Seit der Veröffentlichung des Datenschutzgesetzes (Lei Geral de Proteção de Dados) im Jahr 2018 bestand große Erwartungshaltung bezüglich der Regulierung der Tätigkeit des Datenschutzbeauftragten (der bekannten „DPO“). Die Norm wurde schließlich im Juli 2024 von der nationalen Datenschutzbehörde – ANPD (Beschluss CD/ANPD Nr. 18 vom 16. Juli 2024) veröffentlicht und enthält wichtige Punkte zur Benennung des Datenschutzbeauftragten, zu seinen gesetzlichen Pflichten und Aufgaben sowie zu Interessenkonflikten.
Zunächst ist daran zu erinnern, dass die Benennung eines DPO nicht zwingend vorgeschrieben ist für Kleinstunternehmen, kleine und Startups – die sogenannten „kleinen Datenverarbeitungsbeauftragten“. Betreibt das Unternehmen jedoch Tätigkeiten mit hohem Risiko für personenbezogene Daten (mit intensiver Datennutzung, Datenverarbeitung, die Grundrechte beeinträchtigen kann, oder mittels neuer oder innovativer Technologien – beispielsweise Künstliche Intelligenz), muss ein DPO benannt werden, selbst wenn es als kleiner Datenverarbeitungsbeauftragter gilt – und dies kann nur durch eine Beurteilung erstellt von einer spezialisierten Rechtsanwaltskanzlei.
Für Unternehmen, die verpflichtet sind, einen Datenschutzbeauftragten (DPO) zu benennen, gibt es verschiedene Punkte zu beachten, um die neuen, von der ANPD herausgegebenen Regeln zu erfüllen. Der erste Punkt betrifft die Art und Weise der DPO-Benennung. Nach der neuen Regelung ist die Benennung zwingend schriftlich, datiert und unterschrieben vorzunehmen – dieses Dokument muss der ANPD auf Anfrage vorgelegt werden. Diese Formalitäten gelten auch für die Benennung eines Stellvertreters, der in Abwesenheit des DPO (z. B. Urlaub oder Krankheit) tätig wird. Die ANPD empfiehlt, dass dieser „formale Akt“ beispielsweise ein Dienstleistungsvertrag ist (falls der DPO extern ist), er kann aber auch durch einen Zusatz zum Arbeitsvertrag erfolgen, wenn der Datenschutzbeauftragte ein Angestellter ist, der nach dem CLT-Regime arbeitet.
Darüber hinaus muss das Unternehmen „die für die Erfüllung der Aufgaben des Beauftragten erforderlichen beruflichen Qualifikationen festlegen“, was ebenfalls durch einen förmlichen Akt (wie eine interne Richtlinie) empfohlen wird, um sicherzustellen, dass eine Person mit angemessenem Wissen über den Schutz personenbezogener Daten und Informationssicherheit benannt wird.
Ein sehr wichtiger Punkt der neuen Verordnung ist übrigens die Zulassung des DPO sowohl als natürliche Person (die zum Personal des Unternehmens gehören oder extern sein kann) als auch als juristische Person, wodurch Unklarheiten bezüglich des Einsatzes spezialisierter Unternehmen in diesem Bereich beseitigt werden. DPO als Dienstleistung.
Unabhängig von der Rechtsform des DPO schreibt die Vorschrift vor, dass seine Identität und seine Kontaktdaten angemessen offengelegt werden (vorzugsweise auf der Website des Unternehmens), einschließlich des vollständigen Namens (bei einer natürlichen Person) oder des Firmennamens und des Namens der verantwortlichen natürlichen Person (bei einer juristischen Person); zusätzlich sind minimale Kontaktinformationen (wie E-Mail und Telefonnummer) anzugeben, die den Empfang von Mitteilungen von Betroffenen oder der ANPD ermöglichen.
Bezüglich der Tätigkeiten des DPO sieht die Norm eine Reihe neuer Aufgaben vor, insbesondere zur Unterstützung und Beratung der Unternehmensleitung zu:
I – Registrierung und Meldung von Sicherheitsvorfällen;
II – Registrierung der Verarbeitungstätigkeiten personenbezogener Daten;
III – Bericht über die Auswirkungen auf den Schutz personenbezogener Daten;
IV – Interne Mechanismen zur Überwachung und Risikominderung in Bezug auf die Verarbeitung personenbezogener Daten;
V – Sicherheitsmaßnahmen, sowohl technischer als auch administrativer Art, die geeignet sind, personenbezogene Daten vor unbefugtem Zugriff und vor zufälligen oder rechtswidrigen Zerstörung, Verlust, Veränderung, Weitergabe oder jeder Form einer unangemessenen oder rechtswidrigen Verarbeitung zu schützen;
VI – interne Prozesse und Richtlinien zur Sicherstellung der Einhaltung des Gesetzes Nr. 13.709 vom 14. August 2018 und der Verordnungen und Richtlinien der ANPD;
VII – Vertragsinstrumente, die Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten regeln;
VIII – Internationale Datenübertragungen;
IX – Regeln für bewährte Verfahren und Governance sowie ein Programm für Datenschutzgovernance gemäß Artikel 50 des Gesetzes Nr. 13.709 vom 14. August 2018;
X – Produkte und Dienstleistungen, die Designstandards anwenden, welche mit den in der LGPD vorgesehenen Grundsätzen vereinbar sind, einschließlich Datenschutz nach dem Grundsatz des „Privacy by Design“ und der Beschränkung der Erhebung personenbezogener Daten auf das für die Erfüllung ihrer Zwecke unbedingt notwendige Minimum; und
XI – Sonstige Tätigkeiten und strategische Entscheidungen bezüglich der Verarbeitung personenbezogener Daten.
Es zeigt sich, dass die Aufgaben des DPO deutlich erweitert wurden, sodass die Auswahl unbedingt auf einen qualifizierten Fachmann fallen muss. Die bisher gängige Praxis, einen internen Mitarbeiter „der Form halber“ zu benennen, ist nicht mehr möglich. Daher ist es für Unternehmen umso interessanter, die Beauftragung eines externen DPO in Erwägung zu ziehen, insbesondere wenn im eigenen Mitarbeiterstab kein Mitarbeiter mit der Qualifikation oder Verfügbarkeit für die Aufgaben des Datenschutzbeauftragten vorhanden ist.
Die Verfügbarkeit ist übrigens ein weiterer wichtiger Faktor, der bei der Ernennung des DPO zu berücksichtigen ist. Die neuen Regeln schreiben vor, dass der Datenschutzbeauftragte Interessenkonflikte vermeiden muss, die entstehen können, wenn er andere interne Funktionen in dem Unternehmen ausübt oder die Funktion des Datenschutzbeauftragten mit solchen kombiniert, die strategische Entscheidungen innerhalb der Organisation betreffen.
Daher ist es stets empfehlenswert, dass der DPO sich ausschließlich den Tätigkeiten im Zusammenhang mit dem Schutz personenbezogener Daten widmen kann (insbesondere bei einer großen Menge an personenbezogenen Daten, die vom Unternehmen verarbeitet werden), um das Risiko von Interessenkonflikten bestmöglich zu reduzieren – was im Falle einer Feststellung durch die ANPD zu Bußgeldern oder anderen Sanktionen gegen das Unternehmen führen kann.
Schließlich ist stets zu betonen, dass auch bei der Benennung eines DPO die Verantwortung für die Verarbeitung und den Schutz personenbezogener Daten beim Unternehmen liegt. Das heißt: Bei Fehlern des DPO haftet die Organisation – nicht die benannte Person – für Bußgelder oder Schadenersatzforderungen aufgrund des Missbrauchs personenbezogener Daten. Daher sollte die Auswahl des Datenschutzbeauftragten sehr sorgfältig und vorzugsweise mit der notwendigen juristischen Unterstützung erfolgen, um die Einhaltung der LGPD und der Regeln der ANPD zu gewährleisten.
