Skip to content

Brauche ich einen DPO in meinem Unternehmen?

19. Dezember 2016

Mit der Einführung der EU – Datenschutzgrundverordnung (EU-DSGVO) im Mai 2018 werden auch in der Schweiz viele Unternehmen einen Datenschutzbeauftragten bestimmen müssen. In der Schweiz spricht man jeweils von einem betrieblichen Datenschutzverantwortlichen, in der EU von einem betrieblichen Datenschutzbeauftragten und international vom Data Protection Officer (DPO). Grundsätzlich erfüllen aber alle denselben Zweck, sie stellen die Einhaltung und Umsetzung des Datenschutzes innerhalb eines Unternehmens sicher. Ausserdem sind sie Anlaufstelle für Fragen zum Datenschutz, dies sowohl intern als auch extern. Insbesondere stellen sie auch die Kontaktperson für die Aufsichtsbehörden dar. Gemäss einer Studie der International Association of Privacy Professionals (IAPP) werden weltweit 75’000 DPOs benötigt. Für die Schweiz schätzt die Studie einen Bedarf von 3’682 DPOs[1]. Da die Schweiz das Konzept des DPO bereits kennt, haben verschiedene Unternehmen bereits einen DPO bestimmt. Trotzdem werden viele Unternehmen die Stelle erst jetzt neu schaffen und benötigen dafür entsprechend qualifiziertes Personal. Unternehmen sollten daher möglichst bald abklären, ob sie in Zukunft einen DPO bestimmen müssen.

Wann benötige ich als Unternehmen einen DPO?

In der Schweiz hat ein Unternehmen die Möglichkeit, einen Mitarbeiter oder einen Dritten als DPO zu bezeichnen (Art. 12a VDSG). Dieser ist sodann für die Datensammlungen und alle Datenschutzthemen verantwortlich. Als Datensammlung gilt jeder Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind (Art. 3 lit. g DSG). Zwingend ist die Einsetzung in der Schweiz nur für Unternehmen, wenn sie ihre Datensammlungen nicht beim EDÖB melden möchten.

Ein Schweizer Unternehmen hat die EU-DSGVO zu beachten, sobald Personendaten bspw. Kundendaten von Personen aus der EU bearbeitet werden. Eine Niederlassung in einem EU-Staat ist nicht erforderlich.[2] Die DSGVO schreibt unter gewissen Bedingungen die Benennung eines DPO vor (Art. 37ff. EU-DSGVO). Gleich wie in der Schweiz, darf natürlich ein solcher freiwillig ernannt werden. In Zukunft steht es den Mitgliedländern der EU weiterhin frei, strengere Regelungen zu schaffen. Deutschland wird vorausaussichtlich an seinen strengeren Vorschriften festhalten.

Zwingend muss im Unternehmen ein DPO bestellt werden, wenn zu den Kernaktivitäten des Unternehmens die „umfangreiche regelmässige und systematische Überwachung von Betroffenen“ und/oder sensitive Daten „umfangreich verarbeitet“ werden. Die Einsetzung wird nicht wie bspw. in Deutschland von der Anzahl Mitarbeiter abhängig gemacht. Es wird somit nicht zwischen einem Start-Up und einem Grossunternehmen unterschieden. Dies hat den Vorteil, dass grössere Unternehmen weiterhin auf einen DPO verzichten können. Da es sich um eine umfangreiche Datenbearbeitung handeln muss, welche zusätzlich zur Kernaktivität des Unternehmens gehört, muss weiterhin nicht jeder Datenverarbeiter einen DPO bestellen. Administrative Datenbearbeitungen im Rahmen des Finanz- oder Personalwesens haben keine Bedeutung. Findet eine Datenverarbeitung im Produkteportfolio statt, gilt es die Einsetzung zu prüfen. Ein Industrieunternehmen wird meist nicht darunter fallen aber auch ein Online – Shop der ein Analyse-Tool auf seiner Webseite einsetzt, fällt noch nicht darunter. Der Softwareanbieter eines solchen Analysetools muss dagegen einen DPO ernennen. Bei IT-Unternehmen sind das Geschäftsmodell und die Art der Datenbearbeitung ausschlaggebend. Schweizer IT-Unternehmen welche im EU-Raum tätig sind oder Kunden aus der EU betreuen, werden nicht darum herumkommen, ihre Datenverarbeitungsprozesse genauer zu analysieren und zu prüfen, ob sie in Zukunft einen DPO einsetzen müssen. Hier gilt es zu erwähnen, dass auch für Auftragsverarbeiter (Outsourcing-, Dienstleistungsunternehmen, etc.) dieselben Regeln gelten, selbst wenn sie die Daten nur im Auftrag verarbeiten.

