Wann benötigen Unternehmen einen Datenschutzbeauftragten (DSB)? DSGVO Art 30, 37, 38, 39, 83; VStG § 9
Bestellung eines Datenschutzbeauftragten - verpflichtende Bestellung - Kerntätigkeit im Sinne Datenschutz-Grundverordnung (DSGVO) - "Datenschutzkoordinator" wenn keine Bestellpflicht - Aufgaben des Datenschutzbeauftragen - Anforderungen an die Bestellung - Unabhängigkeit und Weisungsfreiheit - Kontaktdaten des Datenschutzbeauftragten - Haftung des Datenschutzbeauftragen - Geldstrafe droht
Die Umsetzung der Datenschutz-Grundverordnung (DSGVO) stellt die datenverarbeitenden Unternehmen vor große Herausforderungen. Sollte es tatsächlich in einem Unternehmen zu einem Datenschutzverstoß kommen, drohen hohe Geldstrafen. Der Datenschutzbeauftragte als sachkundiges Beratungs- und Kontrollorgan kann einen wesentlichen Beitrag im Sinne der DSGVO zur Reduzierung von Unternehmensrisiken leisten.
Bestellung eines Datenschutzbeauftragten
Verantwortliche und Auftragsverarbeiter müssen sicherstellen, dass bei Vorliegen der Gründe für die Bestellung eines Datenschutzbeauftragten eine geeignete Person zur Wahrnehmung der Funktion als Datenschutzbeauftragter im Unternehmen bestimmt wird (Art 37 Abs 1 DSGVO). Wenn keine Gründe für die Bestellung eines Datenschutzbeauftragten vorliegen, dann sollten die Verantwortlichen dies mit einer Begründung dokumentieren.
Eine Bestellung eines Datenschutzbeauftragten ist auch ohne Pflicht möglich und anzuraten, da dieser in der Regel einen wesentlichen Beitrag zur Gewährleistung von Datenschutzkonformität leistet. Für einen Datenschutzbeauftragten auf freiwilliger Basis gelten jedoch dieselben Anforderungen und Regeln gemäß Art 37 bis 39 DSGVO wie bei einer verpflichtenden Bestellung.
Um zu vermeiden alle Verpflichtungen eines Datenschutzbeauftragten erfüllen zu müssen, bestellen viele Unternehmen ohne Bestellpflicht nicht einen formellen "Datenschutzbeauftragten" sondern einen "Datenschutzkoordinator", einen "Datenschutzombudsmann" oder einen "Datenschutzexperten". In diesen Fällen ist das Unternehmen frei den Umfang der Aufgaben dieser Person zu definieren.
Verpflichtende Bestellung
Die Bestellung eines Datenschutzbeauftragten ist gemäß Art 37 Abs 1 DSGVO verpflichtend, wenn:
[1] die Verarbeitung von einer Behörde oder öffentlichen Stelle (Ausnahme: Gerichte im Rahmen justizieller Tätigkeit) erfolgt, wie zum Beispiel Sozialversicherungsträger, öffentliche Universitäten oder Gebietskörperschaften (Bund, Länder, Gemeinden)
[2] die Kerntätigkeit des Verantwortlichen bzw. Auftragsverarbeiters eine umfangreiche, regelmäßige und systematische Überwachung von Betroffenen darstellt, beispielsweise bei Wirtschaftsauskunftsdienste (Bonitätsbewertung), Sicherheitsfirmen (Videoüberwachung), Banken oder Versicherungen (Bonitätsprüfung), Gesundheitseinrichtungen (Monitoring Intensivstation, Telemedizin), App-Anbieter (Benutzer-, Besucher- oder Kunden-Tracking), ...
[3] die Kerntätigkeit des Verantwortlichen bzw. Auftragsverarbeiters eine umfangreiche Verarbeitung besonderer Datenkategorien oder strafrechtlich relevanter Daten ist, wie in Gesundheitseinrichtungen (Patientenakte), Labors (Erhebung Gesundheitsdaten, Leistungsmessungen), weltanschauliche oder religiöse Beratungsstellen (besondere Datenkategorien), Parteien (besondere Datenkategorien), Gewerkschaften (besondere Datenkategorien), gesellschaftspolitisch engagierte NGOs (besondere Datenkategorien), ...
