Im Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft, die auch Auswirkungen auf schweizerische Unternehmen hat, die im EU Markt aktiv sind. Danach werden zahlreiche Unternehmen verpflichtet sein, einen Datenschutzbeauftragten zu benennen. Ein Datenschutzbeauftragter ist eine Stelle oder Funktion innerhalb einer Organisation. Der Datenschutzbeauftragte beaufsichtigt die Verarbeitung von personenbezogenen Daten.
Was sind die Aufgaben eines Datenschutzbeauftragten?
Die Aufgaben des Datenschutzbeauftragten umfassen die Beratung von Organisationen bei der Einhaltung der EU-DSGVO sowie die Durchführung von Schulungen und internen Audits. Der Datenschutzbeauftragte ist zudem die Kontaktperson sowohl für die Aufsichtsbehörde als auch für die betreffenden Mitarbeiter.
Der Datenschutzbeauftragte führt - ausgenommen bei gewissen (kleinen) Unternehmen - ein Verzeichnis aller Datenverarbeitungstätigkeiten und hält darin alle Organisationsabläufe fest, welche die Verarbeitung von personenbezogenen Daten betreffen. Dieses Verzeichnis enthält u.a. den Zweck und die Voraussetzungen der Verarbeitung und wird der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt.
Welche privaten Organisationen sind verpflichtet einen Datenschutzbeauftragten zu benennen?
- Organisationen, deren Kerntätigkeit die systematische Überwachung von Personen umfasst (bspw. Google, verhaltensorientierte Internetwerbung, Geolokalisierungsdienste, Überwachung von Besucherverhalten, gewisse Fälle von Direktmarketing, ad tracking, personalisierte Werbung, Kunden oder Patientenprofile, je nach Produkten kommen auch Versicherungen oder Banken in Frage; zusammenfassend, sämtliche überwachende Tätigkeiten);
- Organisationen, deren Kerntätigkeit die Verarbeitung spezifischer Datenkategorien (z.B. Gesundheit oder Religion) umfasst (bspw. Spitäler, Pharmakonzerne, gewisse Forschungsinstitute, Laboratorien, Marktforschungsunternehmen, welche personenbezogene Daten verarbeiten wie bspw. politische Einstellungen).
Keinen Datenschutzbeauftragten müssen Unternehmen benennen, wenn deren Datenverarbeitung nicht Teil ihrer Kerntätigkeit ist. In diesem Fall müssen Unternehmen jedoch beweisen können, dass diese Verarbeitungen nicht zu ihrer Kerntätigkeit gehören.
Wen kann man als Datenschutzbeauftragten benennen?
Es gibt keine spezifischen Anforderungen. Der Beauftragte sollte ein Experte im Bereich Datenschutz sein. Dementsprechend sollte der Datenschutzbeauftragte solide Erfahrung im Bereich Datenschutz, Datensicherheit und Geschäftsprozesse haben und darüber hinaus gut über die relevanten Aspekte der Organisation informiert sein.
Auch ein bestehender Mitarbeiter kann als Datenschutzbeauftragter benannt werden. Allerdings sollte zwischen den beiden Aufgaben kein Interessenskonflikt entstehen (Governance). Beispielsweise kann ein Datenverantwortlicher nicht als Datenschutzbeauftragter benannt werden, der bereits für viele Datenverarbeitungsvorgänge verantwortlich ist.
Externer Datenschutzbeauftragter
Nach der neuen Verordnung dürfen auch externe Datenschutzbeauftragte benannt werden. Dies ist eine prüfenswerte Lösung für KMUs und Organisationen mit wenig Datenschutz-Know-how. Diese Aufgabe kann von Datenschutz-Rechtsanwälten oder Spezialisten erfüllt werden.
Wie bereiten Sie sich auf die EU-DSGVO vor?
Vieles hängt davon ab, was in Ihrem Unternehmen diesbezüglich bereits gemacht wird. Sie sollten mindestens:
- Die vorhandenen Datenschutzerklärungen und die bestehenden Verträge insbesondere jene mit Datenverarbeitern überprüfen und aktualisieren um den Anforderungen der EU-DSGVO nachzukommen.
- Feststellen, welche Datenschutzbehörde für die Sicherstellung der Compliance innerhalb des Unternehmens verantwortlich sein wird.
- Sicherstellen, dass geeignete Verfahren vorhanden sind, mit denen Datenschutzverletzungen festgestellt, aufgeklärt und gemeldet werden können.
- Intern bestehende Richtlinien oder Verfahren aktualisieren, welche sich darauf beziehen, welche persönlichen Daten gespeichert sind, woher diese gespeicherten Daten kommen und mit wem sie geteilt werden, oder darauf, welche Rechte der Einzelne hat. Zudem sollten auch Richtlinien und Verfahren aktualisiert werden, die Zugriffsanfragen tangieren (spezielle Bestimmungen für Kinder).
- Datenverarbeitungsaktivitäten dokumentieren und rechtliche Grundlage bestimmen, um die entsprechenden Arten der Datenverarbeitungsaktivitäten durchführen zu können.
- Überprüfen, wie die Einwilligung der einzelnen Personen beantragt, erfasst und aufgenommen wird und sicherstellen, dass die Verfahren den neuen Anforderungen der EU-DSGVO entsprechen.
- Festlegen, wie Sie den Datenschutz durch Technikgestaltung und die Datenschutz-Folgenabschätzung (z.B. für Big Data Projekte) in Ihre Organisation implementieren.
- Sofern notwendig, einen Datenschutzbeauftragten und andernfalls einen Datenschutzverantwortlichen benennen.
Dieser Magazinbeitrag beruht auf einem Artikel von Edwin Jacobs, timelex.eu, unserem Netzwerkpartner in Brüssel von World IT Lawyers. Zum Artikel
