Datenschutzberaterin und -berater

Das Datenschutzgesetz ermöglicht den Unternehmen die Selbstregulierung. Wenn sie eine Datenschutzberaterin oder einen Datenschutzberater ernennen und dem EDÖB melden, profitieren sie von Erleichterungen bei der Datenschutz-Folgenabschätzung. Position und Person der Datenschutzberaterin oder des Datenschutzberaters müssen jedoch gewissen Kriterien genügen. Die Datenschutzberaterin oder der Datenschutzberater überwacht die Einhaltung der Datenschutzvorschriften innerhalb eines Unternehmens und berät den Verantwortlichen in Datenschutzbelangen.

Private Unternehmen können nach Art. 10 DSG eine Datenschutzberaterin oder einen Datenschutzberater ernennen. Diese können, müssen aber nicht in einem arbeitsvertraglichen Verhältnis zum Unternehmen stehen. In beiden Fällen sollte die Datenschutzberatung getrennt von übrigen Aufgaben des Unternehmens wahrgenommen werden. 

Auch empfiehlt es sich, die Geschäfte der Datenschutzberatung nicht mit jenen der übrigen Rechtsberatung und -vertretung zu vermischen. Weiter sollte es Datenschutzberaterinnen und -beratern erlaubt sein, ihren Standpunkt bei Meinungsverschiedenheiten der Unternehmensleitung zur Kenntnis zu bringen. 

Im Gegensatz zur europäischen DSGVO ist die Ernennung von Beratern und Beraterinnen für Private fakultativ – nur Bundesorgane sind gesetzlich dazu verpflichtet. Eine Meldepflicht für Private besteht, sofern sie von der Ausnahme bei der Datenschutz-Folgenabschätzung Gebrauch machen wollen. Private melden ihre Datenschutzberaterinnen und -berater dem EDÖB über das hierfür geschaffene Meldeportal.

Sie sind nicht nur eine innerbetriebliche Anlaufstelle, sondern auch erste Ansprechpersonen für den EDÖB und weitere Behörden, die in der Schweiz für den Datenschutz zuständig sind. Ist die Datenschutzberaterin oder der Datenschutzberater nicht in einem Arbeitsverhältnis mit dem privaten Verantwortlichen, wird sie oder er für die Vertretung der privaten Verantwortlichen regelmässig eine Vollmacht vorlegen müssen.

Zu den Aufgaben der Datenschutzberaterin oder des Datenschutzberaters gehören die allgemeine Beratung und Schulung des Unternehmens in Fragen des Datenschutzes. Ausserdem wirken sie mit beim Erlass und der Anwendung von Nutzungsbedingungen und Datenschutzvorschriften. Die Datenschutzberaterin oder der Datenschutzberater berät den Verantwortlichen in Datenschutzbelangen, aber der Verantwortliche trägt allein die Verantwortung dafür, dass die Personendaten datenschutzkonform bearbeitet werden.

Die privaten Verantwortlichen stellen den Datenschutzberaterinnen und -beratern die notwendigen Ressourcen zur Verfügung und verschaffen ihnen Zugang zu allen notwendigen Auskünften, Unterlagen, Verzeichnissen der Bearbeitungstätigkeiten und Personendaten im Allgemeinen. Den Datenschutzberaterinnen und -beratern muss Zugang zu denjenigen Unterlagen verschafft werden, die auch tatsächlich zur Aufgabenerfüllung benötigt werden. Prüft die Datenschutzberaterin oder der -berater beispielsweise in genereller Weise die internen Datenschutzvorschriften oder Prozesse zur Datenbearbeitung, wird sie oder er in der Regel keine Personendaten einsehen müssen. Schliesslich muss der Verantwortliche der Datenschutzberaterin oder dem Datenschutzberater das Recht einräumen, in wichtigen Fällen das oberste Leitungs- oder Verwaltungsorgan zu informieren.

Ausnahme bei der Datenschutz-Folgenabschätzung mit hohem Risiko

Ein Unternehmen kann nach Durchführung einer Datenschutz-Folgenabschätzung auch bei fortbestehend hohem Risiko einzig auf die interne Beratung abstellen, ohne darüber hinaus den EDÖB konsultieren zu müssen, wenn die Datenschutzberaterin oder der Datenschutzberater überdies die Anforderungen nach Artikel 10 Absatz 3 DSG erfüllt: 

• Die Datenschutzberaterinnen und -berater müssen ihre Funktion fachlich unabhängig ausführen können und sind gegenüber der oder dem Verantwortlichen nicht weisungsgebunden. Diese Unabhängigkeit muss sich in der hierarchischen Einordnung der Datenschutzberaterin oder des Datenschutzberaters im Unternehmen widerspiegeln. Grundsätzlich sollte sie oder er direkt der Geschäftsleitung der Verantwortlichen oder des Verantwortlichen unterstellt sein. Dies steht im Zusammenhang mit dem Recht der Datenschutzberaterinnen und -beratern, in wichtigen Fällen das oberste Leitungs- oder Verwaltungsorgan zu informieren. Gemeint ist damit die oberste Leitung des privaten Verantwortlichen, also das Organ, welches auch die Verantwortung für die Einhaltung der Datenschutzvorschriften trägt. 
• Im Unternehmen dürfen die Datenschutzberaterinnen und -berater keine Aufgaben wahrnehmen, die mit der Funktion unvereinbar sind. Eine Unvereinbarkeit kann beispielsweise vorliegen, wenn die Datenschutzberaterin oder der Datenschutzberater Mitglied der Geschäftsleitung ist, Funktionen in Bereichen der Personalführung oder der Informationssystemverwaltung ausübt oder zu einer Dienststelle gehört, die selbst besonders schützenswerte Personendaten bearbeitet. Es ist demgegenüber jedoch denkbar, die Aufgabe der Datenschutzberatung mit der Aufgabe der oder des Informationssicherheitsbeauftragten zu kombinieren.
• Die Datenschutzberaterin oder der Datenschutzberater verfügt über die erforderliche Fachkenntnis im Bereich der Datenschutzgesetzgebung und auch über technische Standards zur Datensicherheit.
• Schliesslich müssen die privaten Verantwortlichen die Kontaktdaten ihrer Datenschutzberaterin oder ihres Datenschutzberaters veröffentlichen und dem EDÖB über das Meldeportal melden.

Datenschutzberaterinnen und -berater der Bundesorgane

Bundesorgane sind verpflichtet, eine Datenschutzberaterin oder einen Datenschutzberater zu ernennen. Sie melden dem EDÖB ihre Datenschutzberaterinnen und -berater wie bisher per E-Mail.