Ernennung einer Datenschutzberaterin/eines Datenschutzberaters
Gesetze - EU, Bund, Kanton
Datenschutzgrundverordnung (DSGVO)
Innerhalb der DSGVO regelt der Art. 37 DSGVO die Rahmenbedingungen, welche die Ernennung eines Datenschutzbeauftragten bedingen. Damit gilt die Pflicht zur Benennung eines Datenschutzbeauftragten für
- Behörden und öffentliche Institutionen (mit Ausnahme von Gerichten)
- Unternehmen, deren Kerntätigkeit darin besteht personenbezogene Daten in grossem Umfang, regelmässig und systematische zu überwachen
- Unternehmen, deren Kerntätigkeit darin besteht besonders schützenswerte Daten in grossem Umfang zu verarbeiten
Zu letzt genannter Aufzählung definieren manche Aufsichtsbehörden in Deutschland die umfangreiche Verarbeitung von besonders schützenswerten Daten für Gesundheitsdienstleister ab 10 Mitarbeiter. Es herrscht aber keine einheitliche Vorgabe vor, aber welcher Unternehmensgrösse die «umfangreiche» Verarbeitung geltend wird. Zudem gibt es Interpretationen wonach die Kerntätigkeit eines Gesundheitsdienstleistern nicht in der Verarbeitung von besonders schützenswerten Daten besteht, sondern lediglich ein Nebeneffekt darstellt.
rev DSG - Schweiz
Im revisionierten Schweizer Datenschutzgesetz wird im Art. 10 der Begriff Datenschutzberater geregelt. Man entschied sich zu diesem Begriff, um einen einheitlichen Begriff für die Übersetzungen in Italienisch und Französisch zu definieren. Unter Datenschutzberater ist also das sprachliche Pendant zum Datenschutzbeauftragten aus der DSGVO zu verstehen. Die Datenschutzberaterin oder der Datenschutzberater überwacht die Einhaltung der Datenschutzvorschriften innerhalb eines Unternehmens und berät das Unternehmen (den Verantwortlichen) in Datenschutzbelangen. Der Verantwortliche trägt jedoch allein die Verantwortung dafür, dass die Personendaten datenschutzkonform bearbeitet werden (BBl 2017 6941).
Das rev. DSG geht weniger weit als das europäische Recht, das in gewissen Fällen eine Pflicht zur Ernennung einer Datenschutzberaterin oder eines Datenschutzberaters vorsieht (siehe obenstehender erster Absatz). Nach dem rev. DSG bleibt es den Unternehmen überlassen, ob sie eine Datenschutzberaterin oder einen Datenschutzberater ernennen wollen, während Bundesorgane grundsätzlich verpflichtet sind, einen solchen einzusetzen.
Der Verantwortliche kann eine Mitarbeiterin oder einen Mitarbeiter oder eine Drittperson zur Datenschutzberaterin oder zum Datenschutzberater ernennen. Gemäss Art. 10 Abs. 3 lit. a muss die Person ihre Funktion jedoch fachlich unabhängig ausüben; sie oder er ist gegenüber dem Verantwortlichen nicht weisungsgebunden. Handelt es sich um eine Mitarbeiterin oder einen Mitarbeiter, muss die hierarchische Einordnung innerhalb des Unternehmens sicherstellen, dass die Datenschutzberaterin oder der Datenschutzberater unabhängig bleibt. Grundsätzlich sollte sie oder er direkt der Geschäftsleitung des Verantwortlichen unterstellt sein und selbstverständlich über die erforderlichen Fachkenntnisse verfügen.
Im Falle einer Verletzung der Datensicherheit muss der Verantwortliche diese so rasch als möglich beim EDÖB melden, wenn daraus ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen entstehen könnte (Art. 24 Abs. 1 rev. DSG). Diese Pflicht trifft zwar gemäss Gesetzeswortlaut den Verantwortlichen und nicht direkt die Datenschutzberaterin oder den Datenschutzberater. Allerdings könnte hier eine indirekte Pflicht abgeleitet werden, wenn solch eine Meldung innerhalb der sorgfältigen Umsetzung der Aufgaben der Datenschutzberaterin bzw. des Datenschutzberaters gesehen wird.
KDSG - Graubünden
Im KDSG Graubünden findet sich keine Regelung bezüglich der Benennung einer Datenschutzberaterin oder eines Datenschutzberaters.
Empfehlung und Erfahrungen aus der Praxis
In der Praxis ist es von grosser Wichtigkeit interne Ressourcen für die Themen Datenschutz und Datensicherheit aufzubauen. Diese werden für die initiale Umsetzung der Datenschutzkonformität gemäss rev. DSG benötigt und darauf folgend auch für die laufende Umsetzung und Kontrolle. Erfahrungsgemäss können interne Personen diese Aufgaben am effektivsten erfüllen, weil diese die betrieblichen Abläufe kennen und beurteilen können. Dabei ist es jedoch nicht notwendig diese Stellen formell mit Datenschutzberaterin/Datenschutzberater zu benennen. Eine Pflicht zur Benennung einer Datenschutzberaterin oder eines Datenschutzberaters lässt sich rechtlich nicht ableiten. Ein direkter Vorteil der Benennung einer solchen Position ist jener, dass eine Datenschutz-Folgenabschätzung nicht dem EDÖB vorgelegt werden muss, wenn diese von einer Datenschutzberaterin oder eines Datenschutzberaters begutachtet wurde. In der Praxis werden jedoch Datenschutz-Folgenabschätzungen dann erstellt, wenn die rechtliche Korrektheit der Datenverarbeitung schwierig zu beurteilen ist. In diesem Falle ist es wertvoll, wenn von oberster Stelle eine Beurteilung stattfindet und das Unternehmen somit sicher sein kann, dass die Datenverarbeitung in geplanter Weise durchgeführt werden kann. In manchen Fällen hängen hohe Investitionssummen von solchen Entscheidungen ab. Zusammenfassend gibt es keine gesetzliche Verpflichtung und auch sonst keinen Zwang einen Datenschutzberater zu benennen, wohl aber ist es sehr zu empfehlen personelle Ressourcen bereitzustellen, welche die Aufgaben des Datenschutzes und der Datensicherheit erfüllen können.
Empfehlung aus der Praxis
Teile der Datenschutz-Aufgaben überschneiden sich mit den Aufgaben zur Erfüllung der EPD Anforderungen. Ebenfalls ist eine EPD Anforderung die Benennung einer Person als Datenschutz- und Datensicherheits-Verantwortlichen (DSDS-V). Aus diesem Grund wäre es für Institutionen, welche an die EPD-Anforderungen gebunden sind, ein effizienter Weg den Stelle(n), welchen die Verantwortung über den Datenschutz und das EPD übertragen werden, mit "Datenschutz- und Datensicherheits-Verantwortlichen (DSDS-V)" zu bezeichnen. Damit ist diese EPD Anforderung erfüllt und ebenfalls eine passende Bezeichnung für den/die Datenschutzverantwortlichen gefunden.
Autoren
- lic. iur. Roman Dolf (Leiter Rechtsdienst KSGR)
- Rebekka Grassmayr, MAS (Datenschutzspezialistin Sirius Consult AG)