Bestellpflicht, wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten besteht
Seite 4 Bestellpflicht/Öffnungsklausel (II) Öffnungsklausel in Art. 37 Abs. 4 DS-GVO: In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln.
Seite 5 Bestellpflicht/Öffnungsklausel (III) Wichtig: Öffnungsklausel bezieht sich nur auf die Voraussetzungen, unter denen ein DSB zu bestellen ist Aufgaben und Stellung können nicht abweichend geregelt werden Möglichkeit der freiwilligen DSB-Bestellung
Seite 6 Anforderungen an die Bestellung (I) Notwendige Qualifikation und persönliche Voraussetzungen Benennung auf Basis der beruflichen Qualifikation und insbes. des Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie der Fähigkeit zur Erfüllung der in Art. 39 genannten Aufgaben Wesentliche Unterschiede zur BDSG-Fachkunde (-) DS-GVO verbietet wie das BDSG Interessenkonflikte Erfordernis der persönlichen Integrität in der DS-GVO nicht explizit geregelt
Seite 7 Anforderungen an die Bestellung (II) Form der Bestellung nicht geregelt Dauer der Bestellung / Möglichkeit der Befristung Anforderungen an Mindestdauer der Bestellung ersatzlos entfallen (Kommissionsentwurf: Bestellung für mind. 2 Jahre) Kritisch zu sehen vor dem Hintergrund der unabhängigen Aufgabenwahrnehmung
Seite 8 Anforderungen an die Bestellung (III) Möglichkeit der externen Bestellung bzw. der Bestellung von Konzern-DSB Regelung zur externen Bestellung: Der DSB kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen. Regelung zum Konzern-DSB : Eine Unternehmensgruppe darf einen gemeinsamen DSB ernennen, sofern von jeder Niederlassung aus der DSB leicht erreicht werden kann. Keine einzelnen Bestellungsurkunden mehr nötig Leichte Erreichbarkeit: Persönlicher und sprachlicher Zugang
Seite 9 Stellung (I) Unabhängigkeit und Stellung Unabhängigkeit des DSB (Erwägungsgrund 97) Weisungsunabhängig wie nach BDSG Unmittelbarer Berichtsweg zur höchsten Managementebene (<=> Nationales Recht: Unmittelbare Unterstellung) Abberufungsschutz / Benachteiligungsverbot DSB darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden Bestellung kann aber betriebsbedingt entfallen!
Seite 10 Stellung (II) Abberufungsschutz / Benachteiligungsverbot (Forts.) Kündigungsschutz nach DS-GVO (-) Kündigungsschutz auf nationaler Ebene aufgrund der Befugnis zur Regelung des materiellen Arbeitsrechts? Einbindung / Unterstützung / Fortbildung Ordnungsgemäße und frühzeitige Einbindung in alle mit dem Schutz pb Daten zusammenhängenden Fragen Unterstützung bei der Aufgabenerfüllung
Seite 11 Stellung (III) Einbindung / Unterstützung / Fortbildung (Forts.) Ressourcen zur Aufgabenwahrnehmung / Erhaltung des Fachwissens Zugang zu pb Daten und Verarbeitungsvorgängen DSB als Anwalt der Betroffenen Vertraulichkeit / Geheimhaltung Der DSB ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden. 203 StGB, 17 UWG; Möglichkeit zur Beibehaltung von 4f Abs. 4, 4a BDSG, 203 Abs. 2a) StGB?
Seite 12 Stellung (IV) Publizität der Person des DSB / Kontaktdaten: Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit. Wegfall der Ermächtigung zum Erlass delegierter Rechtsakte
Seite 13 Aufgaben (I) Grundsätzliches zum Trilog-Ergebnis Wegfall diverser im Kommissionsentwurf vorgesehener Aufgaben Im Ergebnis Annäherung an 4f, 4g BDSG Unterrichtung / Beratung Überwachung der Einhaltung des Datenschutzes Unterschied zwischen Überwachung ( to monitor ) und der Hinwirkungspflicht nach BDSG?
Seite 14 Aufgaben (II) DSB-Aufgaben im Zusammenhang mit der Datenschutz- Folgenabschätzung Keine Durchführung der DS-FA durch DSB (<=> Vorabkontrolle nach BDSG) Aufgaben des DSB: Überwachung der Durchführung sowie auf Anfrage Beratung Korrespondierende Pflicht zur Einholung von Rat in Art. 35 Abs. 2 DS-GVO: Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.
Seite 15 Aufgaben (III) Zusammenarbeit mit der Aufsichtsbehörde Wahrnehmung von Außenkontakten ( Anlaufstelle ) im Verhältnis zur Aufsichtsbehörde Konsultationspflicht vergleichbar mit nationalem Recht Pflicht zur risikoorientierten Tätigkeit Neu nach Trilog: Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
Seite 16 Aufgaben (IV) Pflicht zur risikoorientierten Tätigkeit (Forts.) Aber: Unabhängigkeit des DSB! Priorisierung seiner Aufgaben muss grds. dem DSB überlassen bleiben. Wegfall der Ermächtigung zum Erlass delegierter Rechtsakte
Seite 17 Fazit Aufgaben und Rechtsstellung des DSB nach BDSG und DS-GVO stimmen weitgehend überein Operative Aufgaben wie Vorabkontrolle und Mitarbeiterschulung entfallen, der DSB ist nach der DS-GVO verstärkt Compliance-Organ Aufgaben wie Mitarbeiterschulung etc. können dem DSB aber per Stellenbeschreibung zugewiesen werden
Seite 18 Fazit (Forts.) Aufgaben nationaler Gesetzgeber Gebrauchmachen von der Öffnungsklausel und Beibehaltung der Bestellvoraussetzungen des 4f BDSG Arbeitsrechtliche Flankierung der Unabhängigkeit des DSB durch Kündigungsschutz auf nationaler Ebene Konkretisierung der Vertraulichkeitspflicht / des Vertraulichkeitsrechts des DSB
Seite 19 Herzlichen Dank für Ihre Aufmerksamkeit! Weiterführende Informationen bei Jaspers/Reif, Der Datenschutzbeauftragte nach der DS-GVO, RDV 2/2016