Zugang zu Verarbeitungsvorgängen (Art 38 Abs. 2 DSGVO)

Wie umfangreich ist der Zugang des DSB zu Verarbeitungsvorgängen nach Art. 38 Abs. 2 DSGVO?

Ein DSB erhält Kenntnis zu einer Verarbeitung von personenbezogenen Daten. Er fordert daraufhin die sachbezogenen Unterlagen und Informationen an. Erhält jedoch u.a. Auszüge von Dokumenten zu der Verarbeitung, jedoch nicht das ganze Dokument. Die eingeforderte Begründung ist für die Auszüge, dass dies die erforderlichen Informationen sind.
Die Vermutung ist jedoch, dass in dem Dokument zu der Verarbeitung relevante Informationen enthalten sind.
Ist es aufgrund des Art. 38 Abs. 2 DSGVO das ganze Dokument beim Verantwortlichen (Unternehmensleitung) einzufordern? Mich würde Eure Meinung zu dem Sachverhalt interessieren.

Als DSB kannst du den Verantwortlichen nicht zu irgendetwas zwingen. Wenn er die Informationen nicht rausrückt, schneidet er sich jedoch nur ins eigene Fleisch. Also: der DSB dokumentiert, welche Informationen ihm fehlen und dass er den Verantwortlichen darauf schriftlich (!) hingewiesen hat, welche Konsequenzen möglicherweise drohen.
So ist er gegen Falschberatung abgesichert. Mehr kann er nicht tun.

3 „Gefällt mir“

Komische Situation: Ich kenne das eigentlich nur so, dass die Geschäftsleitung froh ist, wenn sich jemand (der DSB) um den Datenschutz kümmert und tut alles, ihn dabei nicht zu behindern. Warum sollte die GL gegen den DSB arbeiten? Wie schon von Adelheid gesagt, schneidet er sich damit ins eigene Fleisch. Ich würde als DSB zurücktreten oder gleich ganz kündigen.

1 „Gefällt mir“

Danke für Eure Informationen und Stellungnahmen

Ich glaube, dass in den Unterlagen Informationen enthalten sein können, die ggf. nicht mit dem Verarbeitungsvorgang zusammenhängen und die der DSB nicht sehen soll (Könnte ja zu einem “neuen” Verarbeitungsvorgang, Datenschutzvorfall, Personalangelegenheit etc. führen). Ändert das was an der Sache - ich denke nicht, da der DSB “Vertrauensperson” im Unternehmen ist?

Der DSB ist zur Vertraulichkeit verpflichtet also sollte da keine Angst bestehen.

Selbst wenn da was sein sollte - wäre es doch gut da mal ein Blick drauf zu werfen - wie gesagt er schneidet sich ins eigene Fleisch.

Und wenn er nicht will, dann halt drauf hinweisen, dokumentieren und auch in den Jahresbericht aufnehmen bzw. falls vorhanden und auch vorgesehen den Aufsichtsrat etc informieren. (Ich bin ein Freund bei AGs davon dass der Aufsichtsrat nicht nur das wirtschaftliche überwacht sondern auch die strategischen und Compliance Themen)

“Nicht sehen soll” können Sachverhalte sein, die sich sehr wohl auf die fachgerechte Antwort zum angefragten Thema auswirken.

D., der sich oft nur einen §§ mit der Überschrift “Datenschutz” anschauen soll, aber die relevanten Abmachungen zu Verarbeitungen und Datenflüssen stehen im restlichen Vertrag verteilt. Von Rechtschreibfehlern und Verständnislücken mal abgesehen.

Meistens ungefähr “§ XX Datenschutz - Die Vertragsparteien werden den Schutz der personenbezogenen Daten wahren.” Aha. Wenn da nicht noch eine dicke Vertragsstrafe an ggf. Verstößen gegen diese vertragliche Vereinbarung festgemacht wird, ist das völlig überflüssig, weil sie dieser Pflicht bereits gesetzlich unterliegen. Interessanter wäre zu wissen, wessen (Verantwortlicher) Daten, wozu, wohin… So wäre es entweder zu viel (und könnte mangels Regelungsbedarf ganz weg) oder zu wenig (weil ein Vertrag nach Art. 26 oder 28 her muss).