Eine Org.-Einheit spricht mit der Behördenleitung (Verantwortlicher) über eine erforderliche datenschutzrechtliche Beratung und Unterstützung. Der DSB wird nicht durch die Org.-Einheit informiert. Die Unternehmensleitung beauftragt einen externen Datenschutzberater - ebenfalls ohne Information des DSB. Der DSB wird nach der Beauftragung durch die Unternehmensleitung über die Beauftragung informiert. Die Einsatzplanung des externen Datenschutzberaters erfolgt durch die Org-Einheit - der DSB hat darauf keinen Einfluss. Die Org-Einheit und der DSB sind in der gleichen Dienststelle. Der DSB hat eine Vollzeitstelle.
Der externe Datenschutzberater führt die Beratungen und Unterstützung ohne Abstimmung und Information des DSB durch. Eventuelle datenschutzrechtliche Beurteilungen zur datenschutzrechtlichen Vorgängen der Org.-Einheit werden ebenfalls ohne vorherige Konsultation des DSB durchgeführt. Der DSB erhält die Beurteilungen - die teilweise die speziellen gesetzlichen datenschutzrechtlichen Vorgaben sowie internen Regelungen nicht berücksichtigten.
Klingt ziemlich absurd - ist aber so vorgefallen. Ich habe bisher zu so einer Fallkonstellation keine Rechtsprechung sowie Informationen von Aufsichtsbehörden oder Internetforen gefunden.
Für mich stellt sich die Frage, ob hier ein Verstoß gegen Artikel 38 Abs. 1 DSGVO oder Artikel 39 DSGVO vorliegt? Wenn ja, ist die Aussichtsbehörde darüber durch den DSB zu informieren bzw. durch einen Mitarbeiter mittels einer Beschwerde/Eingabe zu informieren.
Mich würde Eure Meinung interessieren. Ich danke schonmal jetzt für Eure Mühe!
Ergänzung am 23.08.2024 08:15 Uhr:
bdsb - Danke für die schnelle Rückmeldung.
Aber wie würde es sich verhalten, wenn die Org-Einheit mit Unterstützung des externen Beraters, ohne vorherige Konsultation und Einbindung des DSB, der Behördenleitung datenschutzrechtliche Umsetzungsempfehlungen bespricht und diese in Folge umgesetzt werden?
Ist doch eigentlich positiv, wenn der Verantwortliche sich Hilfe holt. Solange der externe nicht auch zum Datenschutzbeauftragten bestellt wird, gibt es doch erstmal kein Problem - insbesondere nicht mit Artikel 38 oder 39. Aus dem Text geht jedenfalls nicht hervor, dass der externe Berater auch zum DSB bestellt wurde.
Wer denkt an Datenschutz, aber nicht auch gleich an den eigenen DSB?!?
Mehr als Art. 38 Abs. 1 muss mir nicht einfallen:
“Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.”
Der Verantwortliche stellt sicher (Pflicht)
dass der Datenschutzbeauftragte eingebunden wird (es kann nur EINEN geben)
frühzeitig (nicht hinterher)
in alle (immer; ohne Ausnahme; sobald es irgendwie nach Datenschutz riecht)
Abs. 2 wären dann die nötigen Ressourcen. Warum nicht auch externe zusätzliche Kapazitäten. Aber die müssen immer irgendwie über Abs. 1 laufen. (Nie ohne minimale DSB-Einbindung.)
Eine zweite Meinung oder fachliche Empfehlungen zu neuen Themen wären nur sinnvoll, nachdem schon eine erste Meinung (DSB) besteht.
Verstöße gegen die Pflicht aus Art. 38 Abs. 1 bleiben im kleinen Bußgeldrahmen (Art. 83 Abs. 4 lit. a DSGVO). Bis 10 Millionen, halb so schlimm… (Oh, Behörde. Das ist etwas anderes. Die zahlen kein Bußgeld und dürfen gegen die Vorschrift verstoßen. Nicht.)
D., der sich diese Verirrung gaaanz genau erklären lassen würde.
in 3.1: (Hervorhebung von mir)
Consequently, the organisation should ensure, for example, that:
. The DPO is invited to participate regularly in meetings of senior and middle management.
. His or her presence is recommended where decisions with data protection implications are taken. All relevant information must be passed on to the DPO in a timely manner in order to allow him or her to provide adequate advice.
. The opinion of the DPO must always be given due weight. In case of disagreement, the WP29 recommends, as good practice, to document the reasons for not following the DPO’s advice.
. The DPO must be promptly consulted once a data breach or another incident has occurred.
–
Aber so eine EDPB oder SA ist natürlich auch kein Gericht…
“recommend” ist evtl. nicht genug, wenn “ensure” und “in all” vorgeschrieben ist.
Ob die DSB dann darauf anspringen und wie intensiv sie als Rächer der Enterbten auftreten ist dann eine andere Sache. Aber der Verantwortliche kann seine Pflicht nicht erfüllen, wenn er relevante Vorgänge an DSB vorbeischleust.
D., der solche und solche DSB kennt. Aber auch solche und solche externen Beratermeinungen. Wo jeweils wichtige Perspektiven fehlen. Die Entscheidung liegt dann sowiese immer beim Verantwortlichen.
Ein Aspekt, der noch nicht genannt wurde: sollte der externe Berater nicht als Rechtsanwalt zugelassen sein, besteht auch das Risiko gegen das RDG zu verstoßen.
Als benannter DSB darf er zu rechtlichen Themen beraten - ist er es nicht, müsste er zugelassener Rechtsanwalt sein, wenn seine Beratung rechtliche Themen und nicht nur organisatorische oder it-sicherheitstechnische Aspekte umfasst.
Die Einbeziehungspflicht des Verantwortlichen bedeutet nicht gleichzeitig auch ein Verbot der Inanspruchnahme von datenschutzrechtlichen Bewertungen von anderen als dem DSB.
Der V muss den Empfehlungen des DSB ja auch nicht folgen.
Die Einbeziehungspflicht greift erst ab der Umsetzung der Beratung.
