In Art. 38 Abs. 4 DSGVO heißt es: „Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.“ Und in Absatz 5 steht, dass der DSB an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden ist. Verantwortliche und Auftragsverarbeitende müssen also die direkten Kontaktdaten ihrer Datenschutzbeauftragten veröffentlichen, damit Betroffene und Aufsichtsbehörden vertraulich Kontakt mit ihnen aufnehmen können.
In Berlin wurde im letzten Jahr deshalb ein Unternehmen verwarnt. Es hatte als Kontaktdaten seines DSB neben der Postanschrift eine Telefonnummer angegeben – bei der man zum IT-Service weitergeleitet wurde, der aber nicht zum DSB durchstellen konnte – und ein Kontaktformular bereitgestellt – aber die Nachrichten darüber gingen an ein Datenschutz-Team, in dem der DSB lediglich Mitglied war. Betroffene Personen und Aufsichtsbehörden müssen aber ohne Weiteres direkt und vertraulich die DSB erreichen können.
Nur so können sie als Anlaufstelle fungieren und effizient kontrollieren. Kontrollfunktion erfüllen und ihre gesetzliche Verschwiegenheit auch gegenüber dem sie benennenden Verantwortlichen wahren. Und auch nur wenn der DSB erreichbar ist, kann er eventuell deeskalieren, bevor sich ein Betroffener direkt an eine Aufsichtsbehörde wendet, die dann ggf. ein behördliches Verfahren gegen den Verantwortlichen einleitet und ein Bußgeld verhängt.
Die Kontaktdaten des Datenschutz-Teams dürfen nicht als Kontaktdaten der DSB bezeichnet werden. Post an den Datenschutzbeauftragten darf nicht in der allgemeinen Poststelle geöffnet werden. Und auf eingehende E-Mails sowie das Telefon des DSB dürfen nur diese selbst oder ihre ihnen gegenüber weisungsgebundenen Mitarbeiter Zugriff haben. Eine „Vorfilterung“ ist unzulässig. Der Datenschutzbeauftragte ist nicht Teil des Kundenservice. Hier ist Art. 37 DSGVO einschlägig, der u.a. regelt, wer einen Datenschutzbeauftragten benennen muss, wie qualifiziert dieser sein muss und dass Verantwortliche oder Auftragsverarbeitende die Kontaktdaten des benannten DSB öffentlich machen und der Aufsichtsbehörde mitteilen müssen.
Apropos Aufsichtsbehörden: Die Datenschutzkonferenz hat eine aktualisierte Orientierungshilfe zur Einholung von Selbstauskünften bei Mietinteressenten herausgegeben. Je weiter der Vermietungsprozess fortgeschritten ist (Besichtigung, Interessenbekundung, finale Auswahl), desto mehr Informationen und personenbezogene Daten dürfen abgefragt werden. Maßstab ist stets die Leitfrage, ob das Interesse des Vermieters an den personenbezogenen Daten zum aktuellen Zeitpunkt für die jeweilige Verwendung berechtigt ist und ob sein Interesse an den Daten mit denen des potenziellen Mieters abgewogen wurde. Auch wann erhobene Daten wieder gelöscht werden müssen, ist Gegenstand der Orientierungshilfe.
Der Landesbeauftragte für den Datenschutz Niedersachsen hat häufige Fragen und Antworten zu (datenschutz-)rechtlichen Aspekten bei der Nutzung von KI und außerdem einen Glossar mit den wichtigsten Begriffen zusammengestellt. Und die bayrische Aufsichtsbehörde gibt Tipps zum Einsatz eines Chatbots, der sich auf Large Language Models stützt.
Der Europäische Datenschutzausschuss wiederum arbeitet derzeit an einer Vorlage für Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO. Dazu wurden (bisher nur auf Englisch) ein Entwurf für eine DSFA zum fallspezifischen Ausfüllen sowie eine erklärende Anleitung veröffentlicht, die noch für ein paar Tage auf ihre Praxistauglichkeit hin kommentiert werden können. Die Vorlage soll Verantwortliche bei der Durchführung und Dokumentation von DSFA’en unterstützen. Die Vorlage hat vordefinierter Felder, die vollständige und strukturierte Antworten ermöglichen. So können alle notwendigen Informationen präzise erfasst und das Fehlerrisiko reduziert werden. Nach Abschluss der öffentlichen Konsultation und ggf. vorgenommenen Anpassungen sollen die nationalen Aufsichtsbehörden die Vorlage entweder als Standard übernehmen oder auf deren Basis länderspezifische Vorlagen entwickeln.