Sie wollen einfach nur Ihren Job machen – doch dann bekommen Sie ein Stoppschild vor die Nase gehalten. Führen Sie unangemeldet Besuche zu Kontrollzwecken im Unternehmen durch, rennen Sie nicht immer offene Türen ein. Bereiten Sie deshalb die richtigen Argumente und Maßnahmen vor, um Skeptiker zu überzeugen und Ihren Prüfpflichten als Datenschutzbeauftragter nachzukommen.

Ihre gesetzlichen Pflichten als Datenschutzbeauftragter

Als Datenschutzbeauftragter sind Sie vor allem eines nicht, nämlich verantwortlich für die Umsetzung von Datenschutzmaßnahmen. Sehr wohl sind Sie in Ihrer Tätigkeit als Datenschutzbeauftragter jedoch dafür zuständig, den Verantwortlichen rund um das Thema Datenschutz zu beraten, zu informieren und die Einhaltung der Vorgaben der Datenschutz-Grundverordnung (DSGVO) und anderer Datenschutzvorschriften zu überwachen (vgl. Art. 39 Abs. 1 Buchst. b DSGVO).

Ihre Kontrollrechte als Datenschutzbeauftragter

Um Ihren gesetzlichen Pflichten nachzukommen und Ihre Aufgaben zu erfüllen, übernehmen Sie die Rolle eines unabhängigen Kontrollorgans. Machen Sie den Skeptikern deutlich: Ihre Kontrollrechte sind weit gefasst – der Gesetzgeber hat keine Kontrollschranken eingebaut.

Dies betrifft auch die Überprüfung von vertraulichen Daten des Unternehmens – natürlich nur, sofern personenbezogene Daten enthalten sind. Außerdem: Achten Sie bei Ihrer Prüfung auf die Verhältnismäßigkeit.

Erforderliche Berechtigungen für Prüfungen als Datenschutzbeauftragter

Information über Pflichten und Rechte

Wissen alle Mitarbeiter im Unternehmen Bescheid, was hinter Ihrem Job als Datenschutzbeauftragter steckt und welche Pflichten, aber auch Rechte Sie haben, um Ihre Aufgaben zu erfüllen? Sie können sich viele Diskussionen ersparen, wenn Sie sich bei Ihrem Kontrollwunsch/Wunsch der Einrichtung eines Accounts etc. auf die Unternehmensleitung berufen können.

Weisen Sie hier auch darauf hin, dass Sie als Datenschutzbeauftragter einer Verschwiegenheitspflicht unterliegen. Seit Anwendung der DSGVO sind die entsprechenden Regelungen in Art. 38 Abs. 5 DSGVO bzw. § 38 Abs. 2 in Verbindung mit § 6 Abs. 5 Satz 2 Bundesdatenschutzgesetz zu finden.

Lassen Sie sich einen Account als Datenschutzbeauftragter einrichten

Haben Sie für zu prüfende IT-Systeme, die in Ihrem Unternehmen personenbezogene Daten verarbeiten, einen Account? Um (unangekündigte) Kontrollen durchführen zu können, verfügen Sie idealerweise über einen eigenen Account. Zeigen Sie auf: Haben Sie einen eigenen Account, entsteht für die Kollegen der IT-Abteilung der geringste Arbeitsaufwand. Alternativ sollte es möglich sein, die kurzfristige Freigabe eines nicht ständig verfügbaren Accounts zu gewährleisten. Eine weitere Alternative zum eigenen Account wäre, dass Sie bei einer Kontrolle einen IT-Mitarbeiter an die Seite bekommen, der Ihnen Hilfestellung gibt, wenn Sie sich in einem System (noch) nicht hinreichend gut auskennen.

Werden Sie bei komplexen Überprüfungen von der IT unterstützt?

Auch für den Fall, dass Sie über einen eigenen Account verfügen, ist Unterstützung vonseiten der IT-Experten durchaus sinnvoll. Denn gerade in komplexen Umgebungen (SAP oder Ähnliches), mit denen Sie nicht täglich arbeiten, ist z. B. die Kontrolle der Rechtevergabe nicht unbedingt einfach vorzunehmen und der prüfende Blick in einzelne Felder der Datenbanktabellen auf eigene Faust schwer zu bewerkstelligen. Da kann es nicht schaden, wenn Sie jemanden fragen können, der sich damit auskennt.

Verfügen Sie über die zur Prüfung notwendigen Zugriffsberechtigungen?

Bedenken Sie: Nur über einen Account zu verfügen und sich in einem System anzumelden, reicht nicht aus, um zu kontrollieren. Sie brauchen weiterreichende Berechtigungen, um etwa die Vergabe von Rechten anhand eines vorgelegten Berechtigungskonzepts zu überprüfen. Deshalb ist oftmals ein Account als Auditor notwendig, der Ihnen ermöglicht, tiefer in das System vorzudringen und auf die dort abgelegten Daten einen Blick werfen zu können.

Haben Sie Zutrittsberechtigungen?

Haben Sie zu den Räumen, in denen personenbezogene Daten verarbeitet werden, Zutrittsberechtigung? Gleich vorab: Selbstverständlich brauchen Sie nicht für jeden Raum im Unternehmen einen eigenen Schlüssel. Jedoch muss es für Sie beispielsweise möglich sein, das Archiv zu kontrollieren, ohne vorab mit dem Hausmeister über Ihre Vorhaben diskutieren zu müssen. Bitten Sie deshalb die Unternehmensleitung, Ihre Zutrittsberechtigungen klar zu kommunizieren und die Mitarbeiter anzuweisen, Sie bei der Erfüllung Ihrer Kontrollaufgaben zu unterstützen. Achten Sie darauf, dass in der Anweisung alle betroffenen Räume explizit genannt werden, also insbesondere auch Personalabteilung, Archive, Serverräume usw.