Der erste Datenschutzbeauftragte (DSB) wurde in Deutschland vor fast 50 Jahren bestellt. Seitdem haben sich die Aufgaben und Funktionen des DSB erheblich gewandelt. Nicht zuletzt hat die DSGVO hier – von vielen immer noch unbeachtete – Änderungen gebracht.
Im Zuge der DSGVO sind nun deutlich mehr Unternehmen gezwungen, einen DSB bestellen zu müssen. Ob hierzu nun ein interner Mitarbeiter oder ein externer Dienstleister ausgewählt wird – in jedem Fall besteht noch eine erhebliche Unsicherheit, was der DSB genau zu leisten hat.
Oft wird der DSB als Feigenblatt genutzt, um den notwendigen Cyber-Versicherungsschutz zu vermindern oder zu vermeiden, mit möglicherweisen fatalen Folgen.
Was also leistet der DSB und was nicht?
Grundsätzlich ist der DSB ein mehrschichtiges Wesen. Seine Aufgaben sind in Art. 39 DSGVO und § 7 BDSG überraschend vielfältig beschrieben.
Seine erste Aufgabe besteht zunächst darin, in alle Datenschutzfragen des Verantwortlichen, also der Behörde, des Unternehmens oder des Vereins eingebunden zu werden, um anschliessend ein dauerhafte und fundierte Beratung durchführen zu können. Hierbei geht es um Hinweise und Hilfestellungen, wie der Verantwortliche seine Datenschutzpflichten erfüllen kann und sollte. Dies beinhaltet natürlich auch eine Beratung zu Teilen der IT-Sicherheit sowie Schulungen und Unterrichtung.
Die Beratung und die damit verbundenen Dienstleistungen können je nach Anbieter mehr oder weniger umfassend sein, was am Ende dann auch die Qualitäts- und auch Preisunterschiede ausmacht.
Damit der DSB seine Aufgaben erfüllen kann, benötigt er tiefes Fachwissen in Betriebswirtschaft, Datenschutzrecht und IT. Auch sollte er die besonderen gesetzlichen Anforderungen und Branchenbesonderheiten des Verantwortlichen gut kennen.
Hierzu sei am Rande angemerkt, dass ein DSB sich diese Kenntnisse nicht in einem viertägigen Workshop im Schnelldurchlauf aneignen kann. Hier sind stetige Weiterbildung und viel Erfahrung, gerade bei anspruchsvollen Branchen, zwingende Voraussetzung.
Der DSB hat zudem die Aufgabe, die Einhaltung des Datenschutzes beim Verantwortlichen zu überwachen und so merkwürdig es klingt, der Verantwortliche leistet sich mit dem DSB quasi die eigene interne Datenschutzaufsicht.
Gerade die Überwachungsfunktion macht den DSB aber nicht immer nur beliebt. Er darf nicht nur, sondern er muss sogar oft den Finger in die Wunde legen und unbequeme Themen ansprechen, die dem Verantwortlichen nicht nur kein Geld einbringen, sondern oft auch kostspielig in der Umsetzung sind.
Daher muss der DSB weisungsfrei agieren und darf keinerlei Interessenkonflikten unterliegen. Nicht umsonst darf der interne DSB keine persönlichen oder wirtschaftlichen Verflechtungen zum Verantwortlichen haben und ist, sofern es sich um einen Angestellten des Verantwortlichen handelt, vor einer ordentlichen Kündigung geschützt.
Im Umkehrschluss bedeutet dies: der DSB ist nicht derjenige, der die Einhaltung des Datenschutzes umsetzt, da der Überwacher sich ja nicht selbst überwachen kann. Die Umsetzung obliegt allein dem Verantwortlichen.
Der DSB ist für viele Themen der IT-Sicherheit und des Schutzes vor Cyber-Attacken schlicht nicht zuständig, sondern er darf höchstens die Aspekte des Schutzes der personenbezogenen Daten ansprechen und hierzu beraten. Für den umfassenden Schutz der IT ist er nicht verantwortlich und er darf es auch nicht, weil er sonst in die Gefahr von Interessenkonflikten gerät.
Dies resultiert letztlich auch aus einer weiteren Aufgabe des DSB, welche auf den ersten Blick für die meisten ziemlich überraschend ist. Der DSB muss die Betroffenen bei der Wahrnehmung ihrer Rechte beraten. Insofern ist er Anwalt der Betroffenen.
Auch diese Funktion steht einer tiefgreifenden Einbindung in die strategische und operative Umsetzung der IT-Sicherheit im Weg, denn diese dient in erster Linie den wirtschaftlichen Interessen des Verantwortlichen.
Fazit:
Ein qualifizierter und guter DSB hilft dem Verantwortlichen, seine Datenschutzpflichten umzusetzen. Dadurch bietet er auch einen Mehrwert, da er die Verantwortlichen im Bereich Datenschutz vor Folgen von Compliance-Verstößen warnt und bestenfalls schützt.
Ein DSB ist aber nie derjenige, der die IT-Sicherheit verantwortet und für den umfassenden Schutz vor Cyber-Attacken schützt. Dafür gibt es andere Lösungen.