Data Privacy Officer (DPO) ist die heute geläufigste Bezeichnung für die Person, die für die Organisation der Massnahmen zum Schutz von Personendaten in einer Unternehmung verantwortlich ist.
Die deutschsprachige Version der europäischen Datenschutz-Grundverordnung (DGVO) spricht in diesem Zusammenhang vom Datenschutzbeauftragten (DSB).
Das Schweizer Recht sieht den Begriff des Datenschutzverantwortlichen (DSV) vor.
Es handelt sich dabei jeweils um die gleiche Rolle, die ich nachstehend als DPO bezeichnen werde.
Benötigt ein Unternehmen wirklich einen DPO?
Wenn die Frage so formuliert wird, wird unweigerlich eine negative Antwort erwartet. Denn schliesslich sind wir bis jetzt sehr gut ohne einen DPO ausgekommen und die Budgets sind begrenzt. Warum sollten wir ein zusätzliches unproduktives Gehalt brauchen?
Umso mehr, da diese Rolle im Schweizer Recht, sowohl in der aktuellen Fassung als auch in der vorgeschlagenen Revision, nicht stark gefördert wird.
Tatsächlich verpflichtet sich kein Verarbeiter von Personendaten oder dessen Subunternehmer einen DPO zu engagieren für die Verarbeitung privater Daten.
Wer aber freiwillig einen DPO ernennt, kann sich über einen Vorteil freuen:
Er kann sich darauf berufen, nicht den Eidgenössischen Datenschutzbeauftragten konsultieren zu müssen, wenn eine Folgenabschätzung im Zusammenhang mit dem Datenschutz zeigt, dass eine geplante Bearbeitung ein erhöhtes Risiko darstellen würde. [Entwurf der Totalrevision DSG Art. 9 Abs. 2]. Ganz bestimmt stimmen Sie mir aber zu – es gibt bessere Gründe, die einen Unternehmer zur Schaffung einer solchen Stelle motivieren.
Wir wollen im Folgenden untersuchen, inwieweit die europäische DSGVO sich von diesem minimalistischen Ansatz der Schweizer Gesetzgebung unterscheidet.
Auch wenn die Konformitätsanforderung also nicht der stärkste Faktor zu sein scheint, um die Rolle des DPO zu rechtfertigen, so sollten wir uns einmal den praktischen Fall eines Unternehmens mittlerer Grösse ansehen, dessen Kernaktivität Services im Bereich Website-Analyse, Werbungsunterstützung und zielgerichtetes Marketing sind.
Welche Anforderungen im Bereich Datenschutz muss dieses Unternehmen erfüllen, wenn es sich seinen Kunden als glaubwürdiger Akteur in seinem Tätigkeitsbereich präsentieren bzw. ihnen eine Leistung anbieten möchte, die mindestens mit dem Angebot seiner ausländischen Mitbewerber vergleichbar ist?
Welche Verpflichtungen haben Unternehmen im Bereich Datenschutz?
Die 11 Verpflichtungen von Unternehmungen im Bereich Datenschutz
Sowohl im Hinblick auf das Image als auch aus rein praktischen Gründen, muss dieses Unternehmen folgendes vorweisen können:
- Die Führungskräfte und ranghöheren Personen der Organisation sind sich der Auswirkungen des Schutzes von Personendaten bewusst
- Ein Verzeichnis der verschiedenen Kategorien von bearbeiteten Personendaten ist verfügbar, konform und wird regelmässig aktualisiert
- Die Datenschutzbestimmungen und die Vertraulichkeitserklärungen stehen sowohl mit den rechtlichen Anforderungen als auch mit den Prozessen im Einklang, die im Unternehmen angewendet werden
- Die individuellen Rechte natürlicher Personen werden nicht verletzt und können einfach ausgeübt werden
- Die rechtlichen Grundlagen der durchgeführten Bearbeitung wurden identifiziert, verifiziert und dokumentiert
- Wenn die Einwilligung als Rechtsgrundlage genutzt wird, entspricht die Art, diese zu erlangen und zu verwalten, den diesbezüglichen Anforderungen
- 7. Werden Personendaten von schutzbedürftigen Personen (wie z. B. Minderjährigen) bearbeitet, muss die Einwilligung eines Bevollmächtigten vorliegen
- 8. Ein Prozess zur Erkennung, Benachrichtigung und Verwaltung von Sicherheitsverstössen ist eingerichtet und wird regelmässig getestet
- 9. Die Verfahren zum Schutz von Personendaten werden von der Konzeptionsphase an und standardmässig von allen betroffenen Akteuren verstanden und angewendet
- 10. Die Rollen und Verantwortlichkeiten hinsichtlich des Schutzes von Informationen sind klar definiert
- 11. Übermittlungen personenbezogener Daten in andere Länder entsprechen den einschlägigen gesetzlichen Bestimmungen.
