Datenschutzberater

Der Begriff des Datenschutzverantwortlichen (Art. 11a Abs. 5 Bst. e aDSG) im alten DSG wird im aktuellen Datenschutzgesetz angepasst. Neu ist in Art. 10 DSG von Datenschutzberaterin oder Datenschutzberater die Rede.

Die Datenschutzberaterin oder der Datenschutzberater wird intern vom Unternehmen eingesetzt. Er oder sie überwacht die Einhaltung der Datenschutzvorschriften innerhalb des Unternehmens und steht dem Verantwortlichen beratend zur Seite (Art. 10 Abs. 2 DSG). Dieser trägt allerdings immer noch allein die Verantwortung dafür, dass eine datenschutzkonforme Bearbeitung der Personendaten stattfindet. Das neue DSG sieht im Gegensatz zum europäischen Recht, welches in bestimmten Fällen eine Einsetzung vorschreibt, keine Pflicht zur Ernennung eines Datenschutzberaters vor (Abs. 1). Nach dem neuen DSG bleibt die Entscheidung über eine Ernennung eines solchen den Unternehmen selbst überlassen.

Privaten Verantwortlichen ist es zwar freigestellt, einen Datenschutzberater zu ernennen. Das Gesetz sieht jedoch in Bezug auf die Datenschutz-Folgenabschätzung (Art. 21 Abs. 4 DSG) Erleichterungen für Verantwortliche vor, die einen solchen Berater ernannt haben. Abs. 2 definiert die Voraussetzungen, welche erfüllt sein müssen, damit diese Erleichterungen zur Anwendung kommen. Dabei wird  in weiten Teilen geltendes Recht übernommen (vgl. Art. 12 a f. VDSG).

Der Verantwortliche kann eine Mitarbeiterin bzw. einen Mitarbeiter (Unternehmensintern) oder aber eine Drittperson (Unternehmensextern) zur Datenschutzberaterin oder zum Datenschutzberater ernennen. Die ernannte Person muss ihre Funktion fachlich unabhängig ausüben, d.h. es darf keine Weisungsgebundenheit gegenüber dem Verantwortlichen bestehen (Art. 10 Abs. 3 lit. a DSG). Insbesondere bei der Ernennung eines Mitarbeiters zum Datenschutzberater muss dessen hierarchische Einordnung im Unternehmen so ausgestaltet sein, dass er bei der Wahrnehmung seiner Aufgaben unabhängig ausüben kann. Grundsätzlich sollte er direkt der Geschäftsleitung des verantwortlichen Unternehmens unterstellt sein.

In lit. b wird die Unabhängigkeit des Datenschutzberaters weiter konkretisiert. Demnach darf dieser keine Tätigkeiten übernehmen, die mit seinen Aufgaben unvereinbar sind (zb. Einsitznahme in der Geschäftsleitung des Unternehmens oder Ausübung von Funktionen in Bereichen der Personalführung oder der Informationssystemverwaltung). Zudem muss der Datenschutzberater über die erforderlichen Fachkenntnisse verfügen, um seine Aufgaben wahrnehmen zu können (lit. c). Für diese Tätigkeit ist insbesondere Fachwissen im Bereich der Datenschutzgesetzgebung als auch in Bezug auf technische Standards zur Datensicherheit erforderlich.

Schliesslich wird eine Pflicht des Verantwortlichen vorgesehen, die Kontaktdaten des Datenschutzberaters zu veröffentlichen und diese gleichzeitig dem EDÖB bekannt zu geben (lit. d).

Kostenfreies Datenschutz Risk Assessment.

L24 AG
Weinbergstrasse 29
8006 Zürich