Art.39 - DSGVO - Aufgaben des Datenschutzbeauftragten
| Stand: 25.01.2012 | Stand: 12.03.2014 | Stand: 15.06.2015 |
Stand: 27.04.2016 (ehem. Art. 37) |
|
Zertifizierung |
Zertifizierung | Zertifizierung |
Aufgaben des Datenschutzbeauftragten |
|
1. Die Mitgliedstaaten und die Kommission fördern insbesondere auf europäischer Ebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und –zeichen, anhand deren betroffene Personen rasch das von für die Verarbeitung Verantwortlichen oder von Auftragsverarbeitern gewährleistete Datenschutzniveau in Erfahrung bringen können. Die datenschutzspezifischen Zertifizierungsverfahren dienen der ordnungsgemäßen Anwendung dieser Verordnung und tragen den Besonderheiten der einzelnen Sektoren und Verarbeitungsprozesse Rechnung. |
1. (keine Änderung) |
1. Die Mitgliedstaaten, der Europäische Datenschutzausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen, die von für die Verarbeitung Verantwortlichen oder Auftragsverarbeitern durchgeführt werden, eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen. | 1. Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben: |
|
a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten; b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen; c) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz- Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35; d) Zusammenarbeit mit der Aufsichtsbehörde; e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen. |
|||
| 2. Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt. |
Vergleich zum BDSG
Handlungsbedarf für deutsche Unternehmen
Kommentar
Art.39 - DSGVO - Aufgaben des Datenschutzbeauftragten
| Stand: 25.01.2012 | Stand: 12.03.2014 | Stand: 15.06.2015 |
Stand: 27.04.2016 (ehem. Art. 37) |
|
Zertifizierung |
Zertifizierung | Zertifizierung |
Aufgaben des Datenschutzbeauftragten |
|
1. Die Mitgliedstaaten und die Kommission fördern insbesondere auf europäischer Ebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und –zeichen, anhand deren betroffene Personen rasch das von für die Verarbeitung Verantwortlichen oder von Auftragsverarbeitern gewährleistete Datenschutzniveau in Erfahrung bringen können. Die datenschutzspezifischen Zertifizierungsverfahren dienen der ordnungsgemäßen Anwendung dieser Verordnung und tragen den Besonderheiten der einzelnen Sektoren und Verarbeitungsprozesse Rechnung. |
1. (keine Änderung) |
1. Die Mitgliedstaaten, der Europäische Datenschutzausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen, die von für die Verarbeitung Verantwortlichen oder Auftragsverarbeitern durchgeführt werden, eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen. | 1. Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben: |
|
a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten; b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen; c) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz- Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35; d) Zusammenarbeit mit der Aufsichtsbehörde; e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen. |
|||
| 2. Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt. |
Vergleich zum BDSG
Handlungsbedarf für deutsche Unternehmen
Hallo,
zunächst in Bezug auf bekannte Verarbeitungsmethoden: Ich leite neben meiner Tätigkeit als bDSB ein Abrechnungszentrum für Handwerker. Aus der Baubranche weiß ich, dass man sich häufig durch sogenannte „Bedenkenanmeldungen“ exkulpiert. Im Datenschutz mache ich es sehr ähnlich.
Eine „Bedenkenanmeldung“ ist dokumentiert und die Verantwortliche Stelle müsste proaktiv gegen diese Bedenken agieren. Das wäre dann ja ziemlich naiv und ist mir erst wenige Male vorgekommen. Für mich ist das immer der Moment wo ich den Auftrag und die Bestellung zurück gebe.
Bezüglich Verfahren die ich nicht kenne nehme ich meine Kunden ebenfalls in die Pflicht in dem ich mir am Anfang die Vollständigkeit bestätigen lasse – und mir dies auch für die Zukunft zusichern lasse.
Und last but not least ist es ja ganz gut, wenn man einen Hebel hat, um etwas engagierter als früher auf Audits zu drängen. Dass die notwendig sind zeigt sich mir jeden Tag …
Wie ist das denn gemein mit „sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters“?
1. ist mit Strategien „Policies“ – also Leitlinien/Richtlinen? BVs? CodeOfConduct? – gemeint?
2. ist mit „oder des Austragsverarbeiters“ gemeint, dass der DSB jetzt alle ADV-vereinbarungen abschließen soll?
Man liest derzeit oft, dass der bDSB nach DSGVO nun eine erweiterte Überwachungsfunktion und daraus abgeleitet eine erweiterte Verantwortlichkeit bzw. Haftung hätte (im Gegensatz zu BDSG). Lässt sich das konkret begründen und welche Folgen hätte das für bDSBs? Zusatzversicherungen? Es fehlt der Zusatz, dass der bDSB eine Überwachungsfunktion hat, wenn er über Vorhaben rechtzeitig informiert wurde (BDSG §4). Reicht das aus um daraus eine erweiterte Überwachungspflicht zu machen? Der bDSB muss also nach DSGVO viel aktiver und aus Eigenantrieb überwachen und nicht nur Einschätzungen zu Dingen abgeben, zu denen ihn die GF/das Unternehmen befragt? Wenn er von gewissen Dingen nichts weiß, ist er dennoch für Datenschutzverstöße verantwortlich, die sich daraus ableiten lassen? Der Umfang der Überwachung ist absolut nicht klar