Betriebliche Datenschutzverantwortliche

Die Revision des Datenschutzgesetzes, in Kraft seit 2008, ermöglicht den Unternehmen die Selbstregulierung. Wenn sie einen Datenschutzverantwortlichen ernennen und den EDÖB darüber informieren, dürfen sie künftig darauf verzichten, ihre Datensammlungen bei uns anzumelden. Position und Person des Datenschutzverantwortlichen müssen jedoch gewissen Kriterien genügen.

Der betriebliche Datenschutzverantwortliche im Gesetz

Das revidierte Bundesgesetz über den Datenschutz vom 01. Januar 2008 (DSG, SR 235.1) ermöglicht Unternehmen durch verschiedene Gesetzesänderungen die Selbstregulierung. So müssen beispielsweise laut Art. 11a Abs. 5 lit. e Inhaber von Datensammlungen diese nicht anmelden, wenn sie einen Datenschutzverantwortlichen bezeichnet haben, der unabhängig die betriebsinterne Einhaltung der Datenschutzvorschriften überwacht und Verzeichnisse der Datensammlungen führt. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) muss darüber informiert werden.

Das DSG spricht in der deutschen Version vom «Datenschutzverantwortlichen», während in der französischen Version vom «conseiller à la protection des données», also dem «Datenschutzberater», gesprochen wird. Da es nicht das Ziel des Gesetzgebers war, die Verantwortung des Inhabers der Datensammlung auf die Person des Datenschutzverantwortlichen abzuwälzen, ist in der Auslegung des DSG der französischen Version zu folgen. Somit liegt die Verantwortung in erster Linie beim Inhaber der Datensammlung (also dem die Daten bearbeitenden Unternehmen). Der Datenschutzverantwortliche haftet nur im Rahmen von Art. 55 des Bundesgesetzes betreffend die Ergänzung des Schweizerischen Zivilgesetzbuches (Fünfter Teil: Obligationenrecht; OR; SR 220).

Die Aufgaben und die organisatorische Stellung des betrieblichen Datenschutzverantwortlichen sind in den Artikeln 12a und 12b der Verordnung zum Bundesgesetz über den Datenschutz (VDSG, SR 235.11) festgehalten.

Stellung des betrieblichen Datenschutzverantwortlichen

Um seine Aufsichtsfunktion wahrnehmen zu können, muss der Datenschutzverantwortliche die Einhaltung der Datenschutzvorschriften innerhalb des Betriebs unabhängig überwachen (Art. 11a Abs. 5 lit. e DSG). Damit die Selbstregulierung überhaupt effektiv umgesetzt werden kann, muss seine Unabhängigkeit sowohl in organisatorischer und fachlicher Hinsicht als auch im Hinblick auf seine Tätigkeit innerhalb des Betriebs gewährleistet sein.

Unabhängigkeit in organisatorischer Hinsicht

Um innerhalb des Unternehmens seine Aufgaben wahrnehmen zu können, darf der Datenschutzverantwortliche keine anderen Tätigkeiten ausüben, die mit seinen Aufgaben unvereinbar sind. Ein möglicher Interessenskonflikt muss also bereits durch die organisatorische Stellung des Datenschutzverantwortlichen vermieden werden. In der Praxis bedeutet dies, dass Unternehmen die Funktion des Datenschutzverantwortlichen entweder als Stabstelle oder als Stelle innerhalb der Rechtsabteilung ausgestalten. Gelegentlich ist der Datenschutzverantwortliche auch in der IT-Abteilung oder im Vorstand angesiedelt.

Grundsätzlich sollte in organisatorischer Hinsicht darauf geachtet werden, dass die Stelle des Datenschutzverantwortlichen ausserhalb der Linienverantwortlichkeit steht, da sonst Interessenskonflikte drohen. Einem Unternehmen stehen in diesem Zusammenhang verschiedene Möglichkeiten zur Verfügung, welche von einer Stabstelle bis hin zu einem externen Datenschutzverantwortlichen reichen.

