Datenschutzbeauftragter

Bis zum 20. Juli 2018 gab es in Liechtenstein die Möglichkeit, einen Datenschutzverantwortlichen zu benennen. Aus dieser Möglichkeit wurde mit Einführung der DSGVO bei Vorliegen entsprechender Tatbestände eine Pflicht (wobei die Bezeichnung sich zum Datenschutzbeauftragten ändert). Mit der DSGVO wird die Institution des Datenschutzbeauftragten europaweit aufgewertet und der Datenschutz massgeblich gestärkt. Die DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, unter bestimmten Voraussetzungen einen Datenschutzbeauftragten (DSB) zu ernennen.

Datenschutzbeauftragte unterstützen datenverarbeitende Stellen bei der Sicherstellung des Datenschutzes und wirken auf die Einhaltung der datenschutzrechtlichen Vorschriften hin.

Wann ist ein Datenschutzbeauftragter zwingend zu bestellen?

Gemäss Art. 37 Abs. 1 lit. a - c DSGVO muss ein Datenschutzbeauftragter zwingend bestellt werden, wenn:

es sich um eine Behörde oder öffentliche Stelle (mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln) handelt;
die Kerntätigkeit in umfangreicher, regelmässiger und systematischer Überwachung von Personen besteht oder
die Kerntätigkeit¹ in umfangreicher Verarbeitung besonders sensibler Daten (Art. 9 und 10 DSGVO) besteht.

Für die Feststellung, ob eine Überwachung bzw. Datenverarbeitung als „umfangreich“ zu qualifizieren ist, sind gemäss ErwGr. 91 und gemäss den Empfehlungen der Artikel-29-Datenschutzgruppe² folgende Kriterien zu berücksichtigen:

Anzahl der verarbeiteten personenbezogenen Daten
geographische Ausbreitung der Datenverarbeitung (regional, national oder supranational)
Anzahl der betroffenen Personen (als Absolutzahl) oder bezogen auf eine relevante Bezugsgrösse (prozentuell)
Dauer bzw. Permanenz der Verarbeitung

Die Artikel-29-Datenschutzgruppe (WP29) ihrerseits interpretiert die Begriffe „regelmässig“ und „systematisch“ wie folgt:

regelmässig: fortlaufend oder in Abständen wiederkehrend ständig oder regelmässig stattfindend
systematisch: vereinbart, organisiert und methodisch im Rahmen eines allgemeinen Datenerfassungsplans oder im Rahmen einer Strategie erfolgend

Beispiele einer regelmässigen und systematischen Verarbeitung gemäss der WP29 sind:

verfolgende E-Mail-Werbung,
datengesteuerte Marketingaktivitäten,
Typisierung und Scoring zu Zwecken der Risikobewertung (z.B. für Zwecke der Kreditvergabe, Festlegung von Versicherungsprämien etc.),
Ein Versicherungsunternehmen verarbeitet eine Vielzahl personenbezogener Daten über eine grosse Anzahl von Personen, einschliesslich Gesundheitsinformationen.

In Zweifelsfällen ist die Benennung eines Datenschutzbeauftragten generell zu empfehlen.

Nähere Informationen zum Datenschutzbeauftragten, insbesondere auch zur Stellung und den Aufgaben, finden Sie in den Leitlinien der Artikel-29-Datenschutzgruppe in Bezug auf Datenschutzbeauftragte.

²Die WP29 nennt als Beispiele einer umfangreichen Verarbeitung z.B. die Verarbeitung von Kundendaten im gewöhnlichen Geschäftsbetrieb eines Versicherungsunternehmens oder einer Bank; die Verarbeitung von Patientendaten im gewöhnlichen Geschäftsbetrieb eines Krankenhauses. Keine umfangreiche Verarbeitung stellen gemäss ErwGr 91 und der WP29 demgegenüber die Verarbeitung von Patientendaten durch einen einzelnen Arzt oder die Verarbeitung personenbezogener Daten durch einen einzelnen Rechtsanwalt dar.

Aufgaben des Datenschutzbeauftragten

Gemäss Art. 39 DSGVO obliegen dem Datenschutzbeauftragten (DSB) zumindest die folgenden Aufgaben:

a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;

b) Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschliesslich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

c) Beratung - auf Anfrage - im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gem. Art. 35 DSGVO;

d) Zusammenarbeit mit der Aufsichtsbehörde;

e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschliesslich der vorherigen Konsultation gem. Art. 36 DSGVO, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Darüber hinaus können dem DSB weitere Aufgaben und Pflichten übertragen werden, solange sie nicht zu einem Interessenkonflikt mit den Hauptaufgaben des DSB führen. Das heisst, dass der DSB keine Position innehaben kann, die ihn dazu veranlasst, die Zwecke und Mittel der Verarbeitung personenbezogener Daten festzulegen.

Beispielsweise kann der DSB beauftragt werden, das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) in einem Unternehmen zu führen.

Hingegen ist von einem Interessenskonflikt auszugehen, wenn der Marketingverantwortliche eines Unternehmens gleichzeitig der DSB des Unternehmens ist, da die Entscheidungskompetenz zu einem Interessenkonflikt zwischen den Zielen einer Werbekampagne und den Datenschutzverpflichtungen des Unternehmens führen kann.

Kooperation Unternehmen/Behörde und Datenschutzbeauftragter
- Der Datenschutzbeauftragte (DSB) ist in alle Datenschutzangelegenheiten im Unternehmen oder der Behörde ordnungsgemäss und frühzeitig eingebunden;
- der DSB wird bei der Erfüllung seiner Aufgaben unterstützt, indem ihm die für die Erfüllung seiner Aufgaben erforderlichen Ressourcen (ausreichend Zeit, finanzielle Mittel, Infrastruktur und gegebenenfalls Personal) und der Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen zur Verfügung gestellt werden;
- der DSB arbeitet unabhängig und weisungsfrei;
- der DSB wird nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt;
- Verantwortliche oder Auftragsverarbeiter suchen den Rat des DSB bei der Durchführung einer Datenschutz-Folgenabschätzung;
- Betroffene Personen können den DSB zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäss der DSGVO im Zusammenhang stehenden Fragen zu Rate ziehen;
- Bezüglich aller Sachverhalte, die dem DSB im Rahmen seiner Tätigkeit zur Kenntnis gelangen, ist er an die Wahrung der Geheimhaltung und Vertraulichkeit gebunden.
- der Datenschutzbeauftragte erstattet der höchsten Managementebene Bericht.

Haftung des Datenschutzbeauftragten

Der Datenschutzbeauftragte (DSB) haftet grundsätzlich nicht persönlich für die Einhaltung des Datenschutzes, da er keinerlei Weisungsbefugnis besitzt, die es ihm erlauben würde, notwendige Massnahmen zum Datenschutz auch tatsächlich umzusetzen. Haftbar für die Einhaltung der Datenschutzbestimmungen sind der Verantwortliche oder der Auftragsverarbeiter; die Tätigkeit des DSB beschränkt sich auf eine beratende und kontrollierende Rolle.

Eine Haftung des DSB ist folglich ausschliesslich für diejenigen Schäden denkbar, die aufgrund seiner fehlerhaften Beratung entstanden sind. Dies gilt insbesondere, wenn grobe Fahrlässigkeit oder gar Vorsatz vorlag.

Bekanntgabe der Kontaktdaten des Datenschutzbeauftragten
1. Gemäss Art. 37 Abs. 7 DSGVO teilt der Verantwortliche oder der Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten (DSB) der Aufsichtsbehörde mit. (Meldeformular)
2. Die DSGVO verlangt darüber hinaus eine Veröffentlichung der Kontaktdaten des DSB an geeigneter Stelle, sodass betroffene Personen, Mitarbeitende oder sonstige Stellen den DSB bei Bedarf kontaktieren können. Dabei muss nicht notwendigerweise der Name des DSB angegeben werden, es genügt eine Kontaktadresse, unter der der DSB erreichbar ist (z.B. dsb@mustermann-ag.li).
3. Die Kontaktdaten des DSB sind des Weiteren anzugeben:
- bei der Konsultation der Aufsichtsbehörde gemäss Art. 36 DSGVO in Bezug auf eine Datenschutz-Folgenabschätzung;
- bei der Bereitstellung von Datenschutzinformationen für betroffene Personen gemäss Art. 13 und 14 DSGVO;
- bei der Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde gemäss Art. 33 DSGVO sowie
- bei der Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person gemäss Art. 34 DSGVO.

Leitlinien der Artikel-29-Datenschutzgruppe in Bezug auf Datenschutzbeauftragte
Leitlinien der Artikel-29-Datenschutzgruppe in Bezug auf Datenschutzbeauftragte („DSB“), April 2017:
- Deutsch
- Englisch

Zusammenfassung der wesentlichen Punkte der Leitlinien (WP243 rev.01)
Nachstehend sind die wichtigsten Bestimmungen der Leitlinie der Artikel-29-Datenschutzgruppe in Bezug auf Datenschutzbeauftragte (WP243 rev.01) aufgelistet:

Zwingend zu erfüllen:
- Unternehmen müssen einen Datenschutzbeauftragten (DSB) zwingend benennen, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmässige und systematische Überwachung von betroffenen Personen erforderlich machen. Als Beispiele werden die Bearbeitung von Patientendaten in einem Spital oder die Überwachung von Geