Hier findest du häufige Verstöße, welche Datenschutzbehörden in den vergangenen Jahren bei der Benennung eines Datenschutzbeauftragten (DSB) feststellten.
Als besonders problematisch wurden folgende Bereiche identifiziert:
1. Interessenkonflikt
Viele Unternehmen benannten einen CEO oder IT-Leiter als DSB, während in einigen Fällen der DSB weitere Aufgaben wahrnahm, die ihn dazu veranlassten, Mittel und Zwecke der Verarbeitung zu bestimmen.
2. Benennung mehrerer DSB ohne Klärung ihrer Zuständigkeiten
Wenn mehrere personelle Ressourcen im Bereich des Datenschutzes benötigt werden, empfehlen Aufsichtsbehörden den Aufbau einer DSB-Gruppe, welche aus einem DSB und seinem Team besteht, im Gegensatz zu mehreren DSB.
3. Mangelnde Kontinuität von DPO-as-a-Service
Häufig beauftragten Unternehmen externe Datenschutzbeauftragte, wessen Dienste gemäß eines Rahmenvertrags bzw. Service Level Agreement (SLA) begrenzt waren (z.B. 60 Stunden/Jahr), ohne dass ein klarer Prozess festgelegt wurde, wie die Kontinuität für wiederkehrende Dienstleistungen sichergestellt werden konnte.
4. Unregelmäßige bis gar keine Tätigkeitsberichte
Keine regelmäßigen Tätigkeitsberichte des Datenschutzbeauftragten an das Top-Management gefährden die Einhaltung des innerbetrieblichen Datenschutzmanagements. Oft herrscht mangelnde Klarheit über das Format und die Häufigkeit der Berichterstattung bzgl. der ergriffenen Maßnahmen und Audits.
5. Unzureichende Information der Mitarbeiter über den Datenschutzbeauftragten
Während die Kontaktdaten des Datenschutzbeauftragten normalerweise auf der Website für Kunden veröffentlicht werden, sind hingegen für Mitarbeitende keine zusätzlichen Mittel eingerichtet, um diese Informationen aktiv zur Verfügung zu stellen.
6. Fehlende Transparenz gegenüber Aufsichtsbehörden
Die Ernennung des Datenschutzbeauftragten oder etwaige Änderungen der Ernennung werden der Datenschutzbehörde nicht mitgeteilt.
7. Keine Zustimmung zwecks Handlungsbedarfs
Wenn die Organisation sich weigert, den Handlungsempfehlungen des Datenschutzbeauftragten zu folgen, gibt es keinen dokumentierten Prozess, warum diesen nicht Folge geleistet wurde und wer die Entscheidung begründete.
8. Kaum interne Prüfungen
Nur sehr wenige Datenschutzbeauftragte führen regelmäßige interne Audits bzw. Compliance-Prüfungen durch.
Fazit
Diese Liste ist besonders aufschlussreich im Hinblick auf das durch den Europäischen Datenschutzausschuss (EDSA) laufende koordinierte Durchsetzungsprojekt für 2023 betreffend der Rolle der DSB. Es nehmen 26 Datenschutzaufsichtsbehörden im gesamten EWR daran teil. Kurz gesagt: In diesem Jahr werden die Benennung und die Position der DSB im Mittelpunkt stehen. Die Ergebnisse werden analysiert und die Aufsichtsbehörden werden über mögliche weitere nationale Überwachungs- und Durchsetzungsmaßnahmen entscheiden.