Der Datenschutzberater

Philipp Rosenauer
Partner Legal, PwC Schweiz

Mit dem revidierten Bundesgesetz über den Datenschutz (revDSG) wurde die neue Position des Datenschutzberaters bzw. der Datenschutzberaterin – das Schweizer Pendant zum EU-Datenschutzbeauftragten (DPO) – eingeführt. Auf den ersten Blick scheint diese Funktion ihrem europäischen Pendant – wie es in der Datenschutz-Grundverordnung der EU (DSGVO) festgelegt wurde – zu entsprechen. Wo liegen also die wichtigsten Unterschiede zwischen den beiden Funktionen?

«Datenschutzberater» und «Datenschutzbeauftragter» – nur ein anderer Name?

Zwischen dem Schweizer Datenschutzberater und dem Datenschutzbeauftragten gemäss DSGVO gibt es einige Unterschiede.

Zunächst einmal ist die Bestellung eines Datenschutzberaters nach revDSG im Allgemeinen nicht verpflichtend (sofern es sich bei dem Verantwortlichen nicht um ein Bundesorgan handelt). Der Datenschutzberater wird somit lediglich freiwillig ernannt.

Ein Grund für die Bestellung eines Datenschutzberaters ist die Tatsache, dass der Datenverantwortliche nicht verpflichtet ist, den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) hinzuzuziehen, falls eine Datenschutz-Folgenabschätzung (DSFA) ein hohes Risiko für die betroffene Person ergibt. Vielmehr kann er stattdessen Rücksprache mit dem Datenschutzberater halten. Zu beachten ist, dass es weiterhin der Datenverantwortliche und nicht der Datenschutzberater ist, der die Verantwortung für die Einhaltung der Datenschutzvorschriften trägt. Für diese Funktion kann auch eine externe Person bestellt werden.

Warum sollte mein Unternehmen einen Datenschutzberater bestellen?

Der Datenschutzberater bzw. die Datenschutzberaterin dient nicht nur als Anlaufstelle bzw. Ansprechpartner innerhalb des Unternehmens, sondern auch als Schnittstelle zu den Datenschutzbehörden und hier insbesondere zum EDÖB. Der Datenschutzberater muss daher über für die Position erforderliche angemessene Kenntnisse verfügen.

Falls Sie sich dazu entscheiden, einen Datenschutzberater zu bestellen, müssen dessen Name und dessen Kontaktdaten in der Datenschutzerklärung angegeben werden.

Der Datenschutzberater muss unabhängig und nicht weisungsgebunden sein, darf also keine Exekutivfunktion innerhalb des Unternehmens ausüben.

Schliesslich müssen dem Datenschutzberater die nötigen Mittel und Gelegenheiten geboten werden, um an der Compliance-Funktion innerhalb des Unternehmens teilzuhaben.

Welche Aufgaben hat der Datenschutzberater?

Der Datenschutzberater bzw. die Datenschutzberaterin hat insbesondere die folgenden Aufgaben und Zuständigkeiten:

  • Schulung und Beratung des Datenverantwortlichen in Fragen des Datenschutzes
  • Beteiligung an der Umsetzung von Datenschutzbestimmungen
  • Überwachung der Verarbeitung von Personendaten und der entsprechenden Vorschriften. Daher sollte der Datenschutzberater bzw. die Datenschutzberaterin Korrekturmassnahmen in die Wege leiten, falls er oder sie feststellt, dass Datenschutzbestimmungen verletzt wurden.
  • Der Datenschutzberater ist ausserdem an der Erstellung und Analyse von Datenschutz-Folgenabschätzungen (DSFA) beteiligt (insbesondere dann, wenn das Unternehmen beschliesst, nicht den EDÖB hinzuzuziehen). Hierzu muss der Datenverantwortliche dem Datenschutzberater die nötigen Hilfsmittel zur Verfügung stellen und ihm oder ihr Zugang zu allen Informationen, Dokumenten, Verzeichnissen der Bearbeitungstätigkeiten und Personendaten gewähren.

Mein Unternehmen hat bereits einen Datenschutzbeauftragten gemäss DSGVO ernannt. Genügt das?

Falls Ihr Unternehmen bereits einen Datenschutzbeauftragten ernannt hat, zum Beispiel weil es als Teil einer Unternehmensgruppe tätig ist, kann der Datenschutzbeauftragte der Gruppe gleichzeitig als Datenschutzberater des Unternehmens fungieren. Hat Ihr Unternehmen beispielsweise einen Datenschutzbeauftragten für die Unternehmensgruppe gemäss DSGVO in einem EU-Land ernannt, so benötigt Ihre Niederlassung in der Schweiz nicht zwangsläufig einen eigenen Schweizer Datenschutzberater. Ansonsten kann diese Funktion auch an ein externes Unternehmen übertragen werden. 


Haben Sie Fragen?

https://pages.pwc.ch/core-contact-page?form_id=7014L000000kkHMQAY&embed=true&lang=de

#social#