Effizienten Datenschutz durch Benennung eines Datenschutzberaters ab 1. September 2023

Aug 31, 2023

Am 1. September 2023 tritt das revidierte Datenschutzgesetz (revDSG) in Kraft und regelt die Aufgaben der Datenschutzberaterin bzw. des Datenschutzberaters teilweise neu.

Die Institution der Datenschutzberaterin bzw. des Datenschutzberaters ermöglicht den privaten Unternehmen, sich selbst zu regulieren.

 

Freiwilligkeit der Benennung für private Verantwortliche

Die Ernennung einer Datenschutzberaterin oder eines Datenschutzberaters ist für den privaten Verantwortlichen freiwillig, allerdings kann er im Falle einer Benennung von der Ausnahmeregelung profitieren, wonach bei einer Datenschutz-Folgenabschätzung (DSFA) unter bestimmten Voraussetzungen auf die Konsultation des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) verzichtet werden kann. Demgegenüber ist die Benennung einer Datenschutzberaterin oder eines Datenschutzberaters für Bundesorgane Pflicht.

Unternehmen, welche international tätig sind, müssen darüber hinaus die Vorgaben der DSGVO einhalten und sind daher oftmals ebenfalls verpflichtet, einen Datenschutzbeauftragten nach Art. 37 Datenschutz-Grundverordnung (DSGVO) zu benennen.

Ferner liegt es im Interesse jedes Unternehmens, innerhalb seiner Organisation einen effizienten und wirksamen Datenschutz im Sinne einer angemessenen Compliance zu gewährleisten. Es empfiehlt sich deshalb zumindest intern eine Datenschutzstelle zu benennen und sie mit Aufgaben zum Datenschutz zu betrauen. Hinsichtlich der Aufgaben und Anforderungen, ist das verantwortliche Unternehmen dabei grundsätzlich frei, allerdings empfiehlt es sich, sich hierzu an den gesetzlichen Vorgaben (Art. 10 revDSG) zur Datenschutzberaterin bzw. zum Datenschutzberater zu orientieren.

 

Benennung einer internen oder externen Person oder Stelle

Die Datenschutzfunktion kann eine interne Person oder eine externe Person oder Stelle übernehmen.

Bei der internen Datenschutzberaterin bzw. dem internen Datenschutzberater handelt es sich um eine Arbeitnehmerin/einen Arbeitnehmer oder um eine Abteilung eines Unternehmens, welche bzw. welcher sich gezielt mit dem Datenschutz im jeweiligen Unternehmen beschäftigt. Bei grösseren Unternehmen wird sie bzw. er regelmässig auf unterer Hierarchieebene von sogenannten Datenschutzmanagern oder Data Ownern unterstützt, welche für den Datenschutz in ihrem jeweiligen Bereich zuständig sind, wie etwa für das Erstellen und Führen des Verzeichnisses der Bearbeitungstätigkeiten.

Externe Datenschutzberaterinnen bzw. -berater sind dagegen natürliche oder juristische Personen, die die Dienstleistung Datenschutz (Data Protection as a Service) ausführen. Regelmässig wird aber auch in diesen Fällen unternehmensintern eine Ansprechperson zu benennen sein, welche sowohl ihr bzw. ihm als auch den Mitarbeitenden als Ansprechpartner/-in bei Datenschutzthemen im Unternehmen dient.

Der Vorteil einer internen Datenschutzberaterin bzw. eines internen Datenschutzberaters ist deren bzw. dessen Einbindung ins Unternehmen selbst und damit verbunden ein besserer Überblick über die internen Prozesse. Ferner kann sie bzw. er direkt überprüfen und darauf einwirken, dass der Datenschutz in der Unternehmenskultur auch „gelebt“ wird und nicht nur auf dem Papier besteht. Nachteilig sein kann es hingegen, zu nah am Unternehmen und den Mitarbeitenden zu stehen, was zu Interessenkollisionen führen kann. Oftmals fehlen auch die Ressourcen und das entsprechende Know-how oder es bestehen Interessenskonflikte, um eine angemessene Wahrung des Datenschutzes im Unternehmen zu gewährleisten. In solchen Situationen macht es Sinn, das Mandat der Datenschutzberaterin oder des Datenschutzberaters extern zu vergeben.

