Es ist nun drei Jahre her, seit die Europäische Union mit der Umsetzung eines wegweisenden Datenschutzgesetzes in der Region begonnen hat – der Datenschutz-Grundverordnung (besser bekannt alsDSGVO). Es handelt sich um das weltweit umfassendste Gesetz zum Datenschutz und zur Datensicherheit, dessen Geltungsbereich weit über Europa hinausreicht. Angesichts einiger wichtiger Neuerungen im vergangenen Jahr veröffentlichen wir die ursprüngliche Artikelserie aus dem Jahr 2018 erneut, um der Entwicklung der DSGVO Rechnung zu tragen. In diesem ersten Beitrag befassen wir uns mit einem der zentralen Aspekte – der Bestellung eines Datenschutzbeauftragten (DSB).
Was genau ist ein Datenschutzbeauftragter?
Eine recht einfache Frage, doch die Antwort erfordert ein gewisses Verständnis der DSGVO und der EU-Datenschutzvorschriften.
Für jeden EU-Bürger ist das Recht auf Privatsphäre und den Schutz personenbezogener Daten in der Charta der Grundrechte (Artikel 7 und 8) verankert. Personenbezogene Daten müssen geschützt werden, und ihre Verarbeitung muss einem rechtmäßigen Zweck dienen und transparent sein. Das wichtigste Instrument zur Gewährleistung dieser Anforderungen war vor 2018 eine Kombination aus EU-Richtlinien und den nationalen Rechtsvorschriften der einzelnen Mitgliedstaaten. Das änderte sich am 25. Mai 2018 mit der Einführung der DSGVO in allen EU- und EWR-Mitgliedstaaten.
Ein Datenschutzbeauftragter (DSB) setzt sich für den Schutz der Grundrechte und -freiheiten der betroffenen Personen im Zusammenhang mit dem Datenschutz ein.
Mit der DSGVO wurde die Rolle des Datenschutzbeauftragten im EU-Recht verankert. Für einige Einrichtungen ist die Bestellung eines Datenschutzbeauftragten verpflichtend, während andere sich freiwillig dafür entscheiden können. Die folgenden Organisationen sind gesetzlich verpflichtet, einen Datenschutzbeauftragten zu bestellen:
- Öffentliche/staatliche Einrichtungen
- Organisationen, die bestimmte Arten sensibler Daten in großem Umfang verarbeiten
- Organisationen, die personenbezogene Daten verarbeiten, was eine groß angelegte Überwachung oder Beobachtung beinhaltet
Da wir wissen, dass viele unserer Kunden diese Rolle besetzen müssen, itslearning gehörte zu den ersten LMS-Anbietern, die einen Datenschutzbeauftragten ernannt haben. Neben der Überwachung unserer eigenen Compliance sowie der Beratung und Schulung unserer eigenen Mitarbeiter:in steht unser Datenschutzbeauftragter unseren Kunden und deren Datenschutzbeauftragten zur Verfügung, um Fragen zum Datenschutz zu besprechen. Ich hatte diese Rolle bis 2020 inne, als itslearning von Gruppe übernommen wurde. Die Rolle wird nun von Riika Turunen bei Sanoma wahrgenommen. Die Details finden Sie auf unsererDSGVO-Seite.
Die Rolle des Datenschutzbeauftragten
Zurück zur ursprünglichen Frage: Was ist ein Datenschutzbeauftragter? Einfach ausgedrückt: Datenschutzbeauftragte setzen sich für den Schutz der Grundrechte und -freiheiten der betroffenen Personen in Bezug auf Privatsphäre und Datenschutz ein. Um sicherzustellen, dass der Datenschutzbeauftragte die Rechte der betroffenen Person und nicht die seines Arbeitgebers in den Vordergrund stellt, enthält die DSGVO besondere Bestimmungen zur Gewährleistung seiner Unabhängigkeit. Ein Datenschutzbeauftragter darf hinsichtlich seiner Tätigkeit als Verfechter des Datenschutzes weder Weisungen erhalten noch bestraft werden. Er oder sie darf auch keine andere Funktion ausüben, die mit dem Schutz personenbezogener Daten in Konflikt stehen könnte.
Ein weit verbreitetes Missverständnis bezüglich dieser Funktion ist die Annahme, dass der Datenschutzbeauftragte für die Einhaltung der DSGVO verantwortlich ist. Tatsächlich ist es genauumgekehrt: Ein Datenschutzbeauftragter darf keine formelle Rolle innehaben, in der Entscheidungen getroffen werden, die die Einhaltung der DSGVO beeinträchtigen könnten. Man kann sich das wie den Unterschied zwischen einem Buchhalter und einem Wirtschaftsprüfer vorstellen: Der Wirtschaftsprüfer kann den Buchhalter beraten und ihm Buchhaltungstechniken empfehlen, muss aber unabhängig bleiben.
Ebenso muss der Datenschutzbeauftragte stets zu wichtigen datenschutzrechtlichen Angelegenheiten innerhalb seiner Organisation konsultiert werden. Er oder sie könnte die Verantwortung für die Schulung der Organisation hinsichtlich ihrer Pflichten gemäß den europäischen Datenschutzvorschriften übernehmen. Der Datenschutzbeauftragte sollte zudem in der Lage sein, die Einhaltung der Vorschriften proaktiv zu bewerten und zu überwachen sowie der obersten Führungsebene der Organisation Bericht zu erstatten. Der Datenschutzbeauftragte ist zudem Ansprechpartner für die Aufsichtsbehörden in den einzelnen Ländern, die dafür zuständig sind, sicherzustellen, dass personenbezogene Daten fair und rechtmäßig verarbeitet werden.
Der Datenschutzbeauftragte ist auch für die Bearbeitung direkter Anfragen von betroffenen Personen zuständig. Dies beschränkt sich jedoch auf Fälle, in denen die Organisation für den Zweck der Verarbeitung verantwortlich ist (der für die Verarbeitung Verantwortliche). Für itslearningerfolgt der Großteil der von uns verarbeiteten Daten im Auftrag unserer Kunden. Wenn Sie als Schüler:in, Lehrer:in Erziehungsberechtigte die Dienste unserer Kunden Erziehungsberechtigte , müssen Sie sich an die Einrichtung wenden, bei der Sie eingeschrieben sind, um Ihre Rechte auszuüben. Unsere Datenschutzbeauftragte wird jedoch alles in ihrer Macht Stehende tun, um Ihre Einrichtung beim Schutz Ihrer Rechte zu unterstützen.
Dank der DSGVO genießen die Menschen in Europa heute das weltweit höchste Datenschutzniveau. Seit ihrer Einführung ist vielen Menschen bewusst geworden, dass ihre Daten wertvoll sind und dass das Risiko von Datenschutzverletzungen streng kontrolliert werden muss. Bei itslearningnehmen wir den Datenschutz sehr ernst und verpflichten uns strikt zur Einhaltung der DSGVO undder ISO 27001-Normen.
Weitere Informationen zur DSGVO und zu Ihren Rechten als itslearning Benutzer:in finden Sie auf unserer Webseite: itslearning ist DSGVO-konform.
