Datenschutzhinweise/Datenschutzerklärung: Anwalt oder DSB?

Hallo zusammen!

Gehört die Erstellung einer Datenschutzerklärung bzw. von Datenschutzhinweisen an Kunden etc. zu den Aufgaben eines DSB?
Wenn nicht, darf er sie überhaupt erstellen?

Viele Grüße

An und für sich gehört das ja erstmal nur zur Aufgabe der Verantwortlichen nach Art. 13, 14 DSGVO, wobei die DSB nach 39 (1) a) DSGVO dabei zu unterstützen und beraten hat, was in der Realität dazu führt, dass der DSB die vermutlich größtenteils ausarbeitet, in Zusammenarbeit mit den jeweiligen Abteilungen, so zumindest meine Erfahrung.

3 „Gefällt mir“

Ich finde die Diskussion, was der DSB “nicht darf”, oft etwas befremdlich. In vielen Fällen ist der DSB der einzige, der sich tiefergehend mit Datenschutz auskennt - warum also soll er nicht die Datenschutz-Infos, das Verarbeitungsverzeichnis und die Folgenabschätzung machen? Natürlich sollte er immer drauf hinweisen, dass er nur Berater ist und das Risiko beim Verantwortlichen liegt.
Ansonsten läuft es so: Fachabteilung schreibt eine Datenschutz-Info, DSB prüft und zeigt Mängel auf, Fachabteilung bessert nach, DSB prüft und zeigt Mängel auf, Fachabteilung bessert nach, DSB prüft und zeigt Mängel auf …

3 „Gefällt mir“

Egal, wer sie erstellt. “Der Verantwortliche” muss sie unter die Leute bringen.

  • Entscheiden, was im Endeffekt drinsteht.
  • Weisungen erteilen, welcher Text bei welcher Gelegenheit und wie den Betroffenen verfügbar gemacht wird.

D., der nur berät. Auch zum Text, Aufbau, optimale Übergabe bei bzw. vor der Datenerhebung…

3 „Gefällt mir“

Hallo zusammen,
danke für Eure Antworten.

Genau da besteht nach meiner Erfahrung häufig das Problem. Denn wie bdsb zurecht schreibt:

Das heißt aber in der Realität oft, dass “alles was mit Datenschutz zu tun hat”. vom DSB gemacht werden soll, inklusive der Entscheidung, was drin stehen soll etc.
Deshalb finde ich eine Abgrenzung schon wichtig. Auch im Hinblick auf die Ressourcenfrage.

1 „Gefällt mir“

Dann nichts Komplettes vorlegen, sondern mehrere Alternativen, mit Beschreibung ihrer Auswirkungen. Bzw. Fragen stellen und abhängig vom Antwortweg unterschiedliche Formulierungen empfehlen.

D., der fast nie was abliefert, ohne lästig zu fragen. Weil… es kommt drauf an!

1 „Gefällt mir“

Wird “bitte eine kurze Antwort” verlangt, kommtn oft trotzdem 2 Antworten zur Auswahl. Weil abhängig von den Gegebenheiten.

2 „Gefällt mir“

“Dürfen” darf er, aber “müssen” muss er nicht :slight_smile:

2 „Gefällt mir“

Genauso.

iDSB sollten im Rahmen Ihrer Aufgabenklärung/Stellenbeschreibung abklären, wie weit Sie bei allen optionalen (und sinnvollerweise) von ihnen zu erfüllenden Aufgaben beraten oder unterstützen oder federführend vorbereiten sollen.
Je mehr optionale Aufgaben:

  • VVT Führung
  • DSE-Pflege
  • Risikoprüfung und DSFA
  • toM-Dokumentation
  • Betroffenenanfragen
  • Datenschutzverletzungen
  • Pflege und Führung des DSMS
  • Erstellung von Prozess- und Arbeitsanweisungsentwürfen
  • Kooperation mit der Arbeitnehmervertretung
  • Prüfung und Maßnahmenerstellung
  • Maßnahmenverfolgung
  • Schulung und Sensibilisierung

  • in je größerer Tiefe vom Verantwortlichen “verlangt” wird, je mehr Ressourcen und Fortbildung ist erforderlich.

Der Abgrund beginnt, wenn der Chef sagt: “Hier ist unser neuer DSB, der macht jetzt hier den Datenschutz!”

Von daher ist die spezifische Klärung der Aufgaben mit das wichtigste, was man beim Jobantritt regeln sollte.

5 „Gefällt mir“

Sehe ich als iDSB genauso. Nur mit einem erfahrenen Team, das auch operativ arbeitet, kann man ein gutes DS-Management implementieren und leben. Je mehr Aufgaben aus dem DS von den Experten erledigt werden, desto besser wird das Ergebnis. Dafür braucht es Personal.
Der Einzelkämpfer darf und muss sich auf Beratung und Prüfung beschränken. Alle operativen Aufgaben über Art 39 DSGVO hinaus müssen ausdrücklich vom AG übertragen werden. Wenn es zu viel wird, bleibt nur die Überlastungsanzeige und der Antrag auf Ressourcen.

Super, vielen Dank für Eure Antworten. :+1: