Am 1. September 2023 tritt das revidierte Datenschutzgesetz (revDSG) in Kraft und regelt die Aufgaben der Datenschutzberaterin bzw. des Datenschutzberaters teilweise neu.
Die Institution der Datenschutzberaterin bzw. des Datenschutzberaters ermöglicht den privaten Unternehmen, sich selbst zu regulieren.
Freiwilligkeit der Benennung für private Verantwortliche
Die Ernennung einer Datenschutzberaterin oder eines Datenschutzberaters ist für den privaten Verantwortlichen freiwillig, allerdings kann er im Falle einer Benennung von der Ausnahmeregelung profitieren, wonach bei einer Datenschutz-Folgenabschätzung (DSFA) unter bestimmten Voraussetzungen auf die Konsultation des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) verzichtet werden kann. Demgegenüber ist die Benennung einer Datenschutzberaterin oder eines Datenschutzberaters für Bundesorgane Pflicht.
Unternehmen, welche international tätig sind, müssen darüber hinaus die Vorgaben der DSGVO einhalten und sind daher oftmals ebenfalls verpflichtet, einen Datenschutzbeauftragten nach Art. 37 Datenschutz-Grundverordnung (DSGVO) zu benennen.
Ferner liegt es im Interesse jedes Unternehmens, innerhalb seiner Organisation einen effizienten und wirksamen Datenschutz im Sinne einer angemessenen Compliance zu gewährleisten. Es empfiehlt sich deshalb zumindest intern eine Datenschutzstelle zu benennen und sie mit Aufgaben zum Datenschutz zu betrauen. Hinsichtlich der Aufgaben und Anforderungen, ist das verantwortliche Unternehmen dabei grundsätzlich frei, allerdings empfiehlt es sich, sich hierzu an den gesetzlichen Vorgaben (Art. 10 revDSG) zur Datenschutzberaterin bzw. zum Datenschutzberater zu orientieren.
Benennung einer internen oder externen Person oder Stelle
Die Datenschutzfunktion kann eine interne Person oder eine externe Person oder Stelle übernehmen.
Bei der internen Datenschutzberaterin bzw. dem internen Datenschutzberater handelt es sich um eine Arbeitnehmerin/einen Arbeitnehmer oder um eine Abteilung eines Unternehmens, welche bzw. welcher sich gezielt mit dem Datenschutz im jeweiligen Unternehmen beschäftigt. Bei grösseren Unternehmen wird sie bzw. er regelmässig auf unterer Hierarchieebene von sogenannten Datenschutzmanagern oder Data Ownern unterstützt, welche für den Datenschutz in ihrem jeweiligen Bereich zuständig sind, wie etwa für das Erstellen und Führen des Verzeichnisses der Bearbeitungstätigkeiten.
Externe Datenschutzberaterinnen bzw. -berater sind dagegen natürliche oder juristische Personen, die die Dienstleistung Datenschutz (Data Protection as a Service) ausführen. Regelmässig wird aber auch in diesen Fällen unternehmensintern eine Ansprechperson zu benennen sein, welche sowohl ihr bzw. ihm als auch den Mitarbeitenden als Ansprechpartner/-in bei Datenschutzthemen im Unternehmen dient.
Der Vorteil einer internen Datenschutzberaterin bzw. eines internen Datenschutzberaters ist deren bzw. dessen Einbindung ins Unternehmen selbst und damit verbunden ein besserer Überblick über die internen Prozesse. Ferner kann sie bzw. er direkt überprüfen und darauf einwirken, dass der Datenschutz in der Unternehmenskultur auch „gelebt“ wird und nicht nur auf dem Papier besteht. Nachteilig sein kann es hingegen, zu nah am Unternehmen und den Mitarbeitenden zu stehen, was zu Interessenkollisionen führen kann. Oftmals fehlen auch die Ressourcen und das entsprechende Know-how oder es bestehen Interessenskonflikte, um eine angemessene Wahrung des Datenschutzes im Unternehmen zu gewährleisten. In solchen Situationen macht es Sinn, das Mandat der Datenschutzberaterin oder des Datenschutzberaters extern zu vergeben.
Typische Aufgaben des Datenschutzberaters bzw. der Datenschutzberaterin
Gesetzlich vorgesehene und typische weitere Aufgaben einer Datenschutzberaterin oder eines Datenschutzberaters (sowie einer Datenschutzstelle) sind folgende:
- Schulung und Beratung in Fragen des Datenschutzes;
- Mitwirkung bei der Anwendung der Datenschutzvorschriften;
- Erarbeitung und Prüfung der Implementierung von Massnahmen zur Datensicherheit;
- Prüfung der Bearbeitung durch den Auftragsbearbeiter;
- Erarbeitung und Prüfung der Verzeichnisse der Bearbeitungstätigkeiten;
- Prüfung der Datenbekanntgabe ins Ausland;
- Unterstützung bei der Erfüllung der Informationspflichten;
- Erarbeitung und Implementierung von Prozessen für die Bearbeitung von Anfragen von Betroffenen;
- Entwicklung geeigneter Prozesse zur Wahrung der Betroffenenrechte und Einhaltung der Datenschutzvorschriften;
- Durchführung von Risikobeurteilungen (z. B. Risiko einer unbeabsichtigten/unberechtigten Datenweitergabe, -löschung oder -bearbeitung, eines Datenverlustes oder technischen Fehlers etc.) etwa im Rahmen einer DSFA;
- Erstellen von Jahresberichten über die Tätigkeiten zuhanden des Verantwortlichen.
Gesetzliche Anforderungen an die Datenschutzberaterin bzw. den Datenschutzberater
Bei der Benennung einer Datenschutzberaterin oder eines Datenschutzberaters gegenüber dem EDÖB als Bundesorgan oder im Hinblick auf die Erleichterung bzgl. der Datenschutz-Folgenabschätzung (DSFA) müssen zudem folgende Voraussetzungen erfüllt sein:
- sie oder er übt ihre oder seine Funktion gegenüber dem Verantwortlichen fachlich unabhängig und weisungsungebunden aus;
- sie oder er übt keine Tätigkeiten aus, die mit ihren oder seinen Aufgaben als Datenschutzberaterin oder -berater unvereinbar sind;
- sie oder er verfügt über die erforderlichen Fachkenntnisse;
- Der Verantwortliche veröffentlicht ferner die Kontaktdaten der Datenschutzberaterin oder des Datenschutzberaters und teilt diese dem EDÖB mit.
Gesetzliche Anforderungen an das verantwortliche Unternehmen oder das Bundesorgan
Seinerseits ist das verantwortliche Unternehmen im Hinblick auf die Benennung einer Datenschutzberaterin oder eines Datenschutzberaters nach Art. 10 oder als Bundesorgan verpflichtet:
- die notwendigen Ressourcen zur Verfügung zu stellen;
- jederzeit und uneingeschränkt Zugang zu sämtlichen Datensammlungen und -bearbeitungen zu gewähren;
- das Recht einräumen, in wichtigen Fällen das oberste Leitungs- oder Verwaltungsorgan zu informieren.
Fazit
Die Rollen und Aufgaben einer Datenschutzberaterin bzw. eines Datenschutzberaters, welche dem EDÖB zu melden sind, unterstehen strengen gesetzlichen Bedingungen. Diese Vorschriften dienen der Selbstregulierung des Datenschutzes im Unternehmen.
Ein Unternehmen, welches zwar keine gesetzlich regulierte Datenschutzberaterin bzw. Datenschutzberater, aber eine Datenschutzstelle benennt und sie mit Aufgaben zum Datenschutz betraut, untersteht diesen gesetzlichen Anforderungen nicht. Es empfiehlt sich allerdings trotzdem sich bezüglich der Ausgestaltung seiner Rolle sich an den gesetzlichen Vorschriften zu orientieren. Dies, um einen effizienten und wirksamen Datenschutz im Sinne einer angemessenen Compliance zu gewährleisten.
Weiterführende Informationen zur Datenschutzberaterin bzw. zum Datenschutzberater nach Art. 10 DSG habe ich im Online Kommentar publiziert: https://onlinekommentar.ch/de/kommentare/dsg10
Der Onlinekommentar ist als Open Access für alle frei verfügbar.
Sehr gerne unterstützen wir Sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme.