Wenn die Allgemeine Datenschutzverordnung (GDPR) im Mai 2018 in Kraft tritt, sind viele Unternehmen verpflichtet, einen Datenschutzbeauftragten zu bestellen.
Im Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft, die auch Auswirkungen auf schweizerische Unternehmen hat, die im EU Markt aktiv sind. Danach werden zahlreiche Unternehmen verpflichtet sein, einen Datenschutzbeauftragten zu benennen. Ein Datenschutzbeauftragter ist eine Stelle oder Funktion innerhalb einer Organisation. Der Datenschutzbeauftragte beaufsichtigt die Verarbeitung von personenbezogenen Daten.
Die Aufgaben des Datenschutzbeauftragten umfassen die Beratung von Organisationen bei der Einhaltung der EU-DSGVO sowie die Durchführung von Schulungen und internen Audits. Der Datenschutzbeauftragte ist zudem die Kontaktperson sowohl für die Aufsichtsbehörde als auch für die betreffenden Mitarbeiter.
Der Datenschutzbeauftragte führt - ausgenommen bei gewissen (kleinen) Unternehmen - ein Verzeichnis aller Datenverarbeitungstätigkeiten und hält darin alle Organisationsabläufe fest, welche die Verarbeitung von personenbezogenen Daten betreffen. Dieses Verzeichnis enthält u.a. den Zweck und die Voraussetzungen der Verarbeitung und wird der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt.
Keinen Datenschutzbeauftragten müssen Unternehmen benennen, wenn deren Datenverarbeitung nicht Teil ihrer Kerntätigkeit ist. In diesem Fall müssen Unternehmen jedoch beweisen können, dass diese Verarbeitungen nicht zu ihrer Kerntätigkeit gehören.
Es gibt keine spezifischen Anforderungen. Der Beauftragte sollte ein Experte im Bereich Datenschutz sein. Dementsprechend sollte der Datenschutzbeauftragte solide Erfahrung im Bereich Datenschutz, Datensicherheit und Geschäftsprozesse haben und darüber hinaus gut über die relevanten Aspekte der Organisation informiert sein.
Auch ein bestehender Mitarbeiter kann als Datenschutzbeauftragter benannt werden. Allerdings sollte zwischen den beiden Aufgaben kein Interessenskonflikt entstehen (Governance). Beispielsweise kann ein Datenverantwortlicher nicht als Datenschutzbeauftragter benannt werden, der bereits für viele Datenverarbeitungsvorgänge verantwortlich ist.
Externer Datenschutzbeauftragter
Nach der neuen Verordnung dürfen auch externe Datenschutzbeauftragte benannt werden. Dies ist eine prüfenswerte Lösung für KMUs und Organisationen mit wenig Datenschutz-Know-how. Diese Aufgabe kann von Datenschutz-Rechtsanwälten oder Spezialisten erfüllt werden.
Vieles hängt davon ab, was in Ihrem Unternehmen diesbezüglich bereits gemacht wird. Sie sollten mindestens:
Dieser Magazinbeitrag beruht auf einem Artikel von Edwin Jacobs, timelex.eu, unserem Netzwerkpartner in Brüssel von World IT Lawyers. Zum Artikel