Seit der Verabschiedung des Allgemeinen Datenschutzgesetzes im Jahr 2018 gab es große Erwartungen hinsichtlich der Regulierung der Tätigkeit des Datenschutzbeauftragten (der berühmte „DPO“). Die Norm wurde schließlich im Juli 2024 von der Nationalen Datenschutzbehörde – ANPD (Resolution CD/ANPD Nr. 18 vom 16. Juli 2024) veröffentlicht und enthält sehr wichtige Punkte zur Benennung des Datenschutzbeauftragten, seinen Pflichten und rechtlichen Aufgaben sowie zu Interessenkonflikten.
Zunächst müssen wir bedenken, dass die Ernennung eines DSB für Kleinstunternehmen, kleine Unternehmen undStartupsdie sogenannten „kleinen Verarbeitungsstellen“. Allerdings muss das Unternehmen einen Datenschutzbeauftragten benennen, wenn es Aktivitäten mit hohem Risiko für personenbezogene Daten durchführt (z. B. bei intensiver Datennutzung, Datenverarbeitung, die Grundrechte beeinträchtigen könnte, oder durch den Einsatz neuer oder innovativer Technologien – beispielsweise Künstliche Intelligenz), auch wenn es als kleiner Akteur gilt – und dies kann nur durch eine Untersuchung festgestellt werden.Bewertungvon einer spezialisierten Rechtsberatung durchgeführt.
Für Unternehmen, die verpflichtet sind, einen Datenschutzbeauftragten zu benennen, gibt es verschiedene Vorsichtsmaßnahmen, die beachtet werden müssen, um die neuen von der ANPD erlassenen Vorschriften einzuhalten. Die erste dieser Vorsichtsmaßnahmen betrifft die Art und Weise, wie der Datenschutzbeauftragte ernannt wird. Nach der neuen Systematik ist es verpflichtend, dass die Benennung durch ein schriftliches, datiertes und unterschriebenes Dokument erfolgt – ein Dokument, das auf Anfrage bei der ANPD vorzulegen ist. Diese Formalitäten müssen auch bei der Benennung des Vertreters beachtet werden, der bei Abwesenheiten des Datenschutzbeauftragten (wie Urlaub oder Krankheitsausfällen) tätig wird. Die Empfehlung der ANPD ist, dass diese „formale Handlung“ beispielsweise ein Dienstleistungsvertrag sein sollte (falls der DPO extern an die Organisation gebunden ist), aber auch durch eine Zusatzvereinbarung zum Arbeitsvertrag erfolgen kann, falls der Verantwortliche ein Arbeitnehmer ist, der nach dem CLT-Regime arbeitet.
Darüber hinaus muss das Unternehmen „die für die Wahrnehmung der Aufgaben der verantwortlichen Person erforderlichen beruflichen Qualifikationen nachweisen“, was ebenfalls durch einen formellen Akt (z. B. eine interne Richtlinie) geschehen sollte. Auf diese Weise wird sichergestellt, dass eine Person mit angemessenen Kenntnissen im Bereich des Schutzes personenbezogener Daten und der Informationssicherheit ernannt wird.
Ein sehr wichtiger Punkt der neuen Verordnung ist in der Tat, dass sie es dem Datenschutzbeauftragten erlaubt, entweder eine natürliche Person (die zum Personal des Unternehmens gehören oder außerhalb des Unternehmens stehen kann) oder eine juristische Person zu sein, wodurch Zweifel an der Leistung von Unternehmen, die sich aufDPO als Dienstleistung.
Unabhängig von der Rechtsform des DSB verlangt die Regel, dass seine Identität und Kontaktdaten in geeigneter Weise offengelegt werden (vorzugsweise auf der Website des Unternehmens) und zwar unter Angabe des vollständigen Namens (bei natürlichen Personen) bzw. des Firmennamens und des Namens der verantwortlichen natürlichen Person (bei juristischen Personen). zusätzlich zu den Mindestkontaktinformationen (wie E-Mail und Telefon), die den Empfang von Mitteilungen von Inhabern oder der ANPD ermöglichen.
