Navigation

Datenschutzberaterin und -berater

Datenschutzberaterin und -berater

Das Datenschutzgesetz ermöglicht den Unternehmen die Selbstregulierung. Wenn sie eine Datenschutzberaterin oder einen Datenschutzberater ernennen und dem EDÖB melden, profitieren sie von Erleichterungen bei der Datenschutz-Folgenabschätzung. Position und Person der Datenschutzberaterin oder des Datenschutzberaters müssen jedoch gewissen Kriterien genügen. Die Datenschutzberaterin oder der Datenschutzberater überwacht die Einhaltung der Datenschutzvorschriften innerhalb eines Unternehmens und berät den Verantwortlichen in Datenschutzbelangen.

Private Unternehmen können nach Art. 10 DSG eine Datenschutzberaterin oder einen Datenschutzberater ernennen. Diese können, müssen aber nicht in einem arbeitsvertraglichen Verhältnis zum Unternehmen stehen. In beiden Fällen sollte die Datenschutzberatung getrennt von übrigen Aufgaben des Unternehmens wahrgenommen werden. 

Auch empfiehlt es sich, die Geschäfte der Datenschutzberatung nicht mit jenen der übrigen Rechtsberatung und -vertretung zu vermischen. Weiter sollte es Datenschutzberaterinnen und -beratern erlaubt sein, ihren Standpunkt bei Meinungsverschiedenheiten der Unternehmensleitung zur Kenntnis zu bringen. 

Im Gegensatz zur europäischen DSGVO ist die Ernennung von Beratern und Beraterinnen für Private fakultativ – nur Bundesorgane sind gesetzlich dazu verpflichtet. Eine Meldepflicht für Private besteht, sofern sie von der Ausnahme bei der Datenschutz-Folgenabschätzung Gebrauch machen wollen. Private melden ihre Datenschutzberaterinnen und -berater dem EDÖB über das hierfür geschaffene Meldeportal.

Meldeportal für Kontaktdaten von Datenschutzberaterinnen und -beratern.

Meldeportale

Sie sind nicht nur eine innerbetriebliche Anlaufstelle, sondern auch erste Ansprechpersonen für den EDÖB und weitere Behörden, die in der Schweiz für den Datenschutz zuständig sind. Ist die Datenschutzberaterin oder der Datenschutzberater nicht in einem Arbeitsverhältnis mit dem privaten Verantwortlichen, wird sie oder er für die Vertretung der privaten Verantwortlichen regelmässig eine Vollmacht vorlegen müssen.

Zu den Aufgaben der Datenschutzberaterin oder des Datenschutzberaters gehören die allgemeine Beratung und Schulung des Unternehmens in Fragen des Datenschutzes. Ausserdem wirken sie mit beim Erlass und der Anwendung von Nutzungsbedingungen und Datenschutzvorschriften. Die Datenschutzberaterin oder der Datenschutzberater berät den Verantwortlichen in Datenschutzbelangen, aber der Verantwortliche trägt allein die Verantwortung dafür, dass die Personendaten datenschutzkonform bearbeitet werden.

Die privaten Verantwortlichen stellen den Datenschutzberaterinnen und -beratern die notwendigen Ressourcen zur Verfügung und verschaffen ihnen Zugang zu allen notwendigen Auskünften, Unterlagen, Verzeichnissen der Bearbeitungstätigkeiten und Personendaten im Allgemeinen. Den Datenschutzberaterinnen und -beratern muss Zugang zu denjenigen Unterlagen verschafft werden, die auch tatsächlich zur Aufgabenerfüllung benötigt werden. Prüft die Datenschutzberaterin oder der -berater beispielsweise in genereller Weise die internen Datenschutzvorschriften oder Prozesse zur Datenbearbeitung, wird sie oder er in der Regel keine Personendaten einsehen müssen. Schliesslich muss der Verantwortliche der Datenschutzberaterin oder dem Datenschutzberater das Recht einräumen, in wichtigen Fällen das oberste Leitungs- oder Verwaltungsorgan zu informieren.


Ausnahme bei der Datenschutz-Folgenabschätzung mit hohem Risiko

Ein Unternehmen kann nach Durchführung einer Datenschutz-Folgenabschätzung auch bei fortbestehend hohem Risiko einzig auf die interne Beratung abstellen, ohne darüber hinaus den EDÖB konsultieren zu müssen, wenn die Datenschutzberaterin oder der Datenschutzberater überdies die Anforderungen nach Artikel 10 Absatz 3 DSG erfüllt: 

  • Die Datenschutzberaterinnen und -berater müssen ihre Funktion fachlich unabhängig ausführen können und sind gegenüber der oder dem Verantwortlichen nicht weisungsgebunden. Diese Unabhängigkeit muss sich in der hierarchischen Einordnung der Datenschutzberaterin oder des Datenschutzberaters im Unternehmen widerspiegeln. Grundsätzlich sollte sie oder er direkt der Geschäftsleitung der Verantwortlichen oder des Verantwortlichen unterstellt sein. Dies steht im Zusammenhang mit dem Recht der Datenschutzberaterinnen und -beratern, in wichtigen Fällen das oberste Leitungs- oder Verwaltungsorgan zu informieren. Gemeint ist damit die oberste Leitung des privaten Verantwortlichen, also das Organ, welches auch die Verantwortung für die Einhaltung der Datenschutzvorschriften trägt. 
  • Im Unternehmen dürfen die Datenschutzberaterinnen und -berater keine Aufgaben wahrnehmen, die mit der Funktion unvereinbar sind. Eine Unvereinbarkeit kann beispielsweise vorliegen, wenn die Datenschutzberaterin oder der Datenschutzberater Mitglied der Geschäftsleitung ist, Funktionen in Bereichen der Personalführung oder der Informationssystemverwaltung ausübt oder zu einer Dienststelle gehört, die selbst besonders schützenswerte Personendaten bearbeitet. Es ist demgegenüber jedoch denkbar, die Aufgabe der Datenschutzberatung mit der Aufgabe der oder des Informationssicherheitsbeauftragten zu kombinieren.
  • Die Datenschutzberaterin oder der Datenschutzberater verfügt über die erforderliche Fachkenntnis im Bereich der Datenschutzgesetzgebung und auch über technische Standards zur Datensicherheit.
  • Schliesslich müssen die privaten Verantwortlichen die Kontaktdaten ihrer Datenschutzberaterin oder ihres Datenschutzberaters veröffentlichen und dem EDÖB über das Meldeportal melden.

Datenschutzberaterinnen und -berater der Bundesorgane

Bundesorgane sind verpflichtet, eine Datenschutzberaterin oder einen Datenschutzberater zu ernennen. Sie melden dem EDÖB ihre Datenschutzberaterinnen und -berater. 

Weitere Informationen zur Erfassung von Datenschutzberaterinnen und -beratern im Meldeportal des EDÖB

Grundsätzlich sollen Verantwortliche die Kontaktdaten ihrer Datenschutzberaterinnen und -berater selber über das Portal melden, um die Kontrolle über die gemeldeten Daten zu haben. Es ist jedoch auch möglich, dass beliebige Personen, welche durch die Verantwortlichen ermächtigt wurden, die Meldung an den EDÖB tätigen.

Bitte beachten Sie aber folgende Punkte:

  • Für die Meldung und Mutation von Daten benötigen Sie entweder ein CH-Login oder ein FED-Login (nur für Meldende aus der Bundesverwaltung).
  • Sie können beliebig viele CH-Logins erstellen, diese benötigen aber jeweils eine separate E-Mail-Adresse.
  • Mit einem CH-Login, respektive einem FED-Login wird auf dem Meldeportal des EDÖB anschliessend ein Konto erstellt. Jedes Konto gilt genau für EINEN Verantwortlichen (Firma). Dieses Konto lässt sich nur zusammen mit dem zugehörigen Login übertragen.
  • Sie können das CH-Login mit einer privaten (nicht übertragbaren) oder einer generischen E-Mail-Adresse erstellen. Die generische E-Mail-Adresse hat den Vorteil, dass Sie diese an eine andere Person übertragen können, damit die gemeldeten Daten gegebenenfalls später noch mutiert werden können (z.B. bei Austritten / Funktionswechsel)
  • Für die Authentifizierung des CH-Logins kommt ein Zweifaktor-Verfahren zum Zug. Eingesetzt werden kann hier eine Authenticator-App, eine Mobile-Nummer (mTAN) oder Passkey (FIDO)
  • Die Daten der Person, welche die Meldung tätigt, sind zwecks Nachvollziehbarkeit und für das Login-Verfahren im System und damit beim Verantwortlichen hinterlegt. Diese Daten können nach erfolgter Registrierung selbstständig im Portal geändert werden.
  • Ist es Ihnen nicht möglich, das Portal unter Berücksichtigung obgenannter Punkte zu nutzen (z.B. weil Sie die Daten für mehrere Verantwortliche erfassen müssen, aber nicht über mehrere E-Mail-Adressen für die nötige Erstellung von mehreren CH-Logins verfügen), senden Sie die Kontaktdaten der Datenschutzberaterinnen und -berater bitte per Brief oder E-Mail an den EDÖB.

Keine Migration aus dem bisherigen Verzeichnis

Angaben und Meldungen zu Datenschutzverantwortlichen gemäss Art. 11a Abs. 5 lit. e aDSG aus dem bisherigen Verzeichnis werden auf Grund der neuen gesetzlichen Anforderungen an Datenschutzberaterinnen und -berater nicht in das neue Portal Datenschutzberaterinnen und -berater migriert.

Meldeportal Datenschutzberaterin/ -berater

Strafbestimmungen

Strafrechtliche Aspekte im Zusammenhang mit Verletzungen der Pflichten gemäss Datenschutzgesetz.

Auskunftsrecht

Nach dem Datenschutzgesetz kann jede Person vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.

Gebühren

Ab 1.9.2023 erhebt der EDÖB Gebühren auf gewissen Dienstleistungen.

Datenschutz-Folgenabschätzung

Private und behördliche verantwortliche Datenbearbeiter müssen eine DSFA erstellen, wenn bei Personendatenbearbeitungen ein potenziell hohes Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen erkennbar ist.

Webmaster
Letzte Änderung 04.09.2023

Zum Seitenanfang