Datenschutzberater / Datenschutzbeauftragte
Unternehmen können oder müssen unter gewissen Voraussetzungen einen Datenschutzberater bzw. einen Datenschutzbeauftragten (DSB) bestellen. Diese Anforderung ist beispielsweise verankert in Art. 10 DSG, Art. 37 bis 39 DSGVO sowie in §38 BDSG.
Unabhängig davon, ob eine gesetzliche Verpflichtung für die Bestellung eines DSB besteht, können Unternehmen einen DSB auf freiwilliger Basis bestellen, um Datenschutzrisiken zu minimieren.
Was gilt konkret in der Schweiz? (DSG)
Verantwortliche können eine Datenschutzberaterin oder einen Datenschutzberater (DSB) ernennen.
Die Datenschutzberaterin oder der Datenschutzberater ist Anlaufstelle für die betroffenen Personen und für die Behörden, die in der Schweiz für den Datenschutz zuständig sind. Sie oder er hat namentlich folgende Aufgaben:
- Schulung und Beratung des Verantwortlichen in Fragen des Datenschutzes
- Mitwirkung bei der Anwendung der Datenschutzvorschriften
Sofern der Verantwortliche keinen DSB ernennt, ist er dennoch verpflichtet, die Anforderungen des DSG umzusetzen. Diese Aufgabe obliegt in diesem Fall der Geschäftsführung des Verantwortlichen.
Sofern bei der Erstellung des Bearbeitungsverzeichnisses (Art. 12 DSG) und der darin enthaltenen Risikobetrachtung ein nennenswertes Risiko für die Betroffenen identifiziert wird, muss der Verantwortliche eine Datenschutz-Folgenabschätzung gemäss Art. 22 DSGVO durchführen. Bei einem hohen Risiko für die Betroffenen ist der EDÖB zu konsultieren.
Die Erstellung des Bearbeitungsverzeichnisses sowie einer Datenschutz-Folgenabschätzung sind herausfordernde und zeitintensive Aufgaben. Von der Konsultation des EDÖB und dem daran anschliessenden Prozess mal ganz abgesehen. Wir empfehlen daher – auch ohne dass eine Bestellpflicht vorliegt – die Hinzuziehung eines Datenschutzexperten / Bestellung eines Datenschutzberaters.
Eine Konsultation des EDÖB kann umgangen werden, wenn die folgenden Voraussetzungen erfüllt sind:
- Der DSB übt die Funktion gegenüber dem Verantwortlichen fachlich unabhängig und weisungsungebunden aus.
- Der DSB übt keine Tätigkeiten aus, die mit den Aufgaben als DSB unvereinbar sind.
- Der DSB verfügt über die erforderlichen Fachkenntnisse.
- Der Verantwortliche veröffentlicht die Kontaktdaten des DSB und teilt diese dem EDÖB mit.
Was gilt konkret für EU-Mitgliedsstaaten? (DSGVO)
Art. 37 DSGVO beinhaltet die Regeln für die Bestellung eines Datenschutzbeauftragten (DSB), Art. 38 DSGVO definiert die Stellung des DSB im Unternehmen. Art. 39 DSGVO spezifiziert die Aufgaben eines DSB.
Die DSGVO gibt den rechtlichen Rahmen zur Pflichtbestellung eines Datenschutzbeauftragten vor. Sie macht dies unabhängig von der Anzahl von Beschäftigten in einem Unternehmen. Vielmehr stellt sie – gemäss Art. 37 Abs. 1 lit. b DSGVO – die sogenannten Kerntätigkeiten in den Mittelpunkt der Verpflichtung:
Eine Bestellpflicht besteht, wenn die Kerntätigkeit eines Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmässige und systematische Überwachung von betroffenen Personen erforderlich machen, oder die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Artikel 9 DSGVO) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäss Artikel 10 DSGVO besteht.
Sofern der Verantwortliche keinen DSB ernennt, ist er dennoch verpflichtet, die Anforderungen der DSGVO umzusetzen. Diese Aufgabe obliegt in diesem Fall der Geschäftsführung des Verantwortlichen.
Wir empfehlen – auch ohne dass eine Bestellpflicht vorliegt – die Hinzuziehung eines Datenschutzexperten / Bestellung eines Datenschutzbeauftragten.
Deutsche Unternehmen unterliegen ergänzend zur DSGVO dem BDSG (Deutsches Datenschutzgesetz), das BDSG stellt zusätzliche Anforderungen an die Bestellung von Datenschutzbeauftragten (siehe unten).
Was gilt konkret in Deutschland? (DSGVO & BDSG)
Ergänzend zu der DSGVO gilt für Deutschland gemäss §38 BDSG (Deutsches Datenschutzgesetz), dass Unternehmen einen Datenschutzbeauftragten (DSB) bestellen müssen, soweit sich im Unternehmen in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Unter dem Begriff „automatisierten Verarbeitungen“ sind beispielsweise Datenverarbeitungen unter Nutzung von Standardprogrammen der Bürokommunikation (z.B. Emailsystem, Tabellenkalkulation etc.) sowie von spezieller Anwendungssoftware z.B. in der Personalabteilung und im Marketing zu verstehen. Die Beschäftigtenanzahl beinhaltet gemäss §26 Abs. 8 BDSG auch Teilzeitkräfte, Aushilfen und Praktikanten.
Des Weiteren müssen Unternehmen unabhängig von der Beschäftigtenzahl einen DSB bestellen, sofern das Unternehmen der Pflicht unterliegt, eine Datenschutz-Folgenabschätzung gemäss Art. 35 DSGVO durchzuführen, oder wenn das Unternehmen personenbezogene Daten geschäftsmässig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.
Für deutsche Unternehmen ab einer gewissen Grösse kann man von einer Bestellpflicht ausgehen. Wir empfehlen – auch ohne dass eine Bestellpflicht vorliegt – die Hinzuziehung eines Datenschutzexperten / Bestellung eines Datenschutzbeauftragten.