Datenschutzberaterin oder Datenschutzberater: Ernennung, Voraussetzungen und Aufgaben

Olivia Satchel
Volljuristin

Mit dem neuen Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG) bekommen auch Unternehmen die Möglichkeit, eine Datenschutzberaterin oder einen Datenschutzberater zu ernennen. Was hat es mit dieser Rolle auf sich? Welche Aufgaben müssen Datenschutzberatende erfüllen? Und welche Vorteile haben Unternehmen davon, diese Aufgabe an Mitarbeitende oder Externe zu vergeben? Ein praktischer Überblick!

Ernennung einer Datenschutzberaterin oder eines Datenschutzberaters

Bundesorgane sind nach Art. 10 Abs. 4 DSG im Vermessen mit Art. 25 Verordnung über den Datenschutz (Datenschutzverordnung, DSV) verpflichtet, eine Datenschutzberaterin oder einen Datenschutzberater zu ernennen. Bundesorgane sind definiert als «eine Behörde oder Dienststelle des Bundes oder eine Person, die mit öffentlichen Aufgaben des Bundes betraut ist», also z.B. Verwaltungen.

Private Verantwortliche, also etwa Unternehmen können gemäss Art. 10 DSG freiwillig einen eine Datenschutzberaterin oder Datenschutzberater ernennen. Daraus ergeben sich einige wichtige Vorteile.

Vorteile einer Datenschutzberaterin oder eines Datenschutzberaters

Unternehmen sind zwar nicht verpflichtet, Datenschutzberatende zu ernennen, eine Ernennung hat jedoch erhebliche Vorteile für ein Unternehmen. Erfüllen Datenschutzberatende nämlich die Voraussetzungen gemäss Art. 10 Abs. 3 DSG (siehe unten), können Unternehmen einfacher und schneller neue Tools einführen, Prozesse aufsetzen und bei Projekten agiler handeln.

Bei der Einführung neuer Datenverarbeitungen ist laut Datenschutzgesetz auch in Unternehmen eine Datenschutz-Folgenabschätzung (DSFA) notwendig (früher betraf diese Pflicht nur Bundesorgane). Kommt diese DSFA zu dem Ergebnis, dass die geplante Bearbeitung trotz der vom Unternehmen vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen zur Folge hat, ist eine Konsultation des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) nach Art. 23 DSG obligatorisch.

Sind nun entsprechend qualifizierte Datenschutzberatende ernannt, können diese anstelle des EDÖB konsultiert werden (Ausnahmeregelung in Art. 23 Abs. 4; Bundesorganen steht diese Ausnahmeregelung nicht zu). Unternehmen gewinnen dadurch einen enormen Zeit- und Wettbewerbsvorteil.

Darüber hinaus können entsprechend qualifizierte Datenschutzberatende dem Unternehmen bei der tatsächlichen Notwendigkeit einer Datenschutz-Folgeabschätzung, bei der Durchführung einer solchen und bei der Ermittlung und Umsetzung etwaiger sich daraus ergebender Massnahmen helfen und beraten.

Für die allermeisten Unternehmen empfiehlt sich somit die Ernennung von juristisch und technisch versierten Experten als Datenschutzberatende.

Welche Voraussetzungen muss einer Datenschutzberaterin oder ein Datenschutzberater erfüllen?

Datenschutzberatende für Unternehmen

Datenschutzberatende, die es Unternehmen erlauben, die Ausnahme von der Konsultationspflicht in Anspruch zu nehmen, müssen die folgenden Voraussetzungen erfüllen:

  1. Die Person übt ihre Funktion gegenüber dem Unternehmen fachlich unabhängig und nicht weisungsgebunden aus.
  2. Die Person übt keine Tätigkeiten aus, die mit ihren Aufgaben als Datenschutzberaterin oder Datenschutzberater unvereinbar sind. Zum Beispiel sollten Mitglieder der Geschäftsführung nicht gleichzeitig Datenschutzberatende sein. Der EDÖB rät dazu, die Datenschutzberatung getrennt von übrigen Aufgaben des Unternehmens wahrzunehmen.
  3. Die Person verfügt über die erforderlichen Fachkenntnisse. Es gibt zwar noch keine offizielle Orientierung dazu, welche Qualifikationen genau von Datenschutzberatenden verlangt werden, um diese Voraussetzung nach dem DSG zu erfüllen. Man kann sich aber an dem orientieren, was der EDÖB für so genannte Datenschutzverantwortliche empfohlen hatte, die nach dem bisherigen Datenschutzgesetz bezeichnet werden konnten, ähnliche Aufgaben wie der Datenschutzberater hatten und ebenfalls «die erforderliche Fachkenntnis» besitzen mussten.
    • Der EDÖB empfahl, dass solche Datenschutzverantwortliche die wesentlichen Grundzüge des Datenschutzgesetzes kennen und anwenden können. Im Idealfall verfügt die Person bereits über juristische Kenntnisse, wenn nicht, sollte sie eine entsprechende Schulung erhalten, damit sie erkennen kann, wann Datenbearbeitungen die Persönlichkeit von Betroffenen beeinträchtigen können. Als Mindestdauer wurde eine Schulung von sechs Monaten angegeben.
    • Darüber hinaus empfahl der EDÖB, dass die Person über Kenntnisse in den technischen Aspekten des Datenschutzes verfügen sollte, die im Verhältnis zu der von dem betreffenden Unternehmen durchgeführten Bearbeitung stehen. Als Beispiel wurde eine IT-Firma genannt – hier müssten Datenschutzverantwortliche sowohl über herausragende technische Kenntnisse als auch über Kenntnisse der Datenschutzgesetze verfügen.
  4. Darüber hinaus sind Unternehmen verpflichtet, die Kontaktdaten der Datenschutzberaterin oder des Datenschutzberaters zu veröffentlichen und diese dem EDÖB mitzuteilen. Man kann sich hier an den Anforderungen für Datenschutzberatende von Bundesorganen orientieren, deren Kontaktdaten im Internet veröffentlicht werden müssen. Empfehlenswert ist es zudem, die Kontaktdaten von Datenschutzberatenden intern, z.B. per Rundmail bekanntzugeben.

Datenschutzberatende von Bundesorganen

Während Datenschutzberatende für private Unternehmen die oben genannten Voraussetzungen nur erfüllen müssen, wenn das Unternehmen von der Ausnahmeregelung zur DSFA Gebrauch machen möchte, müssen Datenschutzberatende für Bundesorgane die Voraussetzungen immer erfüllen. Allerdings gilt die zweite Voraussetzung, dass die Datenschutzberaterin oder der Datenschutzberater keine Tätigkeiten ausübt, welche mit seinen Aufgaben unvereinbar sind, nicht für Datenschutzberatende der Bundesorgane.

Aufgaben einer Datenschutzberaterin oder eines Datenschutzberaters

Datenschutzberatende bei privaten Unternehmen

Die Aufgaben von Datenschutzberatenden werden in Art. 10 Abs. 2 DSG aufgelistet. Die Person

  • agiert als Anlaufstelle für betroffenen Personen und für Behörden, die in der Schweiz für den Datenschutz zuständig sind,
  • berät die Geschäftsführung allgemein in Fragen des Datenschutzes,
  • schult die Mitarbeiter und
  • wirkt mit bei der Anwendung der Datenschutzvorschriften im Unternehmen.

Sofern Datenschutzberatende die oben aufgeführten Voraussetzungen erfüllen, können sie auch zu Datenschutz-Folgenabschätzungen konsultiert werden.

Datenschutzberatende bei Bundesorganen

Datenschutzberatende bei Bundesorganen haben folgende Aufgaben wahrzunehmen:

  • Die Person wirkt bei der Anwendung der Datenschutzvorschriften mit, indem sie insbesondere:
    • die Bearbeitung von Personendaten prüft und Korrekturmassnahmen empfiehlt, wenn eine Verletzung der Datenschutzvorschriften festgestellt wird,
    • das Bundesorgan bei der Erstellung der Datenschutz-Folgenabschätzung berät und deren Ausführung überprüft.
  • Die Person dient als Anlaufstelle für die betroffenen Personen.
  • Die Person schult und berät die Mitarbeitenden des Bundesorgans in Fragen des Datenschutzes.
  • Die Person dient dem EDÖB als Anlaufstelle für Fragen im Zusammenhang mit der Bearbeitung von Personendaten durch das betreffende Bundesorgan.

Stellung einer Datenschutzberaterin oder eines Datenschutzberaters

Im Februar 2021 stellte der EDÖB klar, dass der Datenschutzberatende keine Angestellten des Unternehmens sein müssen, sondern auch eine externe Partei sein kann. Der EDÖB empfiehlt jedoch (unabhängig davon, ob Datenschutzberatende intern oder extern sind), die Datenschutzberatung nicht mit der «der übrigen Rechtsberatung und -vertretung zu vermischen».

Unternehmen sollten also die Funktion von Datenschutzberatenden nicht an eine ggfs. bereits extern bestellte Anwaltskanzlei auslagern oder in einer bestehenden internen Rechtsabteilung ansiedeln. Stattdessen ist empfehlenswert, eine externe Partei zu beauftragen, die sich speziell mit dem Datenschutz befasst, unabhängig von der allgemeinen Rechtsberatung, welche ein Unternehmen ggf. bereits in Anspruch nimmt.

Vorteile einer Datenschutzberaterin oder eines externen Datenschutzberaters

Die komplexen Aufgaben von Datenschutzberatenden können von Mitarbeitenden eines Unternehmens oder eines Bundesorgans übernommen werden. Dafür müssen diese Beschäftigten jedoch von ihrer eigentlichen Tätigkeit freigestellt und ausführlich geschult werden, um die oben genannten Voraussetzungen zu erfüllen. Diese Anforderungen an die Mitarbeitenden und die anfallenden Kosten dafür sollten Sie nicht unterschätzen.

Im Gegensatz dazu liegen die Vorteile von externen Datenschutzberatenden für Unternehmen und Bundesorgane auf der Hand. Denn ein spezialisierter Dienstleister verfügt nicht nur über die erforderlichen Fachkenntnisse, Erfahrungen und Qualifikationen, sondern auch über die erforderliche Unabhängigkeit.