Der DPO (Data Protection Officer), auf Deutsch Datenschutzbeauftragter, ist die Person, die innerhalb einer Organisation über die Einhaltung der DSGVO wacht. Seine Hauptaufgabe besteht darin, den Verantwortlichen und die Beschäftigten zu informieren und zu beraten, die Konformität der Verarbeitung personenbezogener Daten zu überwachen und mit der Aufsichtsbehörde zusammenzuarbeiten.
Die DSGVO (Artikel 37 bis 39) macht seine Benennung in drei Fällen verpflichtend: für Behörden und öffentliche Stellen, wenn die Kerntätigkeit in einer umfangreichen regelmäßigen und systematischen Überwachung von Personen besteht oder in einer umfangreichen Verarbeitung sogenannter sensibler Daten (Gesundheit, Meinungen, biometrische Daten …). Außerhalb dieser Fälle bleibt die Benennung eines DPO dringend empfohlen und gilt als bewährte Governance-Praxis.
Der Datenschutzbeauftragte übt seine Aufgaben in völliger Unabhängigkeit aus: Er erhält keine Weisungen hinsichtlich ihrer Erfüllung, berichtet unmittelbar der obersten Leitungsebene und darf sich nicht in einem Interessenkonflikt befinden. Er kann ein interner Beschäftigter oder ein externer Dienstleister sein. Er ist die bevorzugte Anlaufstelle für die Aufsichtsbehörde (in Frankreich die CNIL) sowie für die betroffenen Personen, die ihre Rechte ausüben möchten (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit).
Um seine Rolle zu erfüllen, stützt sich der DPO auf Compliance-Werkzeuge wie das Verzeichnis von Verarbeitungstätigkeiten, die Nachverfolgung von Anträgen zur Ausübung von Rechten und ein nachvollziehbares Audit-Protokoll. eyeot bindet derartige Funktionen ein, die dem Datenschutzbeauftragten die tägliche Arbeit und den Nachweis der Konformität im Prüfungsfall erleichtern. Zu unterscheiden ist der DPO, der eine Person ist, vom Auftragsverarbeitungsvertrag (DPA), der ein Vertrag zwischen einem Verantwortlichen und seinem Auftragsverarbeiter ist.