Kerntätigkeit im Sinne der DSGVO
Die Art-29-Datenschutzgruppe definiert die Kerntätigkeit als jene Tätigkeit, die der Verwirklichung der Ziele von Verantwortlichen dient. Deshalb muss die personenbezogene Datenverarbeitung zum Hauptgeschäft des Verantwortlichen bzw. Auftragsverarbeiters gehören.
Was darunter zu verstehen ist, kann am besten anhand von Beispielen aus der Praxis gezeigt werden:
Die Hauptaufgabe von Krankenhäusern ist die Erbringung von Dienstleistungen im Gesundheitsbereich. Die Verarbeitung von personenbezogenen Daten ist für die Behandlung eines Patienten zwingend notwendig. Folglich ist die Verarbeitung personenbezogenen Daten als Teil der Kerntätigkeit von Spitälern zu qualifizieren. Hier ist ein Datenschutzbeauftragter zu bestellen.
Die Kerntätigkeit eines Sicherheitsunternehmens ist der Schutz des Eigentums. Das heißt, das Hauptgeschäft zielt auf die Überwachung des Objekts. Dabei ist die Verarbeitung von personenbezogenen Daten nicht weg zu denken. Daraus folgt, dass auch bei Sicherheitsunternehmen einen Datenschutzbeauftragten zu bestellen ist.
Als weitere Voraussetzung muss es sich beim Unternehmensgegenstand um eine inhaltlich spezifische Tätigkeit handeln, nämlich das Erfordernis einer umfangreichen, regelmäßigen und systematischen Beobachtung von Personen (Art 37 Abs 1 lit b DSGVO) oder die umfangreiche Verarbeitung von Daten (Art 37 Abs 1 lit c DSGVO).
Die Art-29-Datenschutzgruppe erklärt, dass eine regelmäßige Überwachung dann gegeben ist, wenn sie fortlaufend, in bestimmten Zeitabschnitten erfolgt oder wiederkehrend ist. Weiters ist eine systematische Überwachung gegeben, wenn sie nach einem bestimmten, vorgegebenen Plan oder einer Strategie erfolgt.
Umfangreiche Verarbeitung
Der Begriff der "umfangreichen Verarbeitung" bezieht sich vorrangig auf die Komplexität einer Datenverarbeitung. Wird etwa eine Anwesenheitsliste geführt, in der auch die Krankenstandstage enthalten sind, wird das keine "umfangreiche Verarbeitung" im Sinne der DSGVO darstellen, obwohl dieses Datum schon zu den besonderen Datenkategorien zu zählen sein wird.
Wohl aber bei einem Labor, dass detaillierte Daten zu Blutwerten oder anderen biologischen Merkmalen enthält. Wo die Grenze zwischen "einfachen" Datenverarbeitungen und umfangreichen zu ziehen ist, wird wohl erst die Entscheidungspraxis zeigen.
Keine Bestellpflicht
Keine Bestellpflicht besteht hingegen für einzelne Rechtsanwälte, freiberuflich tätige einzelne Angehörige eines Gesundheitsberufs oder Ordinationen mit einem einzigen Arzt, da eine umfangreiche Datenverarbeitung auszuschließen ist.
Unternehmen sind weiters nicht verpflichtet einen Datenschutzbeauftragten zu bestellen, sofern die sensiblen Daten von Arbeitnehmern nur im gesetzlich zwingenden Umfang verarbeiten werden. Als Beispiele sind die Verarbeitung der Krankheitstage von Mitarbeitern, der Grad der Behinderung gemäß Behinderteneinstellungsgesetz etc. denkbar.
Aufgaben des Datenschutzbeauftragen
Ein Datenschutzbeauftragter übernimmt die Beratungs- und Kontrollfunktion im Unternehmen und steht unter anderem dem Verantwortlichen und Auftragsverarbeiter unterstützend zur Seite. Seine wesentliche Aufgabe besteht darin verordnungskonforme Prozesse und Strukturen zu schaffen, damit Unternehmen ihre datenschutzrechtlichen Verpflichtungen gewährleisten können.