Unabhängigkeit in fachlicher Hinsicht

Der Datenschutzverantwortliche muss, um seine Aufgaben gehörig und unabhängig durchführen zu können, zudem die notwendige fachliche Eignung aufweisen. Das Recht spricht lediglich davon, dass er über die erforderliche Fachkenntnis verfügen muss (Art. 12a Abs. 2 und Art. 12b Abs. 2 lit. a VDSG), ohne diese aber näher zu präzisieren.

Die Anforderungen umfassen sowohl die Kenntnisse im Bereich Datenschutz als auch die für den Betrieb spezifischen Fachkenntnisse. So sollte der Verantwortliche die wesentlichen Grundzüge des Datenschutzgesetzes kennen und anwenden können. Bringt er nicht bereits juristische Kenntnisse mit, sollte er soweit geschult werden, dass er sich mindestens selbständig ein Bild darüber machen kann, ob, wann und inwiefern eine Datenbearbeitung geeignet ist, die Persönlichkeit einer betroffenen Person zu verletzen. Der EDÖB empfiehlt daher, dass ein (nicht juristisch ausgebildeter) Datenschutzverantwortlicher wenigstens ein halbes Jahr im Bereich Datenschutz gearbeitet bzw. eine Schulung von dieser Dauer erhalten hat.

Weiter muss der Datenschutzverantwortliche aber auch den Betrieb selbst kennen. So muss er aufgrund seiner Fachkenntnisse die angewandten technischen Standards, die Organisation des Inhabers der Datensammlung sowie die einzelnen Bearbeitungen von Personendaten datenschutzrechtlich beurteilen können. Je nach Unternehmen kann dies im Hinblick auf technische Kompetenzen sehr hohe Anforderungen an den Datenschutzverantwortlichen stellen. So sollte der Inhaber dieser Funktion in einem IT-Unternehmen sicherlich über ausreichende technische Erfahrung (bspw. als Programmierer) verfügen, um die Datenbearbeitung sowohl technisch als auch datenschutzrechtlich überprüfen zu können.

Unabhängigkeit im Hinblick auf seine Tätigkeit

Der Datenschutzverantwortliche muss in seiner Tätigkeit soweit unabhängig sein, dass er seine Aufgaben weisungsunabhängig wahrnehmen kann und aufgrund seiner Tätigkeit vom Unternehmen nicht sanktioniert werden darf. Zudem muss er mit ausreichend Ressourcen (meist in Form von Arbeitszeit) ausgestattet sein, um seine innerbetrieblichen Aufgaben erfüllen zu können (Art. 12b Abs. 2 lit. b VDSG). Zwar bestehen je nach Grösse des Unternehmens unterschiedliche Anforderungen; der EDÖB verlangt jedoch, dass die Stelle des Datenschutzverantwortlichen in jedem Fall über genügend Ressourcen verfügt, damit die Funktion nicht zur Alibiübung verkommt.

Weiter muss der Verantwortliche Zugang zu allen Datensammlungen und Datenbearbeitungen sowie zu allen Informationen, die er zur Erfüllung seiner Aufgabe benötigt, haben (Art. 12b Abs. 2 lit. c VDSG). Dies beinhaltet neben dem Zugang auf Anfrage auch, dass er Kenntnis von sämtlichen innerhalb des Unternehmens durchgeführten Datenbearbeitungen erhält.

Aufgaben des betrieblichen Datenschutzverantwortlichen

Die VDSG sieht für den Datenschutzverantwortlichen im Wesentlichen zwei Aufgabenkategorien vor:

  • Auf der einen Seite prüft er die Bearbeitung von Personendaten und empfiehlt Korrekturmassnahmen, wenn er feststellt, dass Datenschutzvorschriften verletzt werden (Art. 12b Abs. 1 lit. a VDSG).
  • Auf der anderen Seite führt er intern eine Liste der Datensammlungen nach Art. 11a Abs. 3 DSG (Art. 12b Abs. 1 lit. b VDSG).

Aufsichtsfunktion

Für eine umfassende Wahrnehmung seiner Aufsichtsfunktion muss sich der Datenschutzverantwortliche einen Überblick über sämtliche im Unternehmen bestehenden Datensammlungen und Datenbearbeitungen verschaffen können. Dazu benötigt er ein umfassendes Einsichtsrecht in Dokumente, ein Vorführungsrecht im Hinblick auf Datenverarbeitungssysteme und ein Auskunftsrecht gegenüber sämtlichen für die Datenbearbeitungen verantwortlichen Personen. Dies beinhaltet im Hinblick auf die Auskunftserteilung innerhalb des Unternehmens Weisungsbefugnis; das Unternehmen hat dafür zu sorgen, dass den Weisungen des Verantwortlichen nachgekommen wird.

Der EDÖB empfiehlt daher, innerhalb des Unternehmens eine Meldepflicht einzuführen. D.h. sämtliche Datenbearbeitungen und Datensammlungen müssen dem Datenschutzverantwortlichen gemeldet werden.

Aufgrund der im Rahmen seiner Aufsichtsfunktion gewonnenen Erkenntnisse hat der betriebliche Datenschutzverantwortliche zu prüfen, ob und inwiefern betriebliche und gesetzliche Datenschutzvorschriften verletzt werden (bzw. verletzt werden könnten). Dazu gehört auch die Durchführung einer Risikoanalyse (z.B. Risiko einer unbeabsichtigten/unberechtigten Datenweitergabe, -löschung oder -bearbeitung, eines Datenverlustes oder technischen Fehlers, etc.). Stellt er im Rahmen seiner Abklärungen fest, dass Vorschriften verletzt werden, muss er Korrekturmassnahmen empfehlen können. Ob sich diese Empfehlungen an die innerhalb des Unternehmens zuständigen Mitarbeitenden oder an die Geschäftsleitung richten, hängt von der internen Organisation des jeweiligen Betriebs ab. In jedem Fall sollte aber der Betrieb dafür sorgen, dass die Empfehlungen umgesetzt werden. Tut er das nicht, muss grundsätzlich davon ausgegangen werden, dass die Datenschutzverletzungen vorsätzlich begangen wurden. Dies kann - falls ein solcher Vorfall publik werden sollte - für den betroffenen Betrieb zu einem nicht unerheblichen Imageschaden führen.

Befreiung von der Anmeldungspflicht

Gemäss Art. 11a Abs. 5 lit. e DSG ist der Betrieb, welcher gegenüber dem EDÖB einen Datenschutzverantwortlichen benannt hat, von der Registrierungspflicht für seine Datensammlungen befreit. Er muss aber weiterhin intern so organisiert sein, dass Privaten und dem EDÖB auf Anfrage Auskunft über diejenigen Datensammlungen gegeben werden kann, in denen regelmässig besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet oder aus denen regelmässig Personendaten an Dritte bekannt gegeben werden.

Dies sind die minimalen Anforderungen, welche das DSG zur Befreiung von der Meldepflicht vorsieht. Im Eigeninteresse des Unternehmens empfiehlt der EDÖB allerdings, dass sich der betriebliche Datenschutzverantwortliche darüber hinaus über sämtliche innerhalb des Betriebs vorhandenen Datensammlungen ein Bild macht.

Massnahmen und Empfehlungen

Nachfolgend werden im Hinblick auf die Selbstregulierung im Datenschutz die gesetzlich vorgeschriebenen Massnahmen erläutert. Weiter listet der EDÖB die für einen datenschutzkonformen Betrieb unabdingbaren organisatorischen Anforderungen dar.

Gesetzlich vorgeschriebene Massnahmen

Aufgrund der gesetzlichen Vorschriften muss die Stelle des Datenschutzverantwortlichen wie folgt ausgestaltet sein:

  • Er muss weisungsunabhängig sein.
  • Er muss über eine ausreichende fachliche Qualifikation verfügen.
  • Er muss die Bearbeitung von Personendaten innerhalb des Betriebs prüfen.
  • Er muss Korrekturmassnahmen empfehlen können, wenn er feststellt, dass Datenschutzvorschriften verletzt wurden.
  • Er muss Zugang zu allen Datensammlungen und Datenbearbeitungen haben.
  • Er muss eine Liste der Datensammlungen nach Art. 11a Abs. 5 lit. e DSG führen und diese auf Anfrage dem EDÖB oder betroffenen Personen zur Verfügung stellen.
  • Er darf keine Tätigkeiten ausüben, die mit seinen Aufgaben als Datenschutzverant­wort­licher unvereinbar sind.

Damit das Unternehmen von der Befreiung der Anmeldepflicht für seine Datensammlungen Gebrauch machen kann, muss es die oben genannten Anforderungen erfüllen und darüber hinaus dem EDÖB melden, dass es die Stelle eines Datenschutzverantwortlichen bezeichnet hat.

Organisatorische Vorschläge des EDÖB

Ein Unternehmen sollte in jedem Fall auch über die gesetzlich geforderten Mindeststandards hinaus dem Datenschutz einen hohen Stellenwert einräumen. Verstösse gegen das Datenschutzgesetz rufen - wenn sie in die Öffentlichkeit gelangen - aufgrund der Sensibilität der Bevölkerung oft ein grosses Medienecho hervor, welches dem Ansehen des Unternehmens grossen Schaden zufügen kann. Der EDÖB unterstreicht deshalb, dass es im ureigenen Interesse von Unternehmen liegt, innerhalb ihres Betriebs eine effiziente und wirksame Datenschutzaufsicht zu installieren.

Hierarchische Datenschutzorganisation innerhalb des Betriebs

Abgesehen vom unabhängigen Datenschutzverantwortlichen sollte das Unternehmen in unteren Hierarchieebenen so genannte Datenschutzmanager berufen, welche einen Teil ihrer Arbeitszeit für den Datenschutz in ihrem Bereich einsetzen. Ihnen obliegt es, die Kommunikation zwischen dem Unternehmens-Datenschutzverantwortlichen und den einzelnen Abteilungen oder Bereichen zu gewährleisten, so dass mögliche Probleme frühzeitig erkannt und gemeldet werden können sowie Informationen und Weisungen gezielt in die Abteilungen gelangen.

Eine solche hierarchische Struktur kann durch den unabhängigen Datenschutzverantwortlichen für die nachfolgenden Aufgaben genutzt werden:

  1. Zur Schulung der Mitarbeiter durch die Datenschutzmanager (welche vorher entsprechend vom Datenschutzverantwortlichen entsprechend ausgebildet wurden).
  2. Für Treffen der Datenschutzmanager der einzelnen Abteilungen bzw. Bereiche, so dass ein Informations- bzw. Wissenstransfer stattfinden kann.
  3. Als direkter Kanal für den Datenschutzverantwortlichen, um Sachverhalte innerhalb einer Abteilung oder eines Bereiches abzuklären und Empfehlungen auszusprechen bzw. Weisungen zu erteilen.
  4. Zur Meldung von Datensammlungen und Datenbearbeitungen an den Datenschutzmanager für die Weiterleitung an den Datenschutzverantwortlichen; so nimmt ersterer eine Standardisierungs- und Aggregationsfunktion ein.
  5. Als Sprachrohr für den unabhängigen Datenschutzverantwortlichen, damit er frühzeitig wahrnehmen kann, welche Datenbearbeitungen innerhalb des Unternehmens geplant, vorbereitet und durchgeführt werden.