 

Typische Aufgaben des Datenschutzberaters bzw. der Datenschutzberaterin

Gesetzlich vorgesehene und typische weitere Aufgaben einer Datenschutzberaterin oder eines Datenschutzberaters (sowie einer Datenschutzstelle) sind folgende:

  • Schulung und Beratung in Fragen des Datenschutzes;
  • Mitwirkung bei der Anwendung der Datenschutzvorschriften;
  • Erarbeitung und Prüfung der Implementierung von Massnahmen zur Datensicherheit;
  • Prüfung der Bearbeitung durch den Auftragsbearbeiter;
  • Erarbeitung und Prüfung der Verzeichnisse der Bearbeitungstätigkeiten;
  • Prüfung der Datenbekanntgabe ins Ausland;
  • Unterstützung bei der Erfüllung der Informationspflichten;
  • Erarbeitung und Implementierung von Prozessen für die Bearbeitung von Anfragen von Betroffenen;
  • Entwicklung geeigneter Prozesse zur Wahrung der Betroffenenrechte und Einhaltung der Datenschutzvorschriften;
  • Durchführung von Risikobeurteilungen (z. B. Risiko einer unbeabsichtigten/unberechtigten Datenweitergabe, -löschung oder -bearbeitung, eines Datenverlustes oder technischen Fehlers etc.) etwa im Rahmen einer DSFA;
  • Erstellen von Jahresberichten über die Tätigkeiten zuhanden des Verantwortlichen.

 

Gesetzliche Anforderungen an die Datenschutzberaterin bzw. den Datenschutzberater

Bei der Benennung einer Datenschutzberaterin oder eines Datenschutzberaters gegenüber dem EDÖB als Bundesorgan oder im Hinblick auf die Erleichterung bzgl. der Datenschutz-Folgenabschätzung (DSFA) müssen zudem folgende Voraussetzungen erfüllt sein:

  • sie oder er übt ihre oder seine Funktion gegenüber dem Verantwortlichen fachlich unabhängig und weisungsungebunden aus;
  • sie oder er übt keine Tätigkeiten aus, die mit ihren oder seinen Aufgaben als Datenschutzberaterin oder -berater unvereinbar sind;
  • sie oder er verfügt über die erforderlichen Fachkenntnisse;
  • Der Verantwortliche veröffentlicht ferner die Kontaktdaten der Datenschutzberaterin oder des Datenschutzberaters und teilt diese dem EDÖB mit.

 

Gesetzliche Anforderungen an das verantwortliche Unternehmen oder das Bundesorgan

Seinerseits ist das verantwortliche Unternehmen im Hinblick auf die Benennung einer Datenschutzberaterin oder eines Datenschutzberaters nach Art. 10 oder als Bundesorgan verpflichtet:

  • die notwendigen Ressourcen zur Verfügung zu stellen;
  • jederzeit und uneingeschränkt Zugang zu sämtlichen Datensammlungen und -bearbeitungen zu gewähren;
  • das Recht einräumen, in wichtigen Fällen das oberste Leitungs- oder Verwaltungsorgan zu informieren.

 

Fazit

Die Rollen und Aufgaben einer Datenschutzberaterin bzw. eines Datenschutzberaters, welche dem EDÖB zu melden sind, unterstehen strengen gesetzlichen Bedingungen. Diese Vorschriften dienen der Selbstregulierung des Datenschutzes im Unternehmen.

Ein Unternehmen, welches zwar keine gesetzlich regulierte Datenschutzberaterin bzw. Datenschutzberater, aber eine Datenschutzstelle benennt und sie mit Aufgaben zum Datenschutz betraut, untersteht diesen gesetzlichen Anforderungen nicht. Es empfiehlt sich allerdings trotzdem sich bezüglich der Ausgestaltung seiner Rolle sich an den gesetzlichen Vorschriften zu orientieren. Dies, um einen effizienten und wirksamen Datenschutz im Sinne einer angemessenen Compliance zu gewährleisten.

 

Weiterführende Informationen zur Datenschutzberaterin bzw. zum Datenschutzberater nach Art. 10 DSG habe ich im Online Kommentar publiziert: https://onlinekommentar.ch/de/kommentare/dsg10

 

Der Onlinekommentar ist als Open Access für alle frei verfügbar.

 

 


Sehr gerne unterstützen wir Sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme.  

 

Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sangmo Agontsang

Paralegal

Sangmo Agontsang schloss 2012 ihr Diplom als Wirtschaftsfachfrau an der Kaderschule Zürich ab. Nach ihrem Abschluss arbeitete sie als CEO-Assistentin, unter anderem für die Freitag lab ag und CBM Schweiz. Zusätzlich sammelte sie Erfahrung in der Organisation der Kaderschule Zürich und war in der Intellectual Property Abteilung der Freitag lab ag tätig. Dort arbeitete sie international mit einem Team von Anwälten zusammen, um die Rechte des Unternehmens zu verteidigen. Seit 2022 ist sie als Paralegal bei der Balthasar Legal AG beschäftigt.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.