Teil 7 unserer Serie zum Datenschutzrecht in der Schweiz
In diesem Teil unserer Serie analysieren wir, ob und unter welchen Umständen die Ernennung eines Datenschutzberaters (DSB) nach dem Schweizer Bundesgesetz über den Datenschutz (DSG) verpflichtend ist.
Obligatorische Ernennung eines DSB für Bundesorgane
Bezüglich der Ernennung eines Datenschutzberaters unterscheiden sich die gesetzlichen Vorgaben für private Personen und Bundesorgane (d. h. Bundesbehörden, Bundesstellen oder mit öffentlichen Aufgaben des Bundes betraute Personen, z. B. eine Pensionskasse).
Gemäss Art. 25 der Datenschutzverordnung (DSV) ist jedes Bundesorgan verpflichtet, einen Datenschutzberater zu ernennen. Zwei oder mehr Bundesorgane können gemeinsam einen DSB benennen. Der DSB muss über die erforderlichen Fachkenntnisse verfügen und seine Tätigkeit gegenüber dem Bundesorgan fachlich unabhängig und weisungsfrei ausüben. Die Kontaktdaten des DSB sind online zu veröffentlichen und dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) mitzuteilen.
Zu den gesetzlichen Aufgaben des DSB gehört die Unterstützung bei der Anwendung der Datenschutzvorschriften – insbesondere durch die Prüfung von Bearbeitungsvorgängen und die Empfehlung allfälliger Korrekturmassnahmen – sowie die Unterstützung des Bundesorgans bei der Durchführung und Umsetzung von Datenschutz-Folgenabschätzungen. Darüber hinaus umfasst die Tätigkeit des DSB die Schulung und Beratung der Mitarbeitenden des Bundesorgans in Datenschutzfragen sowie die Funktion als Anlaufstelle für betroffene Personen und den EDÖB.
Freiwillige Ernennung eines DSB durch private Verantwortliche
Private Verantwortliche können freiwillig einen Datenschutzberater ernennen, der als Anlaufstelle für betroffene Personen und Datenschutzbehörden fungiert. Die Aufgaben des DSB umfassen die Schulung und Beratung des Verantwortlichen in Datenschutzbelangen sowie die Unterstützung bei der Umsetzung der Datenschutzvorschriften.
Private Verantwortliche, die einen DSB benannt haben, können auf eine Konsultation des EDÖB verzichten, wenn eine Datenschutz-Folgenabschätzung trotz geplanter Massnahmen ein hohes Restrisiko ergibt – vorausgesetzt, sie konsultieren ihren DSB und dieser verfügt über die erforderliche Fachkompetenz, übt seine Funktion fachlich unabhängig und weisungsfrei aus und nimmt keine Aufgaben wahr, die mit seiner Rolle als DSB unvereinbar sind.
Um von dieser Ausnahme profitieren zu können, muss der Verantwortliche zudem die Kontaktdaten des DSB veröffentlichen, etwa in der Datenschutzerklärung, und dem EDÖB mitteilen.
Vorschau auf Teil 8
In Teil 8 unserer Serie befassen wir uns mit den Anforderungen an die Auftragsbearbeitung.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