Im Hinblick auf die Aktivitäten des DSB bringt der Standard eine Reihe neuer Aufgaben mit sich, insbesondere um der Unternehmensleitung Unterstützung und Anleitung zu bieten in Bezug auf:
I – Aufzeichnung und Meldung von Sicherheitsvorfällen;
II – Verzeichnis der Verarbeitungsvorgänge personenbezogener Daten;
III – Bericht über die Auswirkungen auf den Schutz personenbezogener Daten;
IV – interne Mechanismen zur Überwachung und Minderung von Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten;
V – technische und administrative Sicherheitsmaßnahmen, die personenbezogene Daten vor unbefugtem Zugriff und versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Veränderung, Offenlegung oder jeglicher Form unangemessener oder unrechtmäßiger Verarbeitung schützen können;
VI – interne Prozesse und Richtlinien, die die Einhaltung des Gesetzes Nr. 13.709 vom 14. August 2018 sowie der Vorschriften und Richtlinien der ANPD gewährleisten;
VII – vertragliche Instrumente, die Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten regeln;
VIII – Internationale Datenübertragungen;
IX – Regeln für gute Praktiken und Governance sowie Datenschutz-Governance-Programm gemäß Art. 50 des Gesetzes Nr. 13.709 vom 14. August 2018;
X – Produkte und Dienstleistungen, die Designstandards einhalten, die mit den im LGPD festgelegten Grundsätzen vereinbar sind, einschließlich datenschutzfreundlicher Voreinstellungen und der Beschränkung der Erhebung personenbezogener Daten auf das zur Erreichung ihrer Zwecke erforderliche Minimum; Und
XI – Andere Aktivitäten und strategische Entscheidungen in Bezug auf die Verarbeitung personenbezogener Daten.
Es ist festzustellen, dass die Verantwortlichkeiten des Datenschutzbeauftragten erheblich ausgeweitet wurden, sodass die Wahl unbedingt auf eine qualifizierte Fachkraft fallen muss; es ist nicht mehr möglich, einen internen Mitarbeiter „nur aus Formalitätsgründen“ zu benennen. Daher wird es umso interessanter, dass Unternehmen die Beauftragung eines externen Datenschutzbeauftragten in Erwägung ziehen, insbesondere wenn in ihrem eigenen Mitarbeiterkreis kein Mitarbeiter mit der Qualifikation oder Verfügbarkeit für die Ausübung der Aufgaben des Verantwortlichen vorhanden ist.
Die Verfügbarkeit ist übrigens ein weiterer wichtiger Faktor, der bei der Ernennung des Datenschutzbeauftragten zu berücksichtigen ist. Die neuen Regeln verlangen, dass der Verantwortliche jegliche Interessenkonflikte vermeidet, die auftreten können, wenn er andere Funktionen intern im Unternehmen ausübt oder wenn er die Rolle des Verantwortlichen mit solchen kombiniert, die mit strategischen Entscheidungen innerhalb der Organisation verbunden sind.
Daher ist es immer empfehlenswert, dass sich der DSB ausschließlich mit Aktivitäten im Zusammenhang mit dem Schutz personenbezogener Daten befassen kann (insbesondere, wenn das Unternehmen große Mengen personenbezogener Daten verarbeitet), um das Risiko von Interessenkonflikten zu minimieren, die bei Feststellung durch die ANPD zu Geldbußen oder anderen Strafen für das Unternehmen führen können.
Abschließend ist es stets wichtig zu betonen, dass, auch wenn ein Datenschutzbeauftragter (DPO) benannt wird, die Verantwortung für die Verarbeitung und den Schutz der personenbezogenen Daten beim Unternehmen liegt, das heißt: Im Falle von Fehlern in der Tätigkeit des DPO ist die Organisation – und nicht die benannte Person – für Bußgelder oder Schadensersatzansprüche aufgrund des Missbrauchs personenbezogener Daten verantwortlich. Daher sollte die Auswahl des Verantwortlichen mit großer Sorgfalt erfolgen, vorzugsweise mit der erforderlichen rechtlichen Unterstützung, um sicherzustellen, dass sie im Einklang mit der LGPD und den Regeln der ANPD erfolgt.
