Warum braucht ein Schweizer Unternehmen einen Datenschutzbeauftragten?

Die DSGVO verlangt von vielen Unternehmen die Ernennung eines Datenschutzbeauftragten (DPO). Im neuen Data Governance-System wird der DPO ein wichtiger Akteur sein und die Bedingungen für seine Ernennung, Position und Aufgaben festlegen. Benötigen die Unternehmen einen DPO? Wenn ja, welche Schritte sind für ihre Ernennung, Position und Aufgaben erforderlich?

Am 24. Januar 2018 hat Isabelle Falque-Pierrotin, Datenschutzbeauftragte der Republik Frankreich, Vorsitzende der CNIL- Französische Datenschutzbehörde, mitgeteilt, dass die Zahl der Datenschutzbeauftragten bei weitem nicht den Bedürfnissen in Frankreich entspricht: “80‘000 Unternehmen und öffentliche Einrichtungen müssen einen DPO ernennen, heute sind es nur 18‘000”.

Im 2018, schätzte die International Association of Privacy Professionals, dass mindestens 75‘000 DPO-Stellen als Reaktion auf die DSGVO weltweit geschaffen werden, sobald sie in Kraft tritt. Im Folgenden sind die DPO-Anforderungen für jeden der 10 wichtigsten europäischen Handelspartner aufgeführt:

Die Schweiz ist bereits mit dem Konzept der DPOs vertraut, mehrere Unternehmen haben bereits eine DPO-Position entwickelt. Dennoch ist diese Rolle für viele Unternehmen sehr neu und erfordert daher entsprechend qualifiziertes Personal. Unternehmen sollten daher ihre momentane Situation so schnell wie möglich anschuauen und prüfen,ob sie in naher Zukunft einen DPO zu ernennen haben.

Wann benötigen Sie einen DPO als Schweizer Unternehmen?

Nach dem geltenden schweizerischen Datenschutzgesetz besteht keine Verpflichtung zur Ernennung eines Datenschutzbeauftragten. Ein für die Datenverarbeitung Verantwortlicher kann jedoch von der Registrierung seiner Dateien befreit werden, wenn er einen Datenschutzbeauftragten benannt hat. Der für die Datenverarbeitung Verantwortliche muss den EDÖB über die Ernennung eines Datenschutzbeauftragten informieren und wird daraufhin in die öffentliche Liste der von der Registrierungspflicht befreiten Unternehmen aufgenommen.

Da es sich bei DSGVO um eine EU-Verordnung handelt, ist leicht zu glauben, dass die Schweiz und die Schweizer Unternehmen nicht betroffen sind, so dass die DSGVO für Unternehmen, die in der Schweiz tätig sind, nicht relevant wäre. Diese Schlussfolgerung ist jedoch falsch.

Beispiele für Situationen, in denen ein Schweizer Unternehmen in den Anwendungsbereich der DSGVO fallen könnte.

Zahlreiche Schweizer Unternehmen, die keine lokale Präsenz oder nur Tochtergesellschaften in der EU haben, fallen auch in den Anwendungsbereich der EU DSGVO-Gesetzgebung. Folgend einige Szenarien:

• Ein Schweizer Unternehmen führt (einen Teil) seiner Verarbeitungstätigkeiten in einem EU-Land durch.
• Schweizer Unternehmen bietet Waren oder Dienstleistungen über einen Online-Shop den EU-Personen an.
• Eine EU-Tochtergesellschaft eines Schweizer Unternehmens verarbeitet personenbezogene Daten seiner EU-Mitarbeiter.
• Schweizer Unternehmen sammelt Daten über das (Online-)Verhalten der EU-Personen für Marketingzwecke.

DSGVO präsentiert neue Datenschutzbestimmungen mit einer größeren geografischen Reichweite. Aber auch wenn sich ein Schweizer Unternehmen nicht mit EU-Datensätzen beschäftigt, verdient die Einhaltung des Datenschutzes Beachtung. Dies gilt umso mehr, als für die nahe Zukunft Änderungen der schweizerischen Datenschutzgesetzgebung geplant sind.

Wer ist der Datenschutzbeauftragte?

Ein Datenschutzbeauftragter (DPO) ist eine Führungsrolle im Sicherheitsbereich des Unternehmens. Die Datenschutzbeauftragten sind für die Überwachung der Datenschutzstrategie und -umsetzung verantwortlich, um die Einhaltung der gesetzlichen Anforderungen sicherzustellen.

• DPOs unterstützen das Unternehmen bei der Überwachung der internen Compliance, informieren und beraten über Datenschutzverpflichtungen und fungieren als Anlaufstelle für die betroffenen Personen und die Aufsichtsbehörde.
• Der DPO muss unabhängig sein, ein Experte für Datenschutz, über ausreichende Ressourcen verfügen und der obersten Führungsebene unterstellt sein.
• Ein DPO kann ein bestehender Mitarbeiter oder ein extern ernannter Mitarbeiter sein. Der DPO, ob obligatorisch oder freiwillig, ist für alle Verarbeitungen bestimmt, die der Kontrolleur oder der Verarbeiter durchführt.
• In einigen Fällen können mehrere Unternehmen einen einzigen DPO zwischen ihnen ernennen.
• DPOs können dem Unternehmen helfen, die Einhaltung der Vorschriften nachzuweisen und sind Teil des verstärkten Fokus auf die Rechenschaftspflicht.
• DPOs fungieren als Vermittler zwischen relevanten Interessensgruppen (z.B. Supervisory-behörden, Betroffene und Geschäftseinheiten innerhalb eines Unternehmens).