30.11.2021

Beratungspflichten von Datenschutz­beauftragten (DSB): Das müssen Sie wissen

Zu den Aufgaben von Datenschutzbeauftragten nach der DSGVO zählt, den Verantwortlichen oder Auftragsverarbeiter sowie die Beschäftigten, die personenbezogene Daten verarbeiten, hinsichtlich ihrer Datenschutz-Pflichten zu unterrichten und zu beraten. Was bedeutet das konkret?

Beratungspflichten Datenschutz­beauftragte

Was bedeutet Beratung als Aufgabe der Datenschutzbeauftragten?

Interne wie externe betriebliche und behördliche Datenschutzbeauftragte (DSB) sind die zentralen Beraterinnen und Berater für Unternehmen und Behörden in Fragen des Datenschutzes. Wichtig: Sie sind nicht für den Datenschutz verantwortlich! Aber es ist ihre Aufgabe, die Verantwortlichen über aktuelle Entwicklungen im Datenschutz zu informieren und Hinweise zu geben, wie sich anstehende Datenschutz-Aufgaben umsetzen lassen.

Dazu gehören Informationen über die Auslegung und Umsetzung der Datenschutz-Grundverordnung (DSGVO) und anderer relevanter Datenschutzvorschriften. Aber auch die Beratung zu konkreten Fragen, wie sich der Datenschutz bei einem bestimmten Verfahren der Verarbeitung personenbezogener Daten umsetzen lässt.

Fachliche und persönliche Voraussetzungen

Der Beratungsauftrag ist einer der Gründe, warum die Anforderungen an die Qualifikation einer oder eines Datenschutzbeauftragten so hoch sind. Sie umfassen unter anderem Fachwissen auf dem Gebiet des Datenschutz-Rechts und der Datenschutz-Praxis.

Neben der fachlichen Qualifikation müssen Datenschutzbeauftragte in ihrer Funktion als Berater die persönlichen Voraussetzungen mitbringen, die diese Aufgabe erfordert. Ein Beispiel hierfür ist die Kompetenz, Probleme zu lösen.

Warum ist Beratung durch Datenschutzbeauftragte wichtig?

Viele Unternehmen beklagen eine weiterhin bestehende Unsicherheit bei der Umsetzung der DSGVO. Sie wünschen sich mehr Unterstützung, insbesondere von der jeweils zuständigen Datenschutz-Aufsichtsbehörde. Das ergab zum Beispiel eine Umfrage des Digitalverbands Bitkom.

Die erste Stelle, die Unterstützung bei der Umsetzung bieten kann und muss, ist die oder der betriebliche oder behördliche Datenschutzbeauftragte. Wie wichtig auch die Datenschutz-Aufsichtsbehörden die Unterstützung durch Datenschutzbeauftragte einschätzen, zeigte sich deutlich, als vor mehreren Jahren die Abschaffung der DSBs diskutiert wurde.

So erklärte die Datenschutzkonferenz (DSK): „Die Datenschutzbeauftragten sorgen für eine kompetente datenschutzrechtliche Beratung, um Datenschutzverstöße schon im Vorfeld zu vermeiden und das Sanktionsrisiko gering zu halten“.

Datenschut-Management-kompakt

Muss zuerst ein Beratungsauftrag vorliegen?

Beraterinnen und Berater im üblichen Sinne werden erst aktiv, wenn ein Beratungsauftrag vorliegt. Datenschutzbeauftragte brauchen jedoch keinen weiteren Beratungsauftrag. Denn die DSGVO selbst ist der Beratungsauftrag.

Das bedeutet, dass Datenschutzbeauftragte nicht auf die Anfragen und Fragen des Verantwortlichen warten, sondern sie beraten aktiv und im Vorfeld. Nur so ist es möglich, Datenschutz-Probleme bereits im Voraus zu mindern oder abzuwenden.

Von „Beratung auf Anfrage“ spricht die DSGVO dagegen im Zusammenhang mit der Datenschutz-Folgenabschätzung (DSFA) und mit der Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO.

Praxis-Tipp

In der Praxis sollte es keine Datenschutz-Folgenabschätzung geben, ohne die oder den DSB einzubeziehen.

Wie unterscheidet sich Beratung von dem Bericht an den Verantwortlichen?

Die Beratung durch Datenschutzbeauftragte bezieht sich auf die verantwortliche Stelle im Unternehmen, aber auch auf die Beschäftigten, die personenbezogene Daten verarbeiten.

Betroffene Personen können sich ebenfalls an Datenschutzbeauftragte wenden. Sie erhalten dann Hinweise, wie sie ihre Betroffenenrechte ausüben können. Somit beraten DSB auch betroffene Personen.

Die Datenschutzbeauftragten berichten zudem an die verantwortliche Stelle. Dabei sind die Beratung und die Berichtsfunktion verwandt, aber nicht deckungsgleich.

Der Bericht informiert über die vergangene Entwicklung bei Datenschutzvorhaben, erklärt den Status der Datenschutz-Projekte und nennt zudem Hinweise, was die Projektbeteiligten nun angehen sollten, um die DSGVO weiter umzusetzen und einzuhalten.

Wichtig

Die Beratung kann und sollte die Erfahrungen aus den laufenden Datenschutz-Vorhaben berücksichtigen und Hinweise auf Basis des aktuellen Status geben. Im Gegensatz zum Bericht ist die Beratung jedoch immer auf die Zukunft hingewandt.

Wie unterscheidet sich Beratung von der Sensibilisierung und Schulung der Beschäftigten?

Es ist Aufgabe des Verantwortlichen oder Auftragsverarbeiters, Mitarbeiterinnen und Mitarbeiter zu sensibilisieren und zu schulen. Die Datenschutzbeauftragten beraten die Beschäftigten, die die personenbezogenen Daten verarbeiten.

Offensichtlich gibt es hier eine Überlappung, sodass in der Praxis häufig DSB die Aufgabe übernehmen, die Beschäftigten zu schulen.

Beratung kann sich jedoch auf den Einzelfall beziehen, auf die Frage und das Problem eines Beschäftigten, während aus praktischen Gründen die Schulung meist für eine ganze Beschäftigtengruppe stattfinden wird.

Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)