Aufgaben des Datenschutzbeauftragten sind in der Verordnung (Art 39 DSGVO) beispielhaft geregelt:
- die Unterrichtung und Beratung hinsichtlich der Datenschutzpflichten des Verantwortlichen oder des Auftragsverarbeiters oder ihre Mitarbeiter, die Verarbeitungen durchführen;
- die Beratung von Betroffenen hinsichtlich der Datenschutzfragen und -rechte;
- die Überwachung der DSGVO und anderer Datenschutzvorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten;
- die Überwachung der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter;
- die Beratung und Überwachung der Datenschutz-Folgeabschätzung bei Datenverarbeitungen mit hohem Risiko für Betroffene, einschließlich Profiling und Verarbeitung besonders geschützter Daten;
- die Zusammenarbeit mit der Datenschutzbehörde;
- die Tätigkeit als erweiterter Ansprechpartner für die Datenschutzbehörde bei Fragen zur Verarbeitung;
Im Ergebnis überträgt die DSGVO dem Datenschutzbeauftragten wichtige Kernaufgaben wie zum Beispiel die Funktion als Kontrollorgan, die Mitarbeiterschulung, die Vorabkontrolle und die Bereitstellung des Verfahrensverzeichnisses.
Für die sachgemäße Erfüllung der Aufgaben sollten notwendige Ressourcen (finanziell, materiell, Zeit) und der Zugang zu den personenbezogenen Daten, einschließlich der Einsicht in die Dokumente und Unterlagen, zur Verfügung gestellt werden (Art 38 Abs 2 DSGVO).
Anforderungen an die Bestellung
Ein Datenschutzbeauftragter sollte die Bestimmungen des Datenschutzrechts kennen und fortgeschrittene IT-Kenntnisse mitbringen (Art 37 Abs 5 DSGVO). Beispielsweise könnte ein/e Rechtsinformatiker/in diese Anforderungen gut erfüllen.
Als Datenschutzbeauftragter kann ein Mitarbeiter des Verantwortlichen oder des Auftragsverarbeiters (interne Datenschutzbeauftragter) oder ein Dritter auf Grundlage eines Dienst- oder Werkvertrages (externer Datenschutzbeauftragter) bestellt werden (Art 37 Abs 6 DSGVO).
Konzerne dürfen einen gemeinsamen Datenschutzbeauftragten bestellen, sofern dieser von jeder Niederlassung leicht erreicht werden kann (Art 37 Abs 2 DSGVO). Die Erreichbarkeit per Telefon und eMail gelten als leichte Erreichbarkeit im Sinne der DSGVO. Es dürfen keine persönlichen und sprachlichen Hindernisse für die Verantwortlichen der einzelnen Konzernunternehmen vorliegen.
Auch für die österreichische Datenschutzbehörde reicht die Erreichbarkeit per Telefon und eMail und als Sprachkenntnis zumindest englisch. Behördenverfahren werden jedoch jedenfalls in deutsch geführt, der Datenschutzbeauftragte muss daher entweder selbst über ausreichende Sprachkenntnisse verfügen oder sicherstellen, dass alle Schriftstücke und Eingaben fristgerecht in deutsch vorliegen. Ergänzende Dokumentationen akzeptiert die österreichische Datenschutzbehörde auch in englisch, jedoch besteht darauf kein Rechtsanspruch. Es kann daher auch bei englischen Schriftstücken erforderlich sein, sie zu übersetzen.
Im Zuge der Ernennung eines Datenschutzbeauftragten sollte mit dem Datenschutzbeauftragten eine gesonderte Vertraulichkeitsvereinbarung getroffen werden (Art 37 Abs 6 DSGVO).
Unabhängigkeit und Weisungsfreiheit
Der Datenschutzbeauftragte erfüllt seine Aufgaben in vollkommener Unabhängigkeit und Weisungsfreiheit (Art 38 Abs 3 DSGVO). Weiters genießt der Datenschutzbeauftragte gemäß DSGVO den Abberufungsschutz sowie ein Benachteiligungsverbot. Der Datenschutzbeauftragte hat direkt der obersten Geschäftsführungsebene (Geschäftsleitung, Vorstand) im Unternehmen zu berichten.
Es gibt in der DSGVO keine formalen Unvereinbarkeitsregelungen, jedoch sollte der Verantwortliche prüfen, welche faktischen Unvereinbarkeiten auftreten können. Dabei ist zu beachten, dass sich zwar alle Mitarbeiter eines Unternehmens rechtskonform verhalten müssen, jedoch in vielen Bereichen der DSGVO noch erhebliche Interpretationsspielräume und rechtliche Unklarheiten bestehen.
Die geringsten Unvereinbarkeiten werden bei externen Datenschutzbeauftragten bestehen, diese haben aber oft den Nachteil, dass sie die interne Abläufe im Unternehmen nicht so gut kennen und bei Vorfällen auf fristgerechte Meldungen aus den Unternehmen angewiesen sind.
Beispiele von faktischen Unvereinbarkeiten:
- DSB ist Systemadministrator: bei eigenen Datenschutzverletzungen besteht die Gefahr, dass ein Systemadministrator Spuren (Logdateien) löscht
- DSB ist Sicherheitsbeauftragter: Aufgaben der Unternehmenssicherheit können im Widerspruch zum möglichst umfassenden Schutz der Privatsphäre von Mitarbeitern (MA) und Kunden stehen
- DSB ist IT-Leiter: DSB-Tätigkeit (minimale Datenverwendung) kann in Widerspruch zu möglichst umfassenden Datenverarbeitungen stehen
- DSB ist Controlling-MA: DSB-Tätigkeit (minimale Datenverwendung) kann in Widerspruch zu möglichst umfassender betrieblicher Transparenz stehen
- DSB ist Compliance-MA: die Durchsetzung unternehmensinterner Vorgaben kann im Widerspruch zur Beachtung aller Datenschutzvorgaben stehen
Kann das Unternehmen sicher stellen, dass derartige faktische Unvereinbarkeiten vermieden werden, steht einer Bestellung aus diesem Personenkreis nichts im Wege. Es muss jedoch immer sicher gestellt werden, dass der Datenschutzbeauftragte eine direkte Berichtsmöglichkeit an die Geschäftsleitung hat.
Kontaktdaten des Datenschutzbeauftragten
Die Kontaktdaten des Datenschutzbeauftragten müssen durch die Verantwortlichen veröffentlicht werden, beispielsweise auf der Unternehmenswebsite. Es ist jedoch nicht erforderlich den Datenschutzbeauftragten namentlich zu nennen.
Auch die Datenschutzbehörde muss über die persönlichen Angaben des Datenschutzbeauftragten unterrichtet werden (Art 37 Abs 7 DSGVO). Nach erfolgter Bestellung eines Datenschutzbeauftragten sind seine persönlichen Daten ins Verfahrensverzeichnis aufzunehmen (Art 30 Abs 1 lit a DSGVO).
Haftung des Datenschutzbeauftragen
Für die Einhaltung der datenschutzrechtlichen Bestimmungen ist ausschließlich der Verantwortliche oder der Auftragsverarbeiter verantwortlich (Art 24 DSGVO). Daher können gegen den Datenschutzbeauftragten keine Geldstrafen verhängt werden.
Der Datenschutzbeauftragte haftet bei Verletzung seiner Pflichten nur nach dem allgemeinen Zivilrecht (externer DSB) bzw. nach den arbeitsrechtlichen Bestimmungen (interner DSB).
Geldstrafe bei fehlenden Datenschutzbeauftragten droht
Wenn die Ernennung eines Datenschutzbeauftragten trotz Vorliegen der gesetzlichen Verpflichtung unterlassen wurde, drohen Geldstrafen von bis zu 10 Mio. Euro bzw. bei Unternehmen von bis zu 2% des letzten weltweiten Jahresumsatzes (Art 83 Abs 4 DSGVO). Die Datenschutzbehörde ist zuständig für die Verhängung von Geldstrafen.
mehr --> Lehrgang ISO-zertifizierter Datenschutzbeauftragter mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf andere --> https://www.ris.bka.gv.at/Bundesrecht/
|