-
- Art. 11 OR
- Art. 12 OR
- Art. 50 OR
- Art. 51 OR
- Art. 143 OR
- Art. 144 OR
- Art. 145 OR
- Art. 146 OR
- Art. 147 OR
- Art. 148 OR
- Art. 149 OR
- Art. 150 OR
- Art. 701 OR
- Art. 715 OR
- Art. 715a OR
- Art. 734f OR
- Art. 785 OR
- Art. 786 OR
- Art. 787 OR
- Art. 788 OR
- Art. 808c OR
- Übergangsbestimmungen zur Aktienrechtsrevision vom 19. Juni 2020
-
- Art. 2 BPR
- Art. 3 BPR
- Art. 4 BPR
- Art. 6 BPR
- Art. 10 BPR
- Art. 10a BPR
- Art. 11 BPR
- Art. 12 BPR
- Art. 13 BPR
- Art. 14 BPR
- Art. 15 BPR
- Art. 16 BPR
- Art. 17 BPR
- Art. 19 BPR
- Art. 20 BPR
- Art. 21 BPR
- Art. 22 BPR
- Art. 23 BPR
- Art. 24 BPR
- Art. 25 BPR
- Art. 26 BPR
- Art. 27 BPR
- Art. 29 BPR
- Art. 30 BPR
- Art. 31 BPR
- Art. 32 BPR
- Art. 32a BPR
- Art. 33 BPR
- Art. 34 BPR
- Art. 35 BPR
- Art. 36 BPR
- Art. 37 BPR
- Art. 38 BPR
- Art. 39 BPR
- Art. 40 BPR
- Art. 41 BPR
- Art. 42 BPR
- Art. 43 BPR
- Art. 44 BPR
- Art. 45 BPR
- Art. 46 BPR
- Art. 47 BPR
- Art. 48 BPR
- Art. 49 BPR
- Art. 50 BPR
- Art. 51 BPR
- Art. 52 BPR
- Art. 53 BPR
- Art. 54 BPR
- Art. 55 BPR
- Art. 56 BPR
- Art. 57 BPR
- Art. 58 BPR
- Art. 59a BPR
- Art. 59b BPR
- Art. 59c BPR
- Art. 62 BPR
- Art. 63 BPR
- Art. 67 BPR
- Art. 67a BPR
- Art. 67b BPR
- Art. 75 BPR
- Art. 75a BPR
- Art. 76 BPR
- Art. 76a BPR
- Art. 90 BPR
-
- Vorb. zu Art. 1 DSG
- Art. 1 DSG
- Art. 2 DSG
- Art. 3 DSG
- Art. 5 lit. f und g DSG
- Art. 6 Abs. 6 und 7 DSG
- Art. 7 DSG
- Art. 10 DSG
- Art. 11 DSG
- Art. 12 DSG
- Art. 14 DSG
- Art. 15 DSG
- Art. 19 DSG
- Art. 20 DSG
- Art. 22 DSG
- Art. 23 DSG
- Art. 25 DSG
- Art. 26 DSG
- Art. 27 DSG
- Art. 31 Abs. 2 lit. e DSG
- Art. 33 DSG
- Art. 34 DSG
- Art. 35 DSG
- Art. 38 DSG
- Art. 39 DSG
- Art. 40 DSG
- Art. 41 DSG
- Art. 42 DSG
- Art. 43 DSG
- Art. 44 DSG
- Art. 44a DSG
- Art. 45 DSG
- Art. 46 DSG
- Art. 47 DSG
- Art. 47a DSG
- Art. 48 DSG
- Art. 49 DSG
- Art. 50 DSG
- Art. 51 DSG
- Art. 54 DSG
- Art. 57 DSG
- Art. 58 DSG
- Art. 60 DSG
- Art. 61 DSG
- Art. 62 DSG
- Art. 63 DSG
- Art. 64 DSG
- Art. 65 DSG
- Art. 66 DSG
- Art. 67 DSG
- Art. 69 DSG
- Art. 72 DSG
- Art. 72a DSG
-
- Art. 2 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 3 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 4 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 5 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 6 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 7 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 8 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 9 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 11 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 12 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 25 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 29 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 32 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 33 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 34 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
BUNDESVERFASSUNG
OBLIGATIONENRECHT
BUNDESGESETZ ÜBER DAS INTERNATIONALE PRIVATRECHT
LUGANO-ÜBEREINKOMMEN
STRAFPROZESSORDNUNG
ZIVILPROZESSORDNUNG
BUNDESGESETZ ÜBER DIE POLITISCHEN RECHTE
ZIVILGESETZBUCH
BUNDESGESETZ ÜBER KARTELLE UND ANDERE WETTBEWERBSBESCHRÄNKUNGEN
BUNDESGESETZ ÜBER INTERNATIONALE RECHTSHILFE IN STRAFSACHEN
DATENSCHUTZGESETZ
BUNDESGESETZ ÜBER SCHULDBETREIBUNG UND KONKURS
SCHWEIZERISCHES STRAFGESETZBUCH
CYBERCRIME CONVENTION
HANDELSREGISTERVERORDNUNG
- In Kürze
- I. Allgemeines
- II. Datenschutzberaterin und -berater des privaten Verantwortlichen
- III. Datenschutzberaterin oder -berater von Bundesorganen (Art. 10 Abs. 4 DSG)
- Literaturverzeichnis
- Materialienverzeichnis
In Kürze
Art. 10 DSG regelt die Ernennung und die Aufgaben der Datenschutzberaterin bzw. des Datenschutzberaters sowie die Voraussetzungen für die Nutzung der Ausnahmeregelung nach Art. 23 Abs. 4 DSG. Die Institution der Datenschutzberaterin bzw. des Datenschutzberaters ermöglicht den privaten Unternehmen, sich selbst zu regulieren. Die Ernennung einer Datenschutzberaterin oder eines Datenschutzberaters ist für den privaten Verantwortlichen freiwillig, allerdings kann er im Falle einer Benennung von der Ausnahmeregelung profitieren, wonach bei einer Datenschutz-Folgenabschätzung (DSFA) unter bestimmten Voraussetzungen auf die Konsultation des EDÖB verzichtet werden kann.
I. Allgemeines
A. Einleitung
1 Art. 10 DSG regelt die Ernennung und die Aufgaben der Datenschutzberaterin oder des Datenschutzberaters sowie die Voraussetzungen für die Nutzung der Ausnahmeregelung nach Art. 23 Abs. 4 DSG. Art. 23 DSV konkretisiert die Anforderungen an einen privaten Verantwortlichen, der eine Datenschutzberaterin oder einen Datenschutzberater einsetzt. Die Institution der Datenschutzberaterin bzw. des Datenschutzberaters ermöglicht den privaten Unternehmen, sich ferner selbst zu regulieren bzw. eine Person einzusetzen, die den Datenschutz im Unternehmen steuert.
2 Mit der Einführung der neuen Bestimmung zur Datenschutzberaterin bzw. zum Datenschutzberater in Art. 10 DSG erfährt die – unter bestimmten Voraussetzungen obligatorische – Konsultation des EDÖB im Rahmen einer DSFA nunmehr eine Erleichterung. So muss ein Datenbearbeitungsvorhaben von privaten Verantwortlichen, das trotz erfolgter DSFA noch ein «hohes Risiko» aufweist, dem EDÖB nicht mehr vorgelegt werden, wenn die Datenschutzberaterin bzw. der Datenschutzberater bereits konsultiert worden ist (Art. 23 Abs. 4 DSG). Ein Unternehmen, welches also eine Datenschutzberaterin oder einen Datenschutzberater ernennt hat, darf damit einzig auf die interne Datenschutzberatung abstellen, ohne darüber hinaus den EDÖB konsultieren zu müssen.
3 Die Ernennung einer Datenschutzberaterin oder eines Datenschutzberaters ist für den privaten Verantwortlichen freiwillig. Unter dem bisherigen Recht war es so, dass die Unternehmen durch die Ernennung eines (in seiner Ausgestaltung vergleichbaren) „Datenschutzverantwortlichen“ nicht mehr verpflichtet waren, dem EDÖB ihre ansonsten registrierpflichtigen Datensammlungen zu melden.
4 Während die Benennung einer Datenschutzberaterin oder eines Datenschutzberaters für den privaten Verantwortlichen freiwillig ist, ist sie für Bundesorgane Pflicht (Art. 10 Abs. 4 DSG i. V. m. Art. 25 ff. DSV). Der Bundesrat regelt in Art. 25 DSV die Ernennung, in Art. 26 DSV die Anforderungen und Aufgaben der Datenschutzberaterin bzw. des Datenschutzberaters der Bundesorgane. Art. 27 DSV bestimmt die Pflichten der Bundesorgane gegenüber der Datenschutzberaterin bzw. dem Datenschutzberater und Art. 28 DSV definiert die Datenschutzberaterin bzw. den Datenschutzberater als Anlaufstelle gegenüber dem EDÖB.
B. Rechtsvergleichender Hinweis
1. Pflicht zur Benennung eines Datenschutzbeauftragten nach DSGVO
5 Die Europäische Union hat mit Inkrafttreten der DSGVO in bestimmten Fälle die Pflicht zur Ernennung eines sogenannten Datenschutzbeauftragten eingeführt. Art. 37 Abs. 1 DSGVO nennt drei Fallgruppen, in denen ein Datenschutzbeauftragter benannt werden muss.
6 Zunächst besteht gemäss Art. 37 Abs. 1 lit. a DSGVO diese Pflicht für Behörden und öffentliche Stellen, mit Ausnahme von Gerichten, sofern sie im Rahmen ihrer justiziellen Tätigkeit handeln. Hierzu zählen beispielsweise Baubehörden, Wasser- und Energieversorger oder Verkehrsbetriebe.
7 Weiter schreibt Art. 37 Abs. 1 DSGVO in lit. b eine Benennungspflicht vor, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen liegt, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmässige und systematische Überwachung von Personen erfordern. In Erwägungsgrund 97 zur DSGVO wird erläutert, dass sich die Kerntätigkeit eines Verantwortlichen auf „seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit“ bezieht. Die Artikel-29-Datenschutzgruppe der Europäischen Kommission hatte zu diesem Thema mit den WP 243 Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“) veröffentlicht.
