Artikel 39 EU-DSGVO: Aufgaben des Datenschutzbeauftragten
- Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:.
- Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
- Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
- Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
- Zusammenarbeit mit der Aufsichtsbehörde;
- Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.
- Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
Kommentar zu Artikel 48 DSGVO
Wie ist Art. 48 DSGVO zu verstehen?
Art. 48 DSGVO regelt den Zugriff auf personenbezogene Daten, welche dem Schutz der DSGVO unterliegen, durch Gerichte und Behörden aus Drittstaaten (Nicht-EU-Staaten).
Danach dürfen drittstaatliche Gerichtsurteile und Verwaltungsentscheidungen zur Herausgabe von personenbezogenen Daten nur aufgrund einer internationalen Übereinkunft zwischen dem betreffenden Drittland und der Union bzw. dem Mitgliedstaat anerkannt oder gegen den Verantwortlichen bzw. den Auftragsverarbeiter vollstreckt werden. Damit soll sichergestellt werden, dass das Schutzniveau der DSGVO nicht durch eine drittstaatliche Entscheidung unterlaufen wird.
Als internationale Übereinkünfte im Sinne des Art. 48 DSGVO kommen solche in Betracht, die ausdrücklich die Übermittlung personenbezogener Daten regeln, nicht aber unverbindliche internationale Übereinkommen oder Empfehlungen. Beispielhaft nennt Art. 48 DSGVO explizit Rechtshilfeabkommen zwischen dem betreffenden Drittstaat und der Union bzw. einem Mitgliedstaat. Hierzu zählt etwa das Haager Übereinkommen über die Beweisaufnahme im Ausland in Zivil- und Handelssachen. Darüber hinaus können auch andere Abkommen wie bspw. das zur Übermittlung von Flugdaten an US-Behörden eine Ermächtigung enthalten. Keine Ermächtigungsgrundlage stellt jedoch z. B. der EU/US-Privacy-Shield dar, da es zwar Grundlagen für den Datenschutz in den USA, jedoch nicht die Übermittlung von Daten regelt.
Eine Übermittlung an hoheitliche Stellen in Drittländern, die durch andere Gründe des Kapitels V der DSGVO (Art. 44-50 DSGVO), gerechtfertigt ist, bleibt von dieser Regelung unberührt. Art. 48 DSGVO macht also diesbezüglich keine abschließenden Vorgaben.
Wann greift Art. 48 DSGVO nicht?
Art. 48 DSGVO erfasst sämtliche hoheitliche Akte einer Stelle in einem Drittland, nicht aber das Herausgabeverlangen von privaten Dritten. Es genügt auch nicht, wenn dieses private Herausgabeverlangen im Rahmen eines gerichtlichen Verfahrens erfolgt. Es müsste vielmehr eine entsprechende Anordnung des zuständigen Gerichts vorliegen.
Was ist neu?
Eine Art. 48 DSGVO entsprechende Vorschrift gab es bislang weder im deutschen Datenschutzrecht noch in der EU-Datenschutzrichtlinie. Mit der neuen Regelung wird der Grundsatz bekräftigt, dass es für derartige Übermittlungen stets einer konkreten Rechtsgrundlage bedarf. Hiermit setzt der europäische Gesetzgeber auch ein deutliches Zeichen für den hohen Schutz der personenbezogenen Daten vor hoheitlichen Akten von Drittländern.
Was muss getan werden?
Konkrete Handlungsempfehlungen für betroffene Unternehmen ergeben sich aus Art. 48 DSGVO nicht. Diese Vorschrift richtet sich nämlich nur an die Stellen, die für die Anerkennung und Vollstreckung von Urteilen oder Entscheidungen zuständig sind. Denken Sie in diesem Zusammenhang daran, dass Sie sich gerne unsere Datenschutz-Beratung in Anspruch nehmen können.