Wenn man in diesem Unternehmen der Ansicht ist, all diese Aufgaben erfüllen zu können, ohne dafür eine kompetente Person benennen zu müssen, benötigt man dort tatsächlich keinen DPO - andernfalls könnte es eine gute Idee sein, einen DPO zu bestimmen!
Wann muss man einen DPO benennen?
Im Gegensatz zum Schweizer Recht werden in der DSGVO in Artikel 37 drei Fälle genannt, in denen ein DPO obligatorisch ist:
- Wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird;
- Wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche eine umfangreiche regelmässige und systematische Überwachung von betroffenen Personen erforderlich machen; oder
- Wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.
Einige Anmerkungen zu den oben in Fettdruck gezeigten Bezeichnungen
Was versteht man unter Kerntätigkeit? Schauen wir uns das Beispiel eines Spitals an: Seine Kerntätigkeit ist die Behandlung von Patienten. Es kann jedoch keine Behandlungen durchführen, ohne Krankenakten zu bearbeiten. Daher gehört die Bearbeitung dieser Daten zu den Kerntätigkeiten und erfordert die Benennung eines DPO.
Auftragsverarbeiter: Artikel 37 der DSGVO gilt sowohl für Verantwortliche als auch für Auftragsverarbeiter. Ein konkretes Beispiel für eine solche Verpflichtung eines Auftragsverarbeiters, einen DPO zu benennen, ist der zuvor genannte Website-Dienstleister.
Umfangreich und systematisch: Wenn es nicht möglich ist, hinsichtlich der Menge der verarbeiteten Daten oder der Anzahl der betroffenen Einzelpersonen genaue Zahlen zu nennen, wird empfohlen, das Volumen, das Spektrum, die Dauer oder die Beständigkeit der Verarbeitungsaktivitäten sowie die geografische Reichweite der Verarbeitung zu berücksichtigen. Wenn wir hier das Beispiel des Spitals noch einmal aufgreifen, so zählt die Bearbeitung der Patientendaten zum normalen Ablauf der Tätigkeiten und muss als umfangreich betrachtet werden. Dagegen führt ein Einzelarzt, der alleine praktiziert, keine umfangreiche Bearbeitung durch.
Abgesehen von diesen Verpflichtungen ist es auch möglich und wird sogar empfohlen, einen DPO auf freiwilliger Basis zu benennen. Es ist darauf hinzuweisen, dass in diesem Fall alle in Artikel 37 bis 39 vorgesehenen Bedingungen so gelten, als ob die Benennung obligatorisch gewesen wäre. Dies gilt insbesondere für die Veröffentlichung der Kontaktdaten des DPO innerhalb und ausserhalb des Unternehmens sowie deren Meldung an die Aufsichtsbehörde.
Was macht ein DPO konkret?
Die oben genannten elf Punkte stellen die Zusammenfassung der Aktivitäten dar, deren Ziel die Kontrolle der Einhaltung der DSGVO ist, und genau das ist die Aufgabe des DPO.
Er muss alle diese Aktivitäten nicht zwangsläufig selbst ausführen, doch es obliegt ihm, als Vermittler zwischen den betroffenen Parteien zu agieren.
Dies sind die Aufsichtsbehörden, die betroffenen Personen und die Verantwortlichen der verschiedenen Abteilungen im Unternehmen.
Er ist sozusagen der Dirigent, der die Partitur vor Augen hat und dafür sorgen muss, dass das gesamte Orchester im Gleichklang spielt.
Entgegen einer weit verbreiteten Vorstellung ist der DPO im Fall eines Verstosses gegen die DSGVO nicht persönlich haftbar.
Diese Verantwortung liegt beim für die Bearbeitung Verantwortlichen oder beim Auftragsverarbeiter.
Die Aufgabe des DPO ist es, ihnen behilflich zu sein und sie bezüglich aller Fragen im Zusammenhang mit dem Schutz personenbezogener Daten zu beraten.
Hierzu muss er über folgende Ressourcen verfügen:
Ein der Sensibilität, Komplexität und dem Volumen der verarbeiteten Daten angemessenes Mass an Fachwissen;
- Spezialkenntnisse im juristischen Bereich und zu Praktiken im Bereich Datenschutz (technische und organisatorische Massnahmen);
- Erfahrungen im Geschäftsfeld des für die Bearbeitung Verantwortlichen;
- Ein hohes Mass an Integrität und Ethik;
- Ein ausreichendes Mass an Selbständigkeit sowie die Möglichkeit, seine Funktion in vollständiger Unabhängigkeit auszuüben
Die Forderung zur Vermeidung von Interessenkonflikten ist eng mit der Verpflichtung verbunden, völlig unabhängig zu handeln. Unternehmen, die einen DPO benennen, neigen dazu, diese Rolle einer bereits vorhandenen Funktion hinzufügen zu wollen.