8 Schliesslich besteht nach Art. 37 Abs. 1 lit. c DSGVO eine Pflicht zur Benennung eines Datenschutzbeauftragten in Fällen, in denen die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten gemäss Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäss Art. 10 DSGVO besteht. Ob eine Verarbeitung umfangreich im Sinne dieser Bestimmung ist, ist im Einzelfall zu klären, etwa unter Berücksichtigung der Menge der verarbeiteten Daten oder der Zahl der betroffenen Personen. Beispiele sind die Verarbeitung von Patientendaten im gewöhnlichen Geschäftsbetrieb eines Krankenhauses oder die Verarbeitung von Kundendaten im gewöhnlichen Geschäftsbetrieb eines Versicherungsunternehmens.
2. Pflicht zur Benennung eines Datenschutzbeauftragten nach länderspezifischen Vorschriften
9 Länderspezifische Vorschriften können weitergehende Bestimmungen vorsehen, unter welchen ein Datenschutzbeauftragter zu benennen ist. So sieht etwa das deutsche Bundesdatenschutzgesetz (BDSG)
C. Begrifflichkeit
10 Das frühere DSG verwendete auf Deutsch den Begriff des „Datenschutzverantwortlichen“ und auf Italienisch den des „responsabile per la protezione dei dati“, während es in der französischen Version „conseiller à la protection des données“, also „Datenschutzberater“, heisst (Art. 11a Abs. 5 lit. e aDSG). Damit es nicht zu Verwechslungen mit dem „Verantwortlichen“ nach Art. 5 lit. i DSG bzw. mit dem „responsabile“ kommt, wurde mit der Revision des DSG auf Deutsch der Begriff „Datenschutzberaterin und Datenschutzberater“ bzw. auf Italienisch „consulente per la protezione dei dati“ eingeführt. Dadurch ist die Terminologie von Art. 10 DSG in allen drei Sprachen vereinheitlicht worden.
11 Gleichzeitig wurde damit auch klargestellt, dass die Verantwortung für die datenschutzkonforme Bearbeitung von Personendaten nicht bei der Datenschutzberaterin bzw. dem Datenschutzberater liegt, sondern beim verantwortlichen Unternehmen, dem „Verantwortlichen“.
II. Datenschutzberaterin und -berater des privaten Verantwortlichen
A. Ernennung der Datenschutzberaterin oder des Datenschutzberaters
(Art. 10 Abs. 1 DSG)
1. Freiwilligkeit der Ernennung einer Datenschutzberaterin bzw. eines Datenschutzberaters
12 Art. 10 Abs. 1 DSG besagt, dass die Benennung einer Datenschutzberaterin oder eines -beraters für private Verantwortliche freiwillig ist. Nach dem DSG bleibt es damit dem privaten Verantwortlichen überlassen, ob er eine Datenschutzberaterin oder einen Datenschutzberater ernennt. Allerdings gilt, dass ein Unternehmen, welches eine Datenschutzberaterin bzw. einen Datenschutzberater nach Art. 10 Abs. 3 DSG bestimmt hat, nach Durchführung einer DSFA auch bei fortbestehend hohem Risiko einzig auf die interne Datenschutzberatung abstellen darf, ohne darüber hinaus den EDÖB konsultieren zu müssen (Art. 23. Abs. 4 DSG).
13 Unternehmen, welche international tätig sind, müssen allerdings die Vorgaben der DSGVO einhalten und sind daher oftmals verpflichtet, einen Datenschutzbeauftragten nach Art. 37 DSGVO zu benennen.
14 Ferner liegt es im Interesse jedes Unternehmen, innerhalb seiner Organisation einen effizienten und wirksamen Datenschutz im Sinne einer angemessenen Compliance zu gewährleisten. Es empfiehlt sich deshalb oftmals zumindest intern eine Datenschutzstelle zu benennen und sie mit Aufgaben zum Datenschutz zu betrauen. Diese Person muss die Anforderungen nach Art. 10 Abs. 3 DSG nicht erfüllen.
15 Im Falle der Benennung einer solchen Person oder Stelle sollten Unklarheiten hinsichtlich ihrer Funktionsbezeichnung, ihres Status, ihrer Stellung und ihres Aufgabenfelds vermieden werden. Bereits an der Funktionsbezeichnung innerhalb des Unternehmens sowie gegenüber dem EDÖB und den betroffenen Personen sollte deshalb deutlich werden, dass es sich nicht um eine Datenschutzberaterin bzw. einen Datenschutzberater nach Art. 10 Abs. 3 DSG handelt.
2. Benennung einer internen oder externen Datenschutzberaterin bzw. eines internen oder externen Datenschutzberaters
16 Das verantwortliche Unternehmen kann als Datenschutzberaterin oder Datenschutzberater eine interne Person oder eine externe Person oder Stelle bestimmen.
17 Bei der internen Datenschutzberaterin bzw. dem internen Datenschutzberater handelt es sich um eine Arbeitnehmerin/einen Arbeitnehmer oder um eine Abteilung eines Unternehmens, welche bzw. welcher sich gezielt mit dem Datenschutz im jeweiligen Unternehmen beschäftigt. Bei grösseren Unternehmen wird sie bzw. er regelmässig auf unterer Hierarchieebene von sogenannten Datenschutzmanagern oder Data Ownern unterstützt, welche für den Datenschutz in ihrem jeweiligen Bereich zuständig sind, wie etwa für das Erstellen und Führen des Verzeichnisses der Bearbeitungstätigkeiten (Art. 12 DSG).
18 Externe Datenschutzberaterinnen bzw. -berater sind dagegen natürliche oder juristische Personen, die die Dienstleistung Datenschutz (Data Protection as a Service) anbieten und auf Grundlage eines Auftragsverhältnisses agieren.
19 Der Vorteil einer internen Datenschutzberaterin bzw. eines internen Datenschutzberaters ist deren bzw. dessen Einbindung ins Unternehmen selbst und damit verbunden ein besserer Überblick über die internen Prozesse. Ferner kann sie bzw. er direkt überprüfen und darauf einwirken, dass der Datenschutz in der Unternehmenskultur auch „gelebt“ wird und nicht nur auf dem Papier besteht. Nachteilig sein kann es hingegen, zu nah am Unternehmen und den Mitarbeitenden zu stehen, was zu Interessenkollisionen führen kann. Oftmals fehlen auch die Ressourcen und das entsprechende Know-how oder es bestehen Interessenskonflikte, um eine angemessene Wahrung des Datenschutzes im Unternehmen zu gewährleisten. In solchen Situationen macht es Sinn, das Mandat der Datenschutzberaterin oder des Datenschutzberaters extern zu vergeben.
3. Benennung einer gemeinsamen Datenschutzberaterin oder eines gemeinsamen Datenschutzberaters für eine Unternehmensgruppe
20 Für eine Unternehmensgruppe besteht die Möglichkeit, eine gemeinsame Datenschutzberaterin bzw. einen gemeinsamen Datenschutzberater zu bestimmen.
B. Aufgaben der Datenschutzberaterin oder des Datenschutzberaters (Art. 10 Abs. 2)
1. Anlaufstelle für den EDÖB und weitere Behörden, die in der Schweiz für den Datenschutz zuständig sind, sowie für die betroffenen Personen
21 Die Datenschutzberaterin bzw. der Datenschutzberater ist eine wichtige Ansprechstelle in Bezug auf die Datenbearbeitungen, welche das verantwortliche Unternehmen vornimmt. Sie bzw. er ist in die Prozesse des Unternehmens zur Einhaltung des Datenschutzes eingebunden.
22 Bei Fragen im Zusammenhang mit der Bearbeitung von Personendaten im Unternehmen dient er oder sie dem EDÖB und weiteren Behörden, die in der Schweiz für den Datenschutz zuständig sind (etwa die FINMA oder die kantonalen Datenschutzbehörden), deshalb als Anlaufstelle. Ebenfalls als Anlaufstelle dient sie oder er den betroffenen Personen, beispielsweise im Falle eines Auskunftsgesuches nach Art. 25ff. DSG.
2. Schulung und Beratung des privaten Verantwortlichen in Fragen des Datenschutzes (Abs. 2 lit. a)
23 Damit im jeweiligen Unternehmen ein effektiver Datenschutz gewährleistet werden kann, hat die Datenschutzberaterin bzw. der Datenschutzberater den privaten Verantwortlichen bzw. seine Mitarbeitenden entsprechend zu schulen, auszubilden und zu sensibilisieren. Hier sind zumindest sämtliche Mitarbeitende einzubeziehen, welche mit Personendaten in Kontakt kommen. Der Fokus sollte dabei auf den datenschutzrechtlichen Grundsätzen (Art. 6 DSG) liegen. Weitere Schulungsthemen sind etwa die Vorgaben zur Auslandbekanntgabe sowie der Umgang mit besonders schützenswerten Personendaten im Unternehmen. Darüber hinaus sind die Mitarbeitenden auch hinsichtlich der Anforderungen an die Datensicherheit zu schulen (Art. 8 DSG).
24 Die Schulung der Mitarbeitenden in Sachen Datenschutz und Datensicherheit durch die Datenschutzberaterin bzw. den Datenschutzberater sollte in regelmässigen Abständen, am besten jährlich, wiederholt werden. Durch regelmässiges Sensibilisieren bleibt das Thema Datenschutz bei den Mitarbeitenden präsent. Zudem können aktuelle Neuerungen, z. B. hinsichtlich der IT-Landschaft des Unternehmens, zeitnah an die Mitarbeitenden weitergegeben werden.
25 In ihrer bzw. seiner Beraterfunktion kommt der Datenschutzberaterin bzw. dem Datenschutzberater die Aufgabe zu, hinsichtlich der Einhaltung der datenschutzrechtlichen Vorschriften bei den Datenbearbeitungen zu beraten, dabei die jeweils relevanten Tatsachen der datenschutzrechtlichen Fragestellung herauszuarbeiten und anhand dieser Entscheidungsalternativen aufzuzeigen.
3. Mitwirkung bei der Anwendung der Datenschutzvorschriften (Abs. 2 lit. b)
26 Eine weitere Aufgabe der Datenschutzberaterin bzw. des Datenschutzberaters ist ihre bzw. seine Mitwirkung bei der Anwendung der Datenschutzvorschriften. Dies beinhaltet insbesondere, das Mitwirken beim Erlass von Nutzungsbedingungen und Datenschutzvorschriften.
27 Die Datenschutzberaterin bzw. der Datenschutzberater ist als unterstützende Stelle zu verstehen, nicht aber als Überwachungsorgan. In Bezug auf die Prüfung von Datenbearbeitungen und die Empfehlung von Korrekturmassnahmen geht es deshalb nicht darum, eine aktive Prüfpflicht einzuführen, beziehungsweise systematische Kontrollen aller Datenbearbeitungen vorzuschreiben. Vielmehr ist es ausreichend, wenn sie oder er aktiv wird, falls beispielsweise der Verantwortliche die Prüfung einer Datenbearbeitung anfragt oder ihr bzw. ihm Hinweise zugetragen werden, dass Datenschutzvorschriften verletzt worden sind.
28 Als weitere Aufgaben der Datenschutzberaterin bzw. des Datenschutzberaters kommen in Betracht:
Erarbeitung und Prüfung der Implementierung von Massnahmen zur Datensicherheit (Art. 8 DSG);
Prüfung der Bearbeitung durch den Auftragsbearbeiter (Art. 9 DSG);
Erarbeitung und Prüfung der Verzeichnisse der Bearbeitungstätigkeiten (Art. 12 DSG);
Prüfung der Datenbekanntgabe ins Ausland (Art. 16 ff. DSG);
Unterstützung bei der Erfüllung der Informationspflichten (Art. 19 ff. DSG);
Erarbeitung und Implementierung von Prozessen für die Bearbeitung von Anfragen von Betroffenen (Art. 25 DSG);
Entwicklung geeigneter Prozesse zur Wahrung der Betroffenenrechte und Einhaltung der Datenschutzvorschriften (Art. 25 ff. DSG);
Durchführung von Risikobeurteilungen (z. B. Risiko einer unbeabsichtigten/unberechtigten Datenweitergabe, -löschung oder -bearbeitung, eines Datenverlustes oder technischen Fehlers etc.) etwa im Rahmen einer DSFA;
Siehe Art. 23 Abs. 4 DSG.
Erstellen von Jahresberichten über die Tätigkeiten zuhanden des Verantwortlichen.
4. Exkurs: Keine Verantwortlichkeit der Datenschutzberaterin bzw. des Datenschutzberaters
29 Häufig wird angenommen, dass die Datenschutzberaterin bzw. der Datenschutzberater für den Datenschutz und dessen Einhaltung im Unternehmen verantwortlich ist. Die Datenschutzberaterin bzw. der Datenschutzberater hat allerdings über seine Schulungs-, Beratungs- und Mitwirkungsfunktion hinaus keinerlei Handlungskompetenzen, die sich aus dem DSG selbst ergeben. Die alleinige Entscheidungsgewalt – und damit auch die alleinige Verantwortung für die datenschutzkonforme Bearbeitung von Personendaten – liegt beim verantwortlichen Unternehmen.
30 Gibt die Datenschutzberaterin bzw. der Datenschutzberater Empfehlungen ab, sollte das Unternehmen dafür sorgen, dass die Empfehlungen umgesetzt werden. Tut es dies nicht und war die Empfehlung berechtigt, kann – falls ein solcher Vorfall publik werden sollte – für das Unternehmen zu einem nicht unerheblichen Imageschaden führen. Allenfalls kann dies sogar zu Sanktionen gegenüber einem einzelnen Mitarbeitenden führen.
C. Anforderungen an die Datenschutzberaterin bzw. den Datenschutzberater (Abs. 3)
31 Damit ein Unternehmen von der Konsultation des EDÖB entbunden wird, wenn trotz erfolgter DSFA noch ein hohes Risiko besteht (Art. 23 Abs. 4 DSG), muss die Datenschutzberaterin bzw. der Datenschutzberater die Voraussetzungen von Art. 10 Abs. 3 DSG erfüllen.
1. Fachlich unabhängig und weisungsungebunden (lit. a)
32 Die Datenschutzberaterin bzw. der Datenschutzberater muss in ihrer bzw. seiner Tätigkeit soweit unabhängig sein, dass die Aufgaben weisungsunabhängig wahrgenommen und nicht aufgrund ihrer bzw. seiner Tätigkeit vom Unternehmen sanktioniert werden kann. Das heisst, dass ihr oder ihm bei der Aufgabenerfüllung keine Anweisungen erteilt werden dürfen, wie sie bzw. er bei einem gegebenen Sachverhalt zu verfahren hat, also beispielsweise, welches Ergebnis erzielt werden soll, wie einer Beschwerde nachzugehen ist oder ob der EDÖB zurate gezogen werden soll oder nicht. Des Weiteren darf sie bzw. er nicht angewiesen werden, in einer datenschutzrechtlichen Frage (beispielsweise in Bezug auf die Auslegung eines Gesetzes) einen bestimmten Standpunkt zu vertreten.
