DPO Data Protection Officer.

Der DPO ist die gemäß GDPR vorgeschriebene Funktion, die die Compliance überwacht, den Verantwortlichen berät und als Anlaufstelle für die Aufsichtsbehörde fungiert. Pflichtrolle für öffentliche Stellen sowie für Verarbeitungstätigkeiten, die eine umfangreiche systematische Überwachung oder die Verarbeitung besonderer Kategorien personenbezogener Daten erfordern. Unabhängigkeit und Zugang zur Leitungsebene sind die zwei Punkte, die Prüfer tatsächlich kontrollieren.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyPrivacy & data protectionAll entries

Die Einschätzung der Cyber Academy

Der DPO ist die gemäß GDPR vorgeschriebene Funktion, die die Compliance überwacht, den Verantwortlichen berät und als Anlaufstelle für die Aufsichtsbehörde fungiert. Pflichtrolle für öffentliche Stellen sowie für Verarbeitungstätigkeiten, die eine umfangreiche systematische Überwachung oder die Verarbeitung besonderer Kategorien personenbezogener Daten erfordern. Unabhängigkeit und Zugang zur Leitungsebene sind die zwei Punkte, die Prüfer tatsächlich kontrollieren.

Wozu die Rolle dient

Der Data Protection Officer ist die Person, die eine Organisation benennt, um die Verarbeitung personenbezogener Daten nach der GDPR rechtskonform zu halten. Die Aufgabe besteht nicht darin, Datenschutzprojekte zu leiten oder die Compliance abzuzeichnen, sondern zu überwachen, ob die Organisation das tut, was das Gesetz und ihre eigenen Richtlinien verlangen, den Verantwortlichen und den Auftragsverarbeiter zu beraten, zu schulen und zu sensibilisieren sowie als zentrale Anlaufstelle für die Aufsichtsbehörde und für die betroffenen Personen zu dienen, die ihre Rechte ausüben möchten. Der DPO informiert und berät, doch die Verantwortung für die Verarbeitung verbleibt beim Verantwortlichen.

Ein DPO ist in drei Situationen verpflichtend: wenn die Verarbeitung durch eine Behörde erfolgt, wenn die Kerntätigkeiten eine regelmäßige und systematische Überwachung von Personen in großem Umfang erfordern, und wenn die Kerntätigkeiten eine Verarbeitung besonderer Kategorien von Daten in großem Umfang umfassen, etwa Gesundheitsdaten, biometrische Daten oder Daten über strafrechtliche Verurteilungen. Organisationen, die nicht unter diese Auslöser fallen, können dennoch freiwillig einen DPO benennen, und viele tun dies, weil es ihnen einen klaren internen Verantwortlichen für Datenschutzfragen verschafft.

Unabhängigkeit und Zugang, die beiden Punkte, die Prüfer kontrollieren

Wenn eine Aufsichtsbehörde oder ein interner Prüfer die DPO-Funktion betrachtet, entscheiden zwei Punkte darüber, ob sie echt oder bloß kosmetisch ist. Der erste ist die Unabhängigkeit. Der DPO darf keine Anweisungen erhalten, wie die Aufgabe auszuführen ist, darf nicht abberufen oder benachteiligt werden, weil er seine Aufgabe ordnungsgemäß wahrnimmt, und darf nicht in eine Lage gebracht werden, in der er seine eigenen Entscheidungen prüft.

Deshalb sollte ein DPO in der Regel nicht zugleich der CISO, der IT-Leiter oder der Marketing-Leiter sein, denn diese Rollen legen die Zwecke und Mittel der Verarbeitung fest, die der DPO zu überprüfen hat. Der zweite ist der Zugang. Der DPO muss der höchsten Leitungsebene berichten und frühzeitig und ordnungsgemäß in alle Fragen einbezogen werden, die den Schutz personenbezogener Daten betreffen.

  • Überwacht die Einhaltung der GDPR und der internen Datenschutzrichtlinien.
  • Berät zu Datenschutz-Folgenabschätzungen (DPIA) und hilft bei deren Überprüfung.
  • Arbeitet mit der Aufsichtsbehörde zusammen und ist deren Anlaufstelle.
  • Übernimmt die Kommunikation mit den betroffenen Personen über ihre Rechte.

Wie der DPO sich zu benachbarten Konzepten verhält

Der DPO ist eine Person und eine Pflicht, kein Kontrollrahmenwerk. Die GDPR ist die Verordnung, die die Rolle schafft und ihre Aufgaben festlegt. Die DPIA ist eines der Instrumente, zu denen der DPO berät, eine strukturierte Bewertung, die vor Beginn einer Verarbeitung mit hohem Risiko durchgeführt wird. ISO 27701 ist der Standard für das Management von Datenschutzinformationen, gegen den sich eine Organisation zertifizieren lassen kann, und eine gut geführte DPO-Funktion fügt sich naturgemäß in dessen Anforderungen ein, ohne dasselbe zu sein.

Die CDPSE ist eine berufliche Zertifizierung, die bestätigt, dass ein Privacy Engineer oder ein DPO Datenschutz in Systeme einbauen kann. Ein DPO kann ein Mitarbeiter oder ein externer Dienstleister sein, und eine Unternehmensgruppe kann einen einzigen DPO benennen, solange diese Person von jeder Niederlassung aus erreichbar bleibt und genügend Unabhängigkeit und Ressourcen behält, um sie alle abzudecken.

Frequently asked questions

01Ist ein DPO für jedes Unternehmen verpflichtend?

Nein. Die GDPR verlangt einen für Behörden, für Organisationen, deren Kerntätigkeiten eine regelmäßige und systematische Überwachung von Personen in großem Umfang umfassen, und für solche, deren Kerntätigkeiten eine Verarbeitung von Daten besonderer Kategorien oder über strafrechtliche Verurteilungen in großem Umfang umfassen. Andere Organisationen können freiwillig einen benennen.

02Kann der CISO oder der IT-Leiter zugleich der DPO sein?

In der Regel nicht. Diese Rollen entscheiden über die Zwecke und Mittel der Verarbeitung, sodass ihre Verbindung mit der DPO-Rolle einen Interessenkonflikt erzeugt, weil die Person am Ende ihre eigenen Entscheidungen beaufsichtigen würde. Der DPO muss seine Unabhängigkeit von den operativen Entscheidungen zur Datenverarbeitung wahren.

03Kann ein DPO ausgelagert werden?

Ja. Der DPO kann ein Beschäftigter sein oder die Aufgaben im Rahmen eines Dienstleistungsvertrags erfüllen. In beiden Fällen gelten dieselben Anforderungen an Unabhängigkeit, Zugang und Erreichbarkeit, und die Organisation muss die Kontaktdaten des DPO veröffentlichen und der Aufsichtsbehörde mitteilen.

04Haftet der DPO persönlich für Verstöße?

Nein. Die Verantwortung für die Verarbeitung verbleibt beim Verantwortlichen und beim Auftragsverarbeiter. Der DPO berät und überwacht, trägt aber keine persönliche rechtliche Verantwortung dafür, dass die Organisation beschließt, diesen Rat zu ignorieren.

05Kann ein einziger DPO eine ganze Unternehmensgruppe abdecken?

Ja, ein einziger DPO kann eine Unternehmensgruppe betreuen, sofern er von jeder Niederlassung aus leicht erreichbar bleibt und über genügend Unabhängigkeit, Ressourcen und Zeit verfügt, um alle betroffenen Verarbeitungen zu beaufsichtigen.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.