Welche Rolle spielt der Datenschutzbeauftragte bei Datenschutz-Folgenabschätzungen?

Der Datenschutzbeauftragte hat gemäß Art. 39 Abs. 1 Buchstabe c DSGVO die Aufgabe, den Verantwortlichen – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung zu beraten.

Für die Durchführung einer Datenschutz-Folgenabschätzung ist allein der Verantwortliche zuständig. Er bestimmt, wer die Datenschutz-Folgenabschätzung durchzuführen hat (unternehmensintern oder per Auslagerung).

Ob der Datenschutzbeauftragte mit der Durchführung der Datenschutz-Folgenabschätzung beauftragt werden kann, ist umstritten. Dagegen sprechen in jedem Fall die Beratungspflicht (er kann sich ja nicht selbst beraten) und ein eventueller Interessenkonflikt, da er die Datenverarbeitung überwachen und nicht imitieren soll. Diese Meinung vertreten auch die Datenschutzaufsichtsbehörden in Deutschland.

Der Verantwortliche muss allerdings den Rat des Datenschutzbeauftragten einholen, sofern ein solcher benannt wurde (Art. 35 Abs. 2 DSGVO). Diese Vorgabe findet sich inhaltsgleich auch in Art. 39 Abs. 1 Buchstabe c DSGVO, in dem diese Beratung bezüglich der Durchführung einer Datenschutz-Folgenabschätzung als Aufgabe eines Datenschutzbeauftragten explizit aufgenommen wurde.

Damit der Datenschutzbeauftragte beratend tätig werden kann, müssen ihm natürlich entsprechende Unterlagen vorliegen. Dazu gehört u.a. die Beschreibung der Verarbeitungstätigkeit entsprechend Art. 30 Abs. 1 DSGVO. Das Verzeichnis der Verarbeitungstätigkeiten ist die Grundlage für die Aufgabenwahrnehmung des DSB nach Art. 39 DSGVO.

Die Beratung umfasst zudem dabei zu helfen, ob überhaupt eine DSFA durchgeführt werden muss und wie ein solcher Durchführungsprozess aussehen könnte.

Der Rat des Datenschutzbeauftragten und auch die Entscheidungen, die von dem für die Verarbeitung Verantwortlichen getroffen werden, müssen in der Datenschutz-Folgenabschätzung dokumentiert werden.

Der Datenschutzbeauftragte ist wiederum gemäß Art. 39 Abs. 1 Buchstabe c DSGVO zu einer derartigen Beratung verpflichtet. Außerdem sollte er die Durchführung der Datenschutz-Folgenabschätzung überwachen.

Die Artikel-29-Gruppe empfiehlt in ihren Leitlinien in Bezug auf Datenschutzbeauftragte, dass der Verantwortliche den DSB insbesondere dann zurate zieht, wenn es um die Frage geht,

• ­ob eine Datenschutz-Folgenabschätzung durchgeführt werden sollte oder nicht
• ­welche Methodik bei der Durchführung einer solchen Datenschutz-Folgenabschätzung angewandt werden sollte
• ­ob diese Datenschutz-Folgenabschätzung intern oder extern erfolgen sollte
• ­welche Sicherheitsvorkehrungen (einschließlich technischer und organisatorischer Maßnahmen) getroffen werden sollten, um bestehenden Bedrohungen der Rechte und Interessen der Betroffenen zu begegnen
• ­ob eine solche Datenschutz-Folgenabschätzung ordnungsgemäß durchgeführt worden ist und ob die daraus gezogenen Schlussfolgerungen (bezüglich der Frage, ob die Datenverarbeitung fortgesetzt werden sollte oder nicht und welche Sicherheitsvorkehrungen gegebenenfalls getroffen werden sollten) im Einklang mit der DSGVO stehen.¹⁾

Der Verantwortliche ist allerdings nicht an dem Ratschlag des Datenschutzbeauftragten gebunden. Er sollte allerdings darauf achten, dass bei einer Abweichung von der Empfehlung des Datenschutzbeauftragten diese auch begründet und ebenfalls dokumentiert wird.

Die Artikel-29-Gruppe empfiehlt ferner, dass der Verantwortliche – beispielsweise im Vertrag des Datenschutzbeauftragten und auch in an die Beschäftigten, die Unternehmensleitung und etwaige sonstige Interessenträger gerichteten Mitteilungen – die Aufgaben, die der DSB in Bezug auf die Durchführung der Datenschutz-Folgenabschätzung zu erfüllen hat, und deren Umfang genau darlegt.

Fundstelle:

¹⁾ Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“) der Artikel-29-Gruppe (nunmehr Europäischer Datenschutzausschuss) – abrufbar im Internet beispielsweise unter https://www.datenschutzkonferenz-online.de/media/wp/20170405_wp243_rev01.pdf