Man muss jedoch darauf achten, dass die bestehende Funktion nicht die Ziele und Mittel einer Bearbeitung personenbezogener Daten bestimmen soll.
Das hat ganz konkret zur Folge, dass die höheren Führungsfunktionen wie Geschäftsführer, Finanz-, Marketing-, HR- oder auch IT-Direktor wegfallen.
Muss der DPO Folgenabschätzungen erstellen?
Im Hinblick auf Folgenabschätzungen wird von einem DPO erwartet, dass er den für die Bearbeitung Verantwortlichen oder den Auftragsverarbeiter dahingehend berät, ob die Durchführung einer Folgenabschätzung ratsam wäre oder nicht.
Er berät zudem zur anzuwendenden Methodik, macht Aussagen zu den einzusetzenden technischen und organisatorischen Massnahmen und beurteilt, ob die Abschätzung korrekt durchgeführt wurde.
In der Praxis jedoch spielt der DPO eine aktivere Rolle, als im Gesetz gefordert. Ohne seine konkrete Beteiligung/ Einbindung würden nur sehr wenige Folgenabschätzungen durchgeführt. Das ist ausserdem eine gute Möglichkeit für ihn, dem Unternehmen einen Mehrwert zu verschaffen.
Dank seiner juristischen und technischen Kenntnisse ist er ein Gesprächspartner, der in der Lage ist, Lösungen zu finden, damit die geplante Bearbeitung unter Einhaltung der Vorgaben erfolgt. So kann er helfen kostspielige Fehler bei der Konzeptionierung zu vermeiden.
In einer idealen Welt folgt der für die Bearbeitung Verantwortliche den Schlussfolgerungen und Empfehlungen des DPO. Ist dies nicht der Fall, achtet der DPO darauf, dass festgehalten wird, aus welchem Grund seine Meinung nicht berücksichtigt wurde.
Welche Aufgaben hat der DPO im Arbeitsalltag?
In einem möglichst frühen Stadium in alle Fragen, die mit dem Datenschutz zusammenhängen, eingebunden zu sein, zählt sicher zu den am schwierigsten zu konkretisierenden Aufgaben.
Um dies zu erreichen, muss der DPO als Ansprechpartner im Unternehmen gesehen werden und Mitglied von Arbeitsgruppen sein, die sich mit den Aktivitäten der Datenbearbeitung beschäftigen.
Wenn dieser Aspekt der Governance nicht im Unternehmen verankert ist oder das Programm für den Schutz von Informationen keinen Platz in der Unternehmenskultur hat, wird es für den DPO schwierig, in Entscheidungen eingebunden zu werden.
Meiner Meinung nach machen die Persönlichkeit des DPO und seine Fähigkeit, komplexe Sachverhalte einfach zu kommunizieren, den Unterschied aus. Einige sind mit der einfachen Erfüllung der rechtlichen Anforderungen, dem strikten Führen von Verzeichnissen, Stellungnahmen zu Folgenabschätzungen und einer gelegentlichen Bearbeitung von Zugriffsanfragen zufrieden. Anderen hingegen gelingt es, die privilegierte Stellung dieser Rolle zu nutzen, um:
- Als Akteur in das Programm zum Schutz von Informationen im weitesten Sinne eingebunden zu sein;
- Eine treibende Kraft um andere Vorgehensweisen, die die Privatsphäre der Kunden und Mitarbeiter im grösstmöglichen Umfang berücksichtigen;
- Ein Berater zu sein, der wegen seiner Fachkenntnisse respektiert und dem aufgrund seiner Erfahrung in der Unternehmenswelt Gehör geschenkt wird.
Muss die Rolle des DPO ausgelagert werden?
Diese Funktion kann extern vergeben werden. Das ist in der DSGVO ausdrücklich vorgesehen.
Dies birgt einige Vorteile, insbesondere für mittelgrosse und kleine Unternehmen. Fragen der Autonomie, der Unabhängigkeit und der Vermeidung von Interessenkonflikten können so einfacher gelöst werden, als dies intern möglich wäre.
Zudem stellt die Wahl eines Profis ein geringeres Risiko dar als die Möglichkeit, diese zusätzliche Aufgabe einer bereits vorhandenen Funktion hinzuzufügen.
Wenn jedoch die Möglichkeit eines externen DPO gewählt wird, ist es wichtig, das Service-Mandat zu formalisieren, indem die Aufgaben und Verantwortlichkeiten der benannten Person genau definiert werden
.