Philipp Rosenauer
Partner Legal, PwC Schweiz
Mit dem revidierten Bundesgesetz über den Datenschutz (revDSG) wurde die neue Position des Datenschutzberaters bzw. der Datenschutzberaterin – das Schweizer Pendant zum EU-Datenschutzbeauftragten (DPO) – eingeführt. Auf den ersten Blick scheint diese Funktion ihrem europäischen Pendant – wie es in der Datenschutz-Grundverordnung der EU (DSGVO) festgelegt wurde – zu entsprechen. Wo liegen also die wichtigsten Unterschiede zwischen den beiden Funktionen?
Zwischen dem Schweizer Datenschutzberater und dem Datenschutzbeauftragten gemäss DSGVO gibt es einige Unterschiede.
Zunächst einmal ist die Bestellung eines Datenschutzberaters nach revDSG im Allgemeinen nicht verpflichtend (sofern es sich bei dem Verantwortlichen nicht um ein Bundesorgan handelt). Der Datenschutzberater wird somit lediglich freiwillig ernannt.
Ein Grund für die Bestellung eines Datenschutzberaters ist die Tatsache, dass der Datenverantwortliche nicht verpflichtet ist, den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) hinzuzuziehen, falls eine Datenschutz-Folgenabschätzung (DSFA) ein hohes Risiko für die betroffene Person ergibt. Vielmehr kann er stattdessen Rücksprache mit dem Datenschutzberater halten. Zu beachten ist, dass es weiterhin der Datenverantwortliche und nicht der Datenschutzberater ist, der die Verantwortung für die Einhaltung der Datenschutzvorschriften trägt. Für diese Funktion kann auch eine externe Person bestellt werden.
Der Datenschutzberater bzw. die Datenschutzberaterin dient nicht nur als Anlaufstelle bzw. Ansprechpartner innerhalb des Unternehmens, sondern auch als Schnittstelle zu den Datenschutzbehörden und hier insbesondere zum EDÖB. Der Datenschutzberater muss daher über für die Position erforderliche angemessene Kenntnisse verfügen.
Falls Sie sich dazu entscheiden, einen Datenschutzberater zu bestellen, müssen dessen Name und dessen Kontaktdaten in der Datenschutzerklärung angegeben werden.
Der Datenschutzberater muss unabhängig und nicht weisungsgebunden sein, darf also keine Exekutivfunktion innerhalb des Unternehmens ausüben.
Schliesslich müssen dem Datenschutzberater die nötigen Mittel und Gelegenheiten geboten werden, um an der Compliance-Funktion innerhalb des Unternehmens teilzuhaben.
Der Datenschutzberater bzw. die Datenschutzberaterin hat insbesondere die folgenden Aufgaben und Zuständigkeiten:
Falls Ihr Unternehmen bereits einen Datenschutzbeauftragten ernannt hat, zum Beispiel weil es als Teil einer Unternehmensgruppe tätig ist, kann der Datenschutzbeauftragte der Gruppe gleichzeitig als Datenschutzberater des Unternehmens fungieren. Hat Ihr Unternehmen beispielsweise einen Datenschutzbeauftragten für die Unternehmensgruppe gemäss DSGVO in einem EU-Land ernannt, so benötigt Ihre Niederlassung in der Schweiz nicht zwangsläufig einen eigenen Schweizer Datenschutzberater. Ansonsten kann diese Funktion auch an ein externes Unternehmen übertragen werden.
https://pages.pwc.ch/core-contact-page?form_id=7014L000000kkHMQAY&embed=true&lang=de
#social#
Associate | Data Privacy | ICT | Implementationᐩ, PwC Switzerland
Tel: +41 58 792 43 06