Damit die Kommunikation zwischen dem unabhängigen Datenschutzverantwortlichen und den Datenschutzmanagern möglichst effizient verläuft und ersterer einen direkten Zugang zu den Abteilungen und Bereichen erhält, empfiehlt es sich, hierarchisch keine Zwischenstufen zu kreieren. Wenn also die Arbeitsbelastung für den Datenschutzverantwortlichen zu hoch wird, weil zu viele Datenschutzmanager seine Zeit in Anspruch nehmen, empfiehlt der EDÖB, einen weiteren unabhängigen Datenschutzverantwortlichen zu ernennen. Die Datenschutzmanager können dann auf die beiden Verantwortlichen aufgeteilt werden, und die Schaffung neuer Hierarchiestufen wird vermieden.

Standardisierte Datenschutzprozesse

Der EDÖB empfiehlt den Unternehmen, einige wenige spezifische Datenschutzprozesse zu implementieren, welche von den Mitarbeitenden im täglichen Geschäft umgesetzt werden sollten:

  1. Meldung und Kontrolle von Datensammlungen: Der unabhängige Datenschutzverantwortliche sollte nach Möglichkeit über sämtliche innerhalb seines Betriebes vorhandenen Datensammlungen Bescheid weissen. Es ist daher ein standardisiertes Formular zu schaffen und im Betrieb zu verteilen, mit welchem die vorhandenen und geplanten Datensammlungen und Datenbearbeitungen erhoben werden. Damit können Bestand, Mutationen und Löschungen der Sammlungen überwacht werden, und der unabhängige Datenschutzverantwortliche kann sich zu jeder Zeit einen Überblick darüber verschaffen, welche Daten wo bearbeitet werden.
  2. Risikobeurteilung: Aufgrund der Meldungen/Kontrollen von Datensammlungen und Datenbearbeitungen sollte der unabhängige Datenschutzverantwortliche eine Risikoanalyse durchführen. Sie sollte ihm ermöglichen, den potenziellen Schaden eines worst case abzuschätzen. Für heikle Datensammlungen (hohes Potential eines Imageschadens für das Unternehmen, grosser Schaden für die Betroffenen, für welchen das Unternehmen haftbar gemacht werden könnte, etc.) sollte der unabhängige Datenschutzverantwortliche neben ausreichenden Sicherheitsmassnahmen auch Notfallszenarien entwerfen, die im Falle eines worst case zur Anwendung kämen.
  3. Meldung von Datenschutzverletzungen: Zur Risikominimierung und zur Umsetzung von Notfallszenarien ist im Falle einer Datenschutzverletzung ein schneller Informationsfluss zwischen der betroffenen Abteilung und dem unabhängigen Datenschutzverantwortlichen von höchster Bedeutung. Dies gilt umso mehr, wenn die Gefahr besteht, dass die Datenschutzverletzung bekannt werden könne und der Betrieb Vertrauensverluste befürchten muss. Die Datenschutzmanager müssen also die Bedeutung und Dringlichkeit einer möglichen Datenschutzverletzung grob abschätzen können.
Interne Informationsseite und Standardformulare

Der EDÖB empfiehlt darüber hinaus, im Intranet des Unternehmens eine Informationsseite zum Thema Datenschutz zu erstellen, auf welcher sämtliche relevanten Dokumente und Formulare zur Verfügung gestellt werden. Zudem kann so eine aktive Information der Mitarbeitenden erfolgen.

Unternehmen sollten für die Meldung sämtlicher Datensammlungen und Datenbearbeitungen Standardformulare erstellen, mit welchen sich die Datenschutzverantwortlichen einen Überblick über die im Unternehmen durchgeführten Datenbearbeitungen verschaffen können.

Stand: März 2010

https://www.edoeb.admin.ch/content/edoeb/de/home/datenschutz/handel-und-wirtschaft/unternehmen/betriebliche-datenschutzverantwortliche/betriebliche-datenschutzverantwortliche.html