X IT business 4/2016

RECHT

Softwareanbieter eines solchen Analyse-tools muss dagegen einen DPO ernennen. Bei IT-Unternehmen sind das Geschäfts-modell und die Art der Datenbearbeitung ausschlaggebend. Schweizer IT-Unterneh-men, welche im EU-Raum tätig sind oder Kunden aus der EU betreuen, werden nicht darum herumkommen, ihre Daten-verarbeitungsprozesse genauer zu analy-sieren und zu prüfen, ob sie in Zukunft ei-nen DPO einsetzen müssen. Hier gilt es zu erwähnen, dass auch für Auftragsverarbei-ter (Outsourcing-, Dienstleistungsunter-nehmen etc.) dieselben Regeln gelten, selbst wenn sie die Daten nur im Auftrag verarbeiten.Die Schaffung eines DPO könnte für ein Unternehmen auch ohne Verpflichtung durchaus Sinn machen. Durch die Schaf-fung einer solchen Position würde die Auf-merksamkeit im Unternehmen für Daten-schutzthemen gestärkt und nach innen und aussen stünde eine direkte Ansprech-person zur Verfügung. Da die Daten-schutz-Compliance durch die EU-DSGVO an Stellenwert gewinnen wird, kann die Ernennung eines DPOs ebenso aus Mar-ketingperspektive Sinn machen.

2. Organisatorische EinbindungDer DPO muss unabhängig von Weisun-gen des Inhabers der Datensammlung bzw. des Unternehmens arbeiten können und es müssen ihm genügend Ressourcen zur Verfügung gestellt werden. In der Praxis heisst dies, dass der DPO nach Möglich-keit nicht in der Linie eingebunden sein soll, oder wenn, dann nur administrativ und dass er auf jeden Fall fachlich unab-hängig bleibt. Zudem muss er schnell und unbürokratisch Zugang zu allen daten-schutzrelevanten Informationen des Un-

Brauche ich einen DPO in meinem Unternehmen?

Mit der Einführung der EU-Datenschutzgrundverordnung (EU-DSGVO) im Mai 2018 werden auch in der Schweiz viele Unternehmen einen Datenschutzbeauftragten bestimmen müssen.

sie ihre Datensammlungen nicht beim EDÖB melden möchten.Ein Schweizer Unternehmen hat die EU-DSGVO zu beachten, sobald Personen-daten bzw. Kundendaten von Personen aus der EU bearbeitet werden. Eine Niederlas-sung in einem EU-Staat ist nicht erforder-lich. Die DSGVO schreibt unter gewissen Bedingungen die Benennung eines DPO vor (Art. 37ff. EU-DSGVO). Gleich wie in der Schweiz, darf natürlich ein solcher freiwillig ernannt werden. In Zukunft steht es den Mitgliedländern der EU weiterhin frei, strengere Regelungen zu schaffen. Deutschland wird vorausaussichtlich an seinen strengeren Vorschriften festhalten.Zwingend muss im Unternehmen ein DPO bestellt werden, wenn zu den Kern-aktivitäten des Unternehmens die «um-fangreiche regelmässige und systematische Überwachung von Betroffenen» und/oder sensitive Daten «umfangreich verarbeitet» werden. Die Einsetzung wird nicht wie bspw. in Deutschland von der Anzahl Mit-arbeiter abhängig gemacht. Es wird somit nicht zwischen einem Start-up und einem Grossunternehmen unterschieden. Dies hat den Vorteil, dass grössere Unterneh-men weiterhin auf einen DPO verzichten können. Da es sich um eine umfangreiche Datenbearbeitung handeln muss, welche zusätzlich zur Kernaktivität des Unterneh-mens gehört, muss weiterhin nicht jeder Datenverarbeiter einen DPO bestellen. Administrative Datenbearbeitungen im Rahmen des Finanz- oder Personalwesens haben keine Bedeutung. Findet eine Da-tenverarbeitung im Produkteportfolio statt, gilt es, die Einsetzung zu prüfen. Ein Industrieunternehmen wird meist nicht darunter fallen, aber auch ein Online-Shop, der ein Analysetool auf seiner Webseite einsetzt, fällt noch nicht darunter. Der

I n der Schweiz spricht man jeweils von einem betrieblichen Datenschutzver-

antwortlichen, in der EU von einem be-trieblichen Datenschutzbeauftragten und international vom Data Protection Officer (DPO).Grundsätzlich erfüllen aber alle denselben Zweck, sie stellen die Einhaltung und Um-setzung des Datenschutzes innerhalb eines Unternehmens sicher. Ausserdem sind sie Anlaufstelle für Fragen zum Datenschutz, dies sowohl intern als auch extern. Insbe-sondere stellen sie auch die Kontaktperson für die Aufsichtsbehörden dar. Gemäss ei-ner Studie der International Association of Privacy Professionals (IAPP) werden weltweit 75 000 DPOs benötigt. Für die Schweiz schätzt die Studie einen Bedarf von 3682 DPOs. Da die Schweiz das Kon-zept des DPOs bereits kennt, haben ver-schiedene Unternehmen bereits einen DPO bestimmt. Trotzdem werden viele Unternehmen die Stelle erst jetzt neu schaffen und benötigen dafür entspre-chend qualifiziertes Personal. Unterneh-men sollten daher möglichst bald abklären, ob sie in Zukunft einen DPO bestimmen müssen.

1. Wann benötige ich als Unternehmen einen DPO?In der Schweiz hat ein Unternehmen die Möglichkeit, einen Mitarbeiter oder einen Dritten als DPO zu bezeichnen (Art. 12a VDSG). Dieser ist sodann für die Daten-sammlungen und alle Datenschutzthemen verantwortlich. Als Datensammlung gilt jeder Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betrof-fenen Personen erschliessbar sind (Art. 3 lit. g DSG). Zwingend ist die Einsetzung in der Schweiz nur für Unternehmen, wenn

Yves Gogniat

XIT business 4/2016

RECHT

ternehmens haben, insbesondere zu allen Datensammlungen und Datenbearbeitun-gen (Art. 12 lit. b VDSG). Will man trotz-dem eine fachliche Kontrolle des DPOs vornehmen, was auf jeden Fall sinnvoll und im Sinne der Führungsverantwortung des Managements auch gesetzlich vorge-schrieben ist, kann dies über externe Au-dits/Peers erfolgen oder einer Ansiedlung bei der internen Revision. Nicht vereinbar und somit verboten ist die Übernahme der Funktion des DPOs durch die Ge-schäftsleitung, den Betriebsinhaber oder den CIO. Die Unabhängigkeit wäre damit nicht mehr gewährleistet. Die Berichter-stattung hat jedoch an das oberste Manage-ment bzw. die Geschäftsleitung zu erfolgen. Handelt es sich um eine Unternehmens-gruppe mit mehreren Niederlassungen in der EU, kann ein gruppenweiter DPO be-stimmt werden, sofern dessen leichte Er-reichbarkeit für die konzernangehörigen Unternehmen gewährleistet ist.

Bei kleineren Unternehmen wird es sich beim DPO meist um ein Nebenamt han-deln, dieses darf natürlich nicht mit der sonstigen Funktion kollidieren. Sowohl das Schweizer wie auch das EU-Recht se-hen zudem die Möglichkeit vor, dass ein externer Dritter mit der Aufgabe des DPOs beauftragt wird. Dies kann gerade für ein KMU eine gute Lösung sein, da im Unter-nehmen selbst oft das Fachwissen fehlt.

3. Fachliche AnforderungenSowohl das Schweizer wie auch das EU-Recht verlangen, dass der DPO ein ent-sprechendes Fachwissen mitbringt. Was dies genau heisst, ist nicht genauer um-schrieben. Da die Speicherung vor allem elektronisch erfolgt, ist neben dem juristi-schen Wissen ein technisches Grundver-ständnis unabdingbar. Dem DPO müssen zudem die nötigen Ressourcen gegeben werden, um sich fachlich weiterzubilden

und auf dem neuesten Stand der Entwick-lung zu bleiben.

4. Ernennung eines Daten-schutzvertreters in der EUBraucht es keinen Datenschutzbeauftrag-ten, ist allenfalls die Bestellung eines Da-tenschutzvertreters notwendig. Für Unter-nehmen, die nicht in der Europäischen Union niedergelassen sind, aber auf wel-che die EU-DSGVO infolge der Ausrich-tung ihrer Tätigkeit Anwendung findet, besteht in der Regel eine Pflicht, einen Da-tenschutzvertreter zu ernennen. Haupt-funktion desselben ist es, den Aufsichtsbe-hörden eine faktische Zugriffsmöglichkeit auf den Datenverarbeiter innerhalb der Europäischen Union zu ermöglichen. Der Datenschutzvertreter dient als Anlaufstelle für die Aufsichtsbehörden zur Sicherstel-lung der Einhaltung der Vorschriften der EU-DSGVO. ■