33 Ausserdem muss gewährleistet sein, dass die Datenschutzberaterin bzw. der Datenschutzberater ihre bzw. seine Empfehlungen – auch wenn sie teilweise unliebsam sein können – ohne Sorge vor Nachteilen frei aussprechen kann. Diese Unabhängigkeit beinhaltet auch, dass sich die Datenschutzberaterin bzw. der Datenschutzberater in wichtigen Belangen an die oberste Leitung (etwa der Verwaltungsrat bei einer Aktiengesellschaft) werden kann (Art. 23 lit. c DSV). Grundsätzlich sollte sie bzw. er deshalb auch direkt der Geschäftsleitung oder sogar dem Verwaltungsrat des Verantwortlichen unterstellt sein.
2. Keine Unvereinbarkeit mit anderen Aufgaben (lit. b)
34 Damit die Datenschutzberaterin bzw. der Datenschutzberater innerhalb des Unternehmens ihre bzw. seine Aufgaben wahrnehmen kann, darf sie bzw. er keine anderen Tätigkeiten ausüben, die sich mit ihren bzw. seinen Aufgaben nicht vereinbaren lassen. Die Datenschutzberatung sollte getrennt von den Aufgaben des Unternehmens wahrgenommen werden.
35 Ein möglicher Interessenkonflikt muss deshalb bereits im Vorfeld durch die organisatorische Stellung der Datenschutzberaterin bzw. des Datenschutzberaters vermieden werden. Es sollte vom Grundsatz her darauf geachtet werden, dass keine Linienverantwortlichkeit mit der Stelle der Datenschutzberaterin bzw. des Datenschutzberaters verbunden ist. Es empfiehlt sich damit für ein Unternehmen, die Funktion der Datenschutzberaterin bzw. des Datenschutzberaters z. B. als Stabstelle anzusiedeln. Wichtig ist dabei, dass damit keine Exekutivfunktion in einem Businessbereich einhergeht. Eine weitere Möglichkeit wäre, die Aufgabe der Datenschutzberaterin oder des Datenschutzberaters mit derjenigen des Informationssicherheitsbeauftragten zusammenzuführen.
36 Weil Interessenkonflikte in der Praxis sonst kaum vermeidbar sind, dürfte die Datenschutzberaterin bzw. der Datenschutzberater – ausser bei grösseren Unternehmen mit eigenen Datenschutzabteilungen – in der Regel ein externer Dienstleister sein.
3. Erforderliche Fachkenntnisse (lit. c)
37 Um ihre bzw. seine Aufgaben unabhängig wahrnehmen zu können, muss die Datenschutzberaterin bzw. der Datenschutzberater die notwendige fachliche Eignung haben. Sie oder er muss in allen Bereichen genügend Kenntnisse haben, um Empfehlungen und vorgeschlagene Massnahmen einschätzen und im Rahmen der Datenschutzstrategie des Unternehmens bewerten zu können.
38 Die Anforderungen umfassen nicht nur Kenntnisse im Bereich Datenschutz und Datensicherheit, sondern auch die für den Betrieb spezifischen Fachkenntnisse. Sollte sie bzw. er in gewissen Gebieten möglicherweise weniger ausgeprägte Kenntnisse haben, muss sie bzw. er zumindest die Möglichkeit haben, auf solche Kenntnisse zugreifen zu können.
4. Veröffentlichung der Kontaktdaten (lit. d)
39 Es ist die Aufgabe des Verantwortlichen, die Kontaktdaten der Datenschutzberaterin oder des Datenschutzberaters zu veröffentlichen und dem EDÖB mitzuteilen. Der EDÖB hat hierzu ein Meldeportal geschaffen. Nicht erforderlich ist wie beim privaten Verantwortlichen, dass das Unternehmen den Namen der Datenschutzberaterin oder des Datenschutzberaters veröffentlicht. Es genügt, wenn beispielsweise die E-Mail-Adresse der fachlich zuständigen Stelle angegeben wird. Zuständige Stelle kann auch ein ganzes Team oder ein Unternehmen sein. Die Datenschutzberaterin bzw. der Datenschutzberater ist eine wichtige Ansprechperson in Bezug auf die Datenbearbeitungen, welche das fragliche Unternehmen vornimmt. Mit der Publikation der Kontaktdaten sichergestellt, dass betroffene Personen oder der EDÖB sich auf direktem Weg an die Datenschutzberaterin oder den Datenschutzberater wenden können.
40 Nicht erforderlich ist, dass das Unternehmen den Namen der Datenschutzberaterin oder des Datenschutzberaters veröffentlicht. Es genügt, wenn beispielsweise die E-Mail-Adresse der fachlich zuständigen Stelle angegeben wird.
D. Pflichten des privaten Verantwortlichen (Art. 23 DSV)
41 Damit ein Unternehmen von der Konsultation des EDÖB entbunden wird, wenn trotz erfolgter DSFA noch ein hohes Risiko besteht (Art. 23 Abs. 4 DSG), muss auch der private Verantwortliche gewisse Verpflichtungen erfüllen. Diese Verpflichtungen entsprechen inhaltlich den früheren datenschutzrechtlichen Bestimmungen, sie wurden lediglich hinsichtlich der Terminologie an das neue DSG angepasst.
1. Zurverfügungstellung der notwendigen Ressourcen (lit. a)
42 Der private Verantwortliche muss der Datenschutzberaterin bzw. dem Datenschutzberater gemäss Art. 23 lit. a DSV die notwendigen Ressourcen – meist in Form von Arbeitszeit – zur Verfügung stellen, damit sie oder er ihre bzw. seine Aufgaben erfüllen kann. Die Anforderungen sind zwar in Abhängigkeit von der Grösse des Unternehmens unterschiedlich, aber sie bzw. er muss immer über ausreichend Ressourcen verfügen, um die Funktion angemessen wahrnehmen zu können. Dies bedeutet: je komplexer und/oder sensibler die Datenbearbeitungsvorgänge, desto mehr Ressourcen müssen der Datenschutzberaterin oder dem Datenschutzberater zur Verfügung gestellt werden.
2. Gewährung des Zugangs zu allen Auskünften, Unterlagen, Verzeichnissen der Bearbeitungstätigkeiten und Personendaten (lit. b)
43 Um ihre bzw. seine Funktion wahrnehmen zu können, muss die Datenschutzberaterin bzw. der Datenschutzberater auf Anfrage Zugang zu allen Auskünften, Unterlagen, Verzeichnissen der Bearbeitungstätigkeiten und Personendaten erhalten, die sie bzw. er zur Erfüllung ihrer bzw. seiner Aufgaben benötigt. Dies beinhaltet neben dem Zugang auch, dass sie oder er Kenntnis von sämtlichen innerhalb des Unternehmens durchgeführten Datenbearbeitungen erhält. Dazu ist ein umfassendes Einsichtsrecht in Dokumente, ein Vorführungsrecht in Bezug auf Datenbearbeitungssysteme und ein Auskunftsrecht gegenüber sämtlichen für die Datenbearbeitungen verantwortlichen Personen erforderlich. Empfehlenswert wäre eine Meldepflicht innerhalb des Unternehmens einzuführen, was bedeutet, dass sämtliche Datenbearbeitungen der Datenschutzberaterin bzw. dem Datenschutzberater gemeldet werden müssen.
44 Der Zugang zu den Informationen ist jedoch insofern eingeschränkt, als das er nur für diejenigen Unterlagen gilt, welche die Datenschutzberaterin oder der Datenschutzberater auch tatsächlich zur Erfüllung ihrer bzw. seiner Aufgaben benötigt. Wenn die Datenschutzberaterin oder der Datenschutzberater beispielsweise in genereller Weise die internen Datenschutzvorschriften oder Prozesse zur Datenbearbeitung prüft, wird sie oder er im Regelfall keine Einsicht in Personendaten benötigen.
3. Einräumung des Rechts, in wichtigen Fällen das oberste Leitungs- oder Verwaltungsorgan zu informieren (lit. c)
45 Mit Art. 23 lit. c DSV wurde die Möglichkeit eingeführt, dass die Datenschutzberatenden in wichtigen Fällen das oberste Leitungs- oder Verwaltungsorgan informieren können, also das Organ, welches auch die Verantwortung für die Einhaltung der Datenschutzvorschriften im Unternehmen trägt. Denn die Datenschutzberaterin bzw. der Datenschutzberater hat keine eigene Entscheidungsgewalt, sondern untersteht der höchsten Managementebene des betreffenden Unternehmens.
46 Die Bestimmung statuiert ein Eskalationsrecht der Datenschutzberaterin oder des Datenschutzberaters. Dies erlaubt es der Datenschutzberaterin bzw. dem Datenschutzberater, bei unternehmensinternen Prüfungen der Einhaltung datenschutzrechtlichen Bestimmungen nicht nur auf die ihr oder ihm zur Verfügung stehenden Dokumente vertrauen zu müssen, sondern auch die Beschaffung zusätzlicher Informationen und Dokumente durchsetzen zu können. Zudem wird damit gewährleistet, dass die Datenschutzberaterin bzw. der Datenschutzberater im Falle komplexer Verhältnisse und besonders schwerwiegender Verstösse den höchsten Organen des Verantwortlichen oder des Auftragsbearbeiters berichten und einen Entscheid bewirken kann.
III. Datenschutzberaterin oder -berater von Bundesorganen (Art. 10 Abs. 4 DSG)
A. Ernennung (Art. 25 DSV)
47 Die Bundesorgane sind im Schengen-Bereich aufgrund von Artikel 32 der Richtlinie (EU) 2016/680 dazu verpflichtet, eine Datenschutzberaterin oder einen Datenschutzberater zu ernennen. Die Regeln zur Bestellung der Datenschutzberaterin oder des Datenschutzberaters durch die Bundesorgane findet sich nicht allerdings nicht im DSG, sondern wurde dem Bundesrat überlassen (Art. 10 Abs. 4 DSG).
48 Nach Art. 25 DSV können mehrere Bundesorgane gemeinsam eine Datenschutzberaterin oder einen Datenschutzberater bestimmen. Diese Regelung soll vor allem kleineren Bundesorganen oder Departementen mit zentralisierter Organisationstruktur die Möglichkeit geben, sinnvolle und ressourceneinsparende Synergien zu nutzen. Von grösseren Bundesämtern kann hingegen erwartet werden, dass diese eine Datenschutzberaterin oder einen Datenschutzberater für sich alleine einsetzen. Es steht den Bundesorganen auch offen, mehrere Datenschutzberaterinnen und -berater zu benennen.
B. Anforderungen und Aufgaben (Art. 26 DSV)
49 Art. 26 Abs. 1 DSV enthält die Anforderungen an die Datenschutzberaterin bzw. den Datenschutzberater: Sie oder er muss über die erforderlichen Fachkenntnisse verfügen und ihre oder seine Funktion gegenüber dem Bundesorgan fachlich unabhängig und weisungsgebunden ausüben. Diese Regelung ist analog zu derjenigen nach Art. 10 Abs. 3 DSG für private Verantwortliche, weshalb darauf verwiesen werden kann.
50 Die Rolle der Datenschutzberaterin oder des Datenschutzberaters bei Bundesorganen, die üblicherweise hierarchisch geprägt sind, wurde mit der Revision gestärkt und institutionalisiert, damit sie oder er ihre oder seine Aufgaben wirksam wahrnehmen kann. Ausdruck der Unabhängigkeit ist, dass sich die Datenschutzberaterin oder der Datenschutzberater in wichtigen Fällen – wie für Private in Art. 23 lit. c DSV vorgesehen – an die oberste Leitung des Bundesorgans werden kann. Die Unabhängigkeit der Datenschutzberaterin oder des Datenschutzberaters ist in erster Linie durch organisatorische Massnahmen zu gewährleisten: So gilt es vor allem zu verhindern, dass sich die Tätigkeit als Datenschutzberaterin oder -berater negativ auf das Mitarbeitergespräch auswirkt.
51 Art. 26 Abs. 2 DSV enthält die Aufgaben der Datenschutzberaterin oder des Datenschutzberaters eines Bundesorgans. Sie wurden terminologisch mit der Bestimmung bei den privaten Verantwortlichen (Art. 10 Abs. 2 DSG) abgestimmt, weshalb ebenfalls auf die dort gemachten Ausführungen verwiesen werden kann.
C. Pflichten des Bundesorgans (Art. 27 DSV)
52 Das Bundesorgan gewährt der Datenschutzberaterin oder dem Datenschutzberater Zugang zu allen Auskünften, Unterlagen, Verzeichnissen der Bearbeitungstätigkeiten und Personendaten, die sie oder er zur Erfüllung ihrer oder seiner Aufgaben benötigt (Art. 27 Abs. 1 lit. a DSV) und sorgt dafür, dass sie oder er über eine Verletzung der Datensicherheit informiert wird (Art. 27 Abs. 1 lit. b DSV).
53 Art. 27 Abs. 1 lit. a DSV ist damit identisch mit der Regelung bei den privaten Verantwortlichen in Art. 23 lit. b DSV. Es kann sinngemäss auf die dortigen Ausführungen verwiesen werden.
54 Schliesslich veröffentlich das Bundesorgan die Kontaktdaten der Datenschutzberaterin oder des Datenschutzberaters im Internet und teilt diese dem EDÖB mit (Art. 27 Abs. 2 DSV). Nicht erforderlich ist wie beim privaten Verantwortlichen, dass das Unternehmen den Namen der Datenschutzberaterin oder des Datenschutzberaters veröffentlicht. Es genügt, wenn beispielsweise die E-Mail-Adresse der fachlich zuständigen Stelle angegeben wird. Zuständige Stelle kann auch ein ganzes Team oder ein Unternehmen sein.
D. Anlaufstelle des EDÖB (Art. 28 DSV)
55 Die Datenschutzberaterin oder der Datenschutzberater dient dem EDÖB als Anlaufstelle für Fragen im Zusammenhang mit der Bearbeitung von Personendaten durch das betreffende Bundesorgan. Sie ist also, da sie über die notwendigen Fachkenntnisse und das interne Wissen verfügt, direkte fachliche Ansprechperson für den EDÖB.
Literaturverzeichnis
Frey Marco, Kommentierung zu Art. 11a DSG (altes DSG), in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023 (zit. SHK DSG-Bearbeiter:in).
Rosenthal David, Das neue Datenschutzgesetz, in: Jusletter 16. November 2020 (zit. Rosenthal, Jusletter 2020).
Rosenthal, David/Jöhri, Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008 (zit. HK-Rosenthal/Jöhri).
Ehrensberger Jennifer/Bersler Urs, Kommentierung zu Art. 11a DSG (altes DSG), In: von Maurer-Lambrou, Urs/Blechta, Gabor-Paul (HrsG.), Datenschutzgesetz/Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., Basel 2014 (zit. BK-Bearbeiter:in).
Materialienverzeichnis
Leitlinien in Bezug auf Datenschutzbeauftragte («DSB») der Datenschutzgruppe nach Art. 29 der Richtlinie 95/46/EG, angenommen am 13. Dezember 2016, zuletzt überarbeitet und angenommen am 5.4.2017.