Die Schaffung eines DPO könnte für ein Unternehmen auch ohne Verpflichtung durchaus Sinn machen. Durch die Schaffung einer solchen Position würde die Aufmerksamkeit im Unternehmen für Datenschutzthemen gestärkt und nach Innen und Aussen stünde eine direkte Ansprechperson zur Verfügung. Da die Datenschutz – Compliance durch die EU-DSGVO an Stellenwert gewinnen wird, kann die Ernennung eines DPOs ebenso aus Marketingperspektive Sinn machen.

Organisatorische Einbindung

Der DPO muss unabhängig von Weisungen des Inhabers der Datensammlung bzw. des Unternehmens arbeiten können und es müssen ihm genügend Ressourcen zur Verfügung gestellt werden. In der Praxis heisst dies, dass der DPO nach Möglichkeit nicht in der Linie eingebunden sein soll, oder wenn, dann nur administrativ und dass er auf jeden Fall fachlich unabhängig bleibt. Zudem muss er schnell und unbürokratisch Zugang zu allen datenschutzrelevanten Informationen des Unternehmens haben, insbesondere zu allen Datensammlungen und Datenbearbeitungen (Art. 12 lit. b VDSG). Will man trotzdem eine fachliche Kontrolle des DPO vornehmen, was auf jeden Fall sinnvoll und im Sinne der Führungsverantwortung des Managements auch gesetzlich vorgeschrieben ist, kann dies über externe Audits/Peers erfolgen oder einer Ansiedlung bei der internen Revision. Nicht vereinbar und somit verboten, ist die Übernahme der Funktion des DPOs durch die Geschäftsleitung, den Betriebsinhaber oder den CIO. Die Unabhängigkeit wäre damit nicht mehr gewährleistet. Die Berichterstattung hat jedoch an das oberste Management bzw. die Geschäftsleitung zu erfolgen. Handelt es sich um eine Unternehmensgruppe mit mehreren Niederlassungen in der EU, kann ein gruppenweiter DPO bestimmt werden, sofern dessen leichte Erreichbarkeit für die konzernangehörigen Unternehmen gewährleistet ist.

Bei kleineren Unternehmen wird es sich beim DPO meist um ein Nebenamt handeln, dieses darf natürlich nicht mit der sonstigen Funktion kollidieren. Sowohl das Schweizer wie auch das EU Recht sehen zudem die Möglichkeit vor, dass ein externer Dritter mit der Aufgabe des DPO beauftragt wird. Dies kann gerade für ein KMU eine gute Lösung sein, da im Unternehmen selbst oft das Fachwissen fehlt.

Fachliche Anforderungen

Sowohl das Schweizer wie auch das EU Recht verlangen, dass der DPO ein entsprechendes Fachwissen mitbringt. Was dies genau heisst, ist nicht genauer umschrieben. Da die Speicherung vor allem elektronisch erfolgt, ist neben dem juristischen Wissen ein technisches Grundverständnis unabdingbar. Dem DPO müssen zudem die nötigen Ressourcen gegeben werden, um sich fachlich weiterzubilden und auf dem neusten Stand der Entwicklung zu bleiben.

Ernennung eines Datenschutzvertreters in der EU

Braucht es keinen Datenschutzbeauftragten, ist allenfalls die Bestellung eines Datenschutzvertreters notwendig. Für Unternehmen, die nicht in der Europäischen Union niedergelassen sind, aber auf welche die EU-DSGVO infolge der Ausrichtung ihrer Tätigkeit Anwendung findet, besteht in der Regel eine Pflicht, einen Datenschutzvertreter zu ernennen. Hauptfunktion desselben ist es, den Aufsichtsbehörden eine faktische Zugriffsmöglichkeit auf den Datenverarbeiter innerhalb der Europäischen Union zu ermöglichen. Der Datenschutzvertreter dient als Anlaufstelle für die Aufsichtsbehörden zur Sicherstellung der Einhaltung der Vorschriften der EU-DSGVO.

(Dieser Beitrag ist im Magazin IT business 4/2016 erschienen)

[1] https://iapp.org/news/a/study-gdprs-global-reach-to-require-at-least-75000-dpos-worldwide/

[2] Ausführlich Anselm Filliger in ITbusiness 1/2016

Schreibe einen Kommentar

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: