01.06.2021

Data Protection Officer: Was ist in der Schweiz zukünftig zu tun?

Mit der Totalrevision des Datenschutzgesetzes (revDSG) wurde nun auch die Rolle eines Datenschutzberaters (häufig auch DPO genannt) in die Schweizer Gesetzgebung aufgenommen. Welche Konsequenzen resultieren daraus für Schweizer Unternehmen? Und inwiefern unterscheiden sich die Rollen des Data Protection Officers (DPO) resp. Datenschutzberaters nach Schweizer und EU-Recht?

Von: Carmen de la Cruz Böhringer   Drucken Teilen  

Carmen de la Cruz Böhringer

RA lic. iur., Notarin, eidg. dipl. Wirtschaftsinformatikerin, spezialisiert in IT-Recht und Partnerin bei LEXcellence AG

 zum Portrait

Data Protection Officer

Der Data Protection Officer (DPO) gemäss revDSG

Art. 9 rev DSG gibt privaten Unternehmen ausdrücklich das Recht, einen Datenschutzberater einzusetzen. Der Datenschutzberater soll innerhalb des Unternehmens Anlaufstelle für Datenschutzfragen sein und gegen aussen auch erste Kontaktstelle für Datenschutzbelange insbesondere seitens der Behörden.

Die Vorteile einer solchen Einsetzung finden sich allem voran im Rahmen Datenschutz-Folgenabschätzung. Damit also beurteilt werden kann, ob ein Unternehmen im Einzelfall von einer Einsetzung eines Datenschutzberaters profitieren würde, ist es unerlässlich, zuerst auf die Bedeutung der Datenschutz-Folgenabschätzung einzugehen.

Eine Datenschutzfolgeabschätzung ist durch den Verantwortlichen (Unternehmen, welches über Zweck und Mittel der Datenbearbeitung entscheidet) immer dann vorzunehmen, wenn die Bearbeitung «ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person» haben könnte (vgl. Art. 20 REVDSG). Das «hohe Risiko» ergibt sich aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung wie z.B. die Nutzung von Microsoft365 insbesondere bei einer grösseren Anzahl Nutzern. Explizit genannt werden in diesem Zusammenhang:

  • Die umfangreiche Bearbeitung besonders schützenswerter Personendaten; damit gemeint sind Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, Daten über die Gesundheit und Intimsphäre, Ethnische Daten, genetische Daten, biometrische Daten, Daten betreffend verwaltungs- oder strafrechtlicher Verfolgung und Daten der Sozialhilfe (vgl. auch Art. 4 lit. C revDSG)
  • Das Profiling (vgl. Art. 4 lit. F revDSG)
  • Die systematische und umfangreiche Überwachung öffentlicher Bereiche

Für Schweizer Unternehmen heisst das, es ist immer dann eine Datenschutz-Folgenabschätzung vorzunehmen, wenn einer der drei oben genannten Faktoren durch die Datenbearbeitung erfasst wird. Im Rahmen dieser Datenschutz-Folgenabschätzung muss das Unternehmen die geplante Bearbeitung beschreiben und die Risiken für die betroffenen Personen bewerten. Ergibt sich daraus, dass durch die Datenbearbeitung für die betroffenen Personen ohne weitere Massnahmen ein «hohes Risiko» entsteht, so hat das verantwortliche Unternehmen vorgängig eine Stellungnahme des eidgenössichen Datenschutzbeauftragten (EDÖB) einzuholen (vgl. auch Art. 23 revDSG). Der EDÖB teilt dem verantwortlichen Unternehmen sodann seine Einwände mit und schlägt allfällige Massnahmen vor.

Auf eine Einschätzung durch den EDÖB kann aber gemäss Art. 21 Abs. 4 revDSG verzichtet werden, wenn das verantwortliche Unternehmen stattdessen einen Datenschutzberater / eine Datenschutzberaterin konsultiert hat. Die Funktion des Datenschutzberaters ist an gewisse Voraussetzungen gebunden (vgl. Art. 9 Abs. 4 revDSG). Allem voran muss es sich um einen unabhängigen Datenschutzberater handeln (keine Weisungsgebundenheit), ausserdem darf der Datenschutzberater keine anderen Tätigkeiten ausüben, die nicht vereinbar sind mit seiner Aufgabe als Datenschutzberater. Weiter zu nennen sind die notwendigen Fachkenntnisse und die Verpflichtung des verantwortlichen Unternehmens die Kontaktdaten des Datenschutzberaters dem Datenbeauftragten des Bundes zu übermitteln.

 

Checkliste Voraussetzungen für die korrekte Ernennung eines Datenschutzberaters in der Schweiz

  • Die Datenschutz-Folgenschätzung ergibt, dass durch die Datenbearbeitung ein hohes Risiko für die betroffene Person entsteht
  • Unabhängiger Datenschutzberater
  • Keine Interessenskonflikte des Datenschutzberaters
  • Datenschutzberater verfügt über die notwendigen Fachkenntnisse
  • Kontaktdaten des Datenschutzberaters sind an Datenschutzbeauftragten des Bundes übermittelt worden

Der Data Protection Officer (DPO) in der DSGVO

Im Gegensatz zum Schweizer Recht kennt die DSGVO der EU die Funktion des Datenschutzbeauftragten. Aus Schweizer Perspektive terminologisch etwas anders – insbesondere verbindlicher - erscheint die Europäische Bezeichnung «Datenschutzbeauftragter». Geregelt sind die Funktionen des Europäischen Datenschutzbeauftragten in Art. 37 ff. DSGVO.

Die Normen der DSGVO sind für Schweizer Unternehmen wichtig und prägend: In Art. 3 Abs. 2 DSGVO ist das Exterritorialitätsprinzips verankert, wonach alle Unternehmen, die Waren oder Dienstleistung in der Union anbieten und dabei Personen- bzw. Kundendaten von Bürgern der Mitgliedsstaaten sammeln unter den Anwendungsbereich der DSGVO fallen. Somit unterliegen Schweizer Unternehmen, die Waren oder Dienstleistungen in die Union verkaufen und in diesem Zusammenhang Kundendaten bearbeiten, der DSGVO. Als Resultat dieses Exterritorialitätsprinzips haben Schweizer Unternehmen bei der Datenbearbeitung auch die Vorschriften über die Europäische Variante des Datenschutzbeauftragten zu beachten.

Ein erster, nicht ganz unbedeutender Unterschied besteht darin, dass die verantwortlichen Unternehmen gemäss Art. 37 Abs. 1 DSGVO unter Umständen verpflichtet sein können, einen Datenschutzbeauftragten zu benennen. Eine solche Verpflichtung besteht, sofern eine der folgenden drei Voraussetzungen erfüllt ist: Die Verarbeitung erfolgt durch eine Behörde (Gerichte stellen eine Ausnahme dar), die Kerntätigkeit des verantwortlichen Unternehmers besteht in der Durchführung von Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs und/oder ihres Zwecks eine umfangreiche regelmässige und systematische Überwachung der betroffenen Person notwendig machen, oder die Kerntätigkeit des verantwortlichen Unternehmens besteht in der umfangreichen Verarbeitung besonderer Datenkategorien gemäss Art. 9 und 10 DSGVO. Im Übrigen steht es Unternehmen frei, auch wenn sie nicht zwingend einen Datenschutzbeauftragten ernennen müssen, einen solchen zu benennen (vgl. Art. 37 Abs. 4).

Die Aufgaben des Datenschutzbeauftragten sind in Art. 39 DSGVO spezifischer beschrieben als im revDSG. Demnach obliegen ihm zumindest folgende Aufgaben:

  • Beratung und Aufklärung des verantwortlichen Unternehmens und der Beschäftigten hinsichtlich ihrer Pflichten gemäss DSGVO und anderen datenschutzrechtlichen Vorschriften
  • Überwachung und Einhaltung der DSGVO und anderen datenschutzrechtlichen Vorschriften (auch Schulung und Sensibilisierung von Mitarbeitern)
  • Auf Anfrage auch Beratung bei der Datenschutz-Folgenabschätzung
  • Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für diese

Die Anforderungen an den Datenschutzbeauftragten sind im Unionsrecht ähnlich wie in der Schweiz. So muss er natürlich auch über das notwendige Fachwissen verfügen (vgl. Art. 37 Abs. 5 DSGVO) und soll nicht weisungsgebunden sein (vgl. Art. 38 Abs. 3 DSGVO). Gleichzeitig erlaubt aber Art. 37 Abs. 6 DSGVO den verantwortlichen Unternehmen einen Arbeitnehmer zum Datenschutzbeauftragten zu ernennen. Wie der Widerspruch zwischen arbeitsrechtlichem Weisungsrecht und Weisungsungebundenheit des Datenschutzbeauftragten zu lösen ist, wird sich zeigen. Vor diesem Hintergrund scheint es also grundsätzlich sinnvoll, eine externe Fachperson als Datenschutzbeauftragten zu ernennen, zumal dann keine Zweifel an ihrer Weisungsungebundenheit entstehen können. Eine andere Lösung besteht darin, mittels Zusatz zum Arbeitsvertrag die Weisungsungebundenheit festzustellen, wobei dann die betreffende Person hierarchisch in der Position sein sollte, sich entsprechend direkt an die Entscheidungsträger (Geschäftsleitung, Verwaltungsrat) wenden zu können.

Auch das Unionsrecht hat in Art. 35 f. DSGVO das Mittel einer Datenschutz-Folgenabschätzung verankert. Auf diese ist an dieser Stelle kurz einzugehen, bevor die Rolle des Europäischen Datenschutzbeauftragten im Rahmen der Datenschutz-Folgenabschätzung genauer begutachtet wird.

Ähnlich dem Schweizer Recht ist auch in der Union eine Datenschutzfolgenabschätzung immer dann notwendig, wenn eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen erfolgt (einschliesslich Profiling), die Rechtswirkungen gegenüber der betroffenen Person entfalten oder sie in ähnlicher Weise erheblich beeinträchtigt werden. Auch im Falle der umfangreichen Verarbeitung von besonderen personenbezogenen Daten gemäss Art. 9 Abs. 1 und Art. 10 DSGVO, sowie im Rahmen der systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche ist in der Union eine Datenschutz-Folgenabschätzung notwendig.

Inhaltlich enthält die Folgenabschätzung, ähnlich der Schweiz, eine Beschreibung der geplanten Verarbeitung mitsamt dem Verarbeitungszweck, eine Bewertung der Notwendigkeit und Verhältnismässigkeit, eine Bewertung der daraus resultierenden Risiken für die betroffenen Personen und eine Skizzierung der zur Abhilfe geplanten Massnahmen.

Ergibt sich aus der Folgenabschätzung, dass durch die Verarbeitung ein hohes Risiko für die betroffenen Personen entsteht, so hat auch in der Union das verantwortliche Unternehmen gemäss Art. 36 Abs. 1 DSGVO die Aufsichtsbehörde zu konsultieren. Hier zeigt sich der wohl grösste Unterschied zum zukünftigen Schweizer System: Während in der Union die Konsultation der Aufsichtsbehörde in den oben beschriebenen Fällen unumgänglich ist und der Einbezug des Datenschutzbeauftragten sich auf die Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO beschränkt, kann in denselben Situationen in der Schweiz darauf verzichtet werden, sofern das verantwortliche Unternehmen einen Datenschutzberater nach Schweizer Recht einsetzt.

Praktische Auswirkungen für Unternehmen in der Schweiz bei Inkrafttreten des revDSG im Bereich des Datenschutzberaters

Viele Schweizer Unternehmen, die Daten ihrer europäischen Kunden oder Geschäftspartner verwenden und bearbeiten unterliegen bereits jetzt den Vorschriften der DSGVO und sind somit je nach Tätigkeit bereits in der derzeitigen Situation verpflichtet gewesen (oder taten dies auf freiwilliger Basis), einen Datenschutzbeauftragen zu benennen. Mit der Totalrevision wird die Funktion eines Datenschutzberaters (ähnlich wie der europäischen Datenschutzbeauftragten) auch im Schweizer Recht verankert. Dies geschieht jedoch auf weitaus sanftere Weise als in der Union. Kein Unternehmen in der Schweiz ist verpflichtet einen solchen einzusetzen – die Einsetzung basiert auf völlig freiwilliger Basis. Anreiz trotz fehlendem Obligatorium einen Datenschutzberater zu benennen, bieten zweifelsfrei die dadurch möglichen administrativen Vereinfachungen bei der Handhabung sensibler Daten: Wer einen Datenschutzberater beizieht, dem bleibt die Konsultation des EDÖB erspart, wenn er diese nicht doch konsultieren will.

Es ist zu beachten, der EDÖB bis zu drei Monate Zeit hat für die Beurteilung der Datenschutz-Folgenabschätzung. Vorbehältlich zusätzlicher Vorgaben gemäss der noch zu publizierenden Verordnung zum Datenschutzgesetz (VDSG) scheint ein Rückgriff auf private Datenschutzberater oder Datenschutzberaterinnen eine sinnvolle Alternative. Einerseits kann mit einem privaten Datenschutzberater / einer privaten Datenschutzberaterin ein Projekt auch unter Zeitdruck schnell Fahrt aufnehmen, anderseits können diese aufgrund ihrer langjährigen Erfahrungen wichtiges branchenspezifisches Know-How beitragen, dass den verantwortlichen Unternehmen zu Gute kommt. Nicht zuletzt kann der Gang zum privaten Datenschutzberater auch günstiger sein, denn durch lange Wartezeiten können Projektkosten schnell explodieren.

Zu regeln bleibt, wie das Verbot der Weisungserteilung (vgl. Art. 9 Abs. 2 lit. A revDSG) an den/die Datenschutzberater/-in mit dem arbeitsrechtlichen Weisungsrecht (Art. 321d OR) vereinbar ist. Ein Zusatz zum Arbeitsvertrag inkl. entsprechender Job-Beschreibung kann eine Lösung sein. Sicherheitshalber scheint es deshalb angebracht besonders sensible Datenfolgenabschätzung regelmässig durch einen / eine externe/n Datenschutzberater / Datenschutzberaterin prüfen zu lassen.

Der Schweizer Gesetzgeber hat also mit der vorgesehenen Rolle des privaten Datenschutzberaters im revDSG, der den Gang zur Behörde ersetzen kann, ein praxisnahes und wirtschaftsfreundliches Rechtsvehikel geschaffen und gleichzeitig die Schweizer Rechtsgrundlagen an die Europäische DSGVO angepasst. Etwas unglücklich scheint die Bezeichnung, die die Funktion auf eine reine Beratungstätigkeit zu reduzieren scheint, was der Durchsetzbarkeit der Anlegen nicht förderlich ist.

Praxistipp: Mit der Rechtsangleichung und der Einführung der Institution des Datenschutzberaters, schafft die Schweiz ein äusserst praxisnahes Rechtsvehikel. Damit KMU in Zukunft bei der Datenschutz-Folgenabschätzung eine zeitnahe, verbindliche und einfache Beurteilung erhalten ohne gleichzeitig in Gefahr zu laufen diese durch «die eigenen Leute» vorgenommen zu haben, empfiehlt sich die Konsultation eines privaten Datenschutzberaters.

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

Data Protection Officer (DPO) nach revidiertem DSG und DSGVO

Datenschutz-Anforderungen für Schweizer Unternehmen nach DSG und DSGVO (GDPR) erfolgreich umsetzen

Nächster Termin: 16. November 2021

mehr Infos

Produkt-Empfehlungen

  • IT-Verträge

    IT-Verträge

    Die wichtigsten IT-Verträge nach Schweizer Recht – von Experten geprüft und laufend aktualisiert.

    ab CHF 198.00

  • Anwendbarkeit der EU DSGVO in der Schweiz

    Anwendbarkeit der EU DSGVO in der Schweiz

    Ein Datenschutzleitfaden für Schweizer Unternehmen.

    Mehr Infos

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Data Protection Officer (DPO) nach revidiertem DSG und DSGVO

    Datenschutz-Anforderungen für Schweizer Unternehmen nach DSG und DSGVO (GDPR) erfolgreich umsetzen

    Nächster Termin: 16. November 2021

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Auskunfts- und Löschungsbegehren sowie Datenschutzverletzung korrekt abwickeln

    Professionelles und rechtssicheres Vorgehen

    Nächster Termin: 06. Oktober 2021

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Datenschutzaudit für Unternehmen

    Planung, Ablauf und Reporting

    Nächster Termin: 07. Dezember 2021

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos