Überwachungspflichten des Datenschutzbeauftragten nach der EU-Datenschutzgrund-Verordnung

In Artikel 39 Abs. 1 b sieht die EU-Datenschutz-Grundverordnung (EU-DSGVO) ab dem 25. Mai 2018 vor, dass der Datenschutzbeauftragte die Überwachung der Einhaltung der Datenschutz-Grundverordnung, anderer Datenschutzvorschriften sowie der Strategien der verantwortlichen Stelle für den Schutz personenbezogener Daten überwacht.

Hier ergibt sich ein neues Rollenverständnis, da bisher in § 4 g Abs. 1 BDSG der Schwerpunkt der Aufgaben des Beauftragten für den Datenschutz auf ein Hinwirken auf die Einhaltung der datenschutzrechtlichen Vorschriften lag.

Allerdings gibt es in Teilen bereits heute Überwachungspflichten. In § 4 g Abs. 1 Satz 4 Nr. 1 BDSG ist vorgesehen, dass der Datenschutzbeauftragte die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, überwacht. Hier ist interessant, wie bisher die Überwachungspflichten verstanden worden sind. In den Kommentierungen wird erwartet, dass die verantwortliche Stelle den Datenschutzbeauftragten rechtzeitig unterrichtet und ihm eine Gelegenheit gibt, Stellung zu nehmen. Es wird erwartet, dass die Information so rechtzeitig erfolgt, dass Korrekturen möglich sind. Eine bloße Mitteilung genügt nicht, sondern der Beauftragte muss die Vereinbarkeit mit den Anforderungen des Datenschutzes genau prüfen können. Er muss allerdings nicht aufzeigen, wie die erforderlichen Korrekturen im Einzelnen zu realisieren sind.

Die Kontrolle der Verarbeitungsprogramme ist vom Datenschutzbeauftragten selbst durchzuführen. Es genügt daher nicht, das Ergebnis einer Kontrolle einfach zu übernehmen. Die Datenschutzbeauftragten und ihre Mitarbeiterinnen und Mitarbeiter werden allerdings in bestimmten Bereichen nicht über den notwendigen Sachverstand verfügen, um eine Bewertung von Programmen und Verarbeitungsvorgängen vorzunehmen. Für diesen Fall wird auf Basis der Unterstützungspflichten nach § 4 Abs. 5 Satz 1 BDSG erwartet, dass auf Kosten der verantwortlichen Stelle externe Experten hinzugezogen werden. Ziel und Kriterien der Prüfung werden allerdings vom Datenschutzbeauftragten festgelegt.

Die Kontrolle der Verarbeitungsprogramme soll regelmäßig stattfinden und muss nicht angemeldet werden. Über die Modalitäten und das Verfahren zur Überprüfung entscheidet der Datenschutzbeauftragte allein. Stichproben können ebenso als ausreichend angesehen werden, wie eine detaillierte Kontrolle.

Der Datenschutzbeauftragte wird also nicht umhinkommen, die Zulässigkeit der Verarbeitung zu überprüfen und das Ergebnis sowie die Folgerungen zu dokumentieren. Die Dokumentation und das Ergebnis der Kontrolle ist auch der Leitung der verantwortlichen Stelle mitzuteilen.

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*