Der Datenschutzberater im neuen Datenschutzrecht
Am 1. September 2023 tritt in der Schweiz das neue Datenschutzgesetz (nDSG) sowie dessen Verordnung in Kraft. Neben verschiedenen, teilweise in früheren Newslettern[1] von Häusermann + Partner bereits thematisierten Änderungen wird mit dem neuen Datenschutzrecht die Figur des Datenschutzberaters geschaffen, die wir im vorliegenden Beitrag vorstellen möchten.
Grundsätzliches zum Datenschutzberater
Unternehmen haben nach dem neuen Datenschutzrecht die Möglichkeit, einen Datenschutzberater zu ernennen (Art. 10 nDSG). Von der Ausgestaltung her ähnelt der Datenschutzberater dem Datenschutzbeauftragten nach europäischem Recht (DSGVO) sowie dem altrechtlichen Datenschutzverantwortlichen. Anders als in der DSGVO ist die Ernennung eines Datenschutzberaters nach nDSG für Private jedoch durchwegs freiwillig. Einzig Personen, welche datenschutzrechtlich als Bundesorgan qualifiziert werden (das sind neben den eigentlichen Organen des Bundes, wie Departemente und die Bundeskanzlei, auch Unternehmen, welche mit öffentlichen Aufgaben des Bundes beauftragt sind), müssen einen Datenschutzberater ernennen.
Funktion des Datenschutzberaters
Der Datenschutzberater fungiert als Anlaufstelle für betroffene Personen (natürliche Personen, über die Daten bearbeitet werden) oder Behörden. Zu seinem Pflichtenheft gehören die Schulung und die Beratung des Verantwortlichen[2] (Unternehmen oder Behörde) in Sachen Datenschutz. Weiter wirkt er bei der Anwendung der Datenschutzvorschriften mit.
So muss der Datenschutzberater die Bearbeitung von Personendaten sowie deren Voraussetzungen prüfen und dem Verantwortlichen Korrekturmassnahmen empfehlen, wenn er feststellt, dass Vorschriften über den Datenschutz verletzt wurden. Damit überwacht der Datenschutzberater, dass die Datenschutzgesetzgebung sowie die internen Datenschutzvorschriften des Verantwortlichen eingehalten werden. Zudem prüft er, ob die internen Datenschutzvorschriften mit der Datenschutzgesetzgebung vereinbar sind. Dem Datenschutzberater kommt, wie die Bezeichnung bereits vermuten lässt, aber nur eine beratende Funktion zu. Die Verantwortung und Entscheidkompetenz über den Datenschutz verbleibt somit beim Verantwortlichen.
Es ist möglich, sowohl einen internen als auch einen externen Datenschutzberater zu bestimmen. Somit kommt zum einen eine arbeitsrechtliche Eingliederung in die Unternehmung oder Behörde in Frage, zum anderen kann ein externer Datenschutzberater in einem Auftragsverhältnis beigezogen werden. Der Datenschutzberater muss dabei, unerheblich ob er als interner oder externer Datenschutzberater fungiert, gegenüber den Verantwortlichen fachlich unabhängig und weisungsungebunden sein. Er darf also keine Tätigkeit ausüben, welche mit den Aufgaben des Datenschutzberaters unvereinbar sind. Solche Interessenskonflikte können beispielsweise vorliegen, wenn der Datenschutzberater zusätzlich zu seiner Funktion beim Verantwortlichen selbst über die Datenbearbeitung entscheidet oder ein Interesse an der Art und Weise der Datenbearbeitung aufweist. Deshalb empfiehlt es sich gerade bei kleineren bis mittleren Unternehmen oder Behörden, einen externen Datenschutzberater beizuziehen.
Der Mehrwert des Datenschutzberaters
Nach Art. 23 Absatz 4 nDSG kann der Verantwortliche nach der Erstellung einer Datenschutz-Folgenabschätzung von der Konsultation des EDÖB absehen, wenn es einen Datenschutzberater nach Art. 10 nDSG ernannt hat, und stattdessen diesen konsultieren. Dabei hat der Datenschutzberater schon bei der Erstellung der Datenschutz-Folgeabklärung mitzuwirken.
Bei der Datenschutz-Folgeabschätzung handelt es sich um ein Compliance-Instrument, mit welchem bei datenschutzrechtlich heiklen Bearbeitungen eine datenschutzrechtliche Selbstbeurteilung vorgenommen wird. In gewissen Fällen ist die Datenschutz-Folgeabschätzung sogar vorgeschrieben. Dies ist beispielsweise der Fall, wenn die Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Das hohe Risiko resultiert insbesondere aus der Verwendung von neuen Technologien oder aus der Art, dem Umfang, den Umständen oder dem Zweck der Bearbeitung. Diese Voraussetzungen sind beispielsweise erfüllt, wenn besonders schützenswerte Personendaten (namentlich genetische oder biometrische Daten sowie Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten) umfangreich bearbeitet werden oder umfangreich und systematisch öffentliche Bereiche überwacht werden. Die Datenschutz-Folgeabschätzung enthält insbesondere eine Risikoanalyse in Bezug auf die Datenbearbeitung und zeigt die Massnahmen zum Schutz der Persönlichkeit und Grundrechte auf.
Im Ergebnis zeigt die Datenschutz-Folgeabschätzung auf, ob das geplante Bearbeitungsvorhaben trotz aller getroffenen Massnahmen ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringt. Dabei kann mit einer Risikomatrix gearbeitet werden, welche die Eintrittswahrscheinlichkeit und die Schadensschwere beinhaltet.
Indem der EDÖB nicht bei jeder Datenschutz-Folgeabschätzung konsultiert werden muss, sondern stattdessen der Datenschutzberater konsultiert werden kann, können sich Verantwortliche einen gewissen Aufwand ersparen.
Im Weiteren verfügt der Verantwortliche mit einem Datenschutzberater über eine im Bereich Datenschutz versierte Anlaufstelle, welche in datenschutzrechtlichen Anliegen eine kompetente Beratung bieten kann. Auch in Bezug auf Schulungen, kann der Beizug eines Datenschutzberaters sinnvoll sein. Er kennt die aktuelle Gesetzeslage und kann so dazu beitragen, dass Mitarbeitende stets auf dem aktuellen Stand des Datenschutzrechts sind.
Auch bei datenrelevanten Vorfällen (Datensicherheitsverletzungen, sog. data breach) bietet der Datenschutzberater professionelle Unterstützung und kann den Verantwortlichen im Umgang mit diesem data breach beraten und Sofortmassnahmen empfehlen, um beispielsweise Reputationsschäden zu verhindern oder zu minimieren.
Im Weiteren dient der Datenschutzberater als Anlaufstelle für den EDÖB sowie betroffene Personen in Datenschutzfragen.
Pflichten des Verantwortlichen
Entscheidet sich eine verantwortliche Person einen Datenschutzberater zu beauftragen, müssen ihm die nötigen Mittel gegeben werden, damit sowohl die Aufgabe der Schulung als auch die Beratung des Verantwortlichen ermöglicht beziehungsweise sichergestellt werden kann. Ausserdem muss der Datenschutzberater in die entsprechenden Datenschutzprozesse eingebunden werden, wobei stets darauf zu achten ist, dass der Datenschutzberater fachlich unabhängig und weisungsungebunden bleibt.
Zugang zu Personendaten ist dem Datenschutzberater nur zu gewähren, wenn diese zur Aufgabenerfüllung benötigt werden. Dies ist beispielsweise bei der Prüfung der internen Prozesse zur Datenbearbeitung nicht notwendig.
Summary
Zusammengefasst kann der freiwillige Beizug eines Datenschutzberaters die Verantwortliche in datenschutzrechtlichen Angelegenheiten entlasten und dazu beitragen, dass die Datensicherheit, in der heute vermehrt von Technologien beherrschten Welt, besser gewahrt werden kann.
[1] Update zum Datenschutz, September 2022 / Update zum neuen Datenschutzgesetz Juli 2021 / Das neue Datenschutzgesetz, April 2021
[2] Private Person oder Bundesorgan, die oder das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet (Art. 5 Abs. 1 lit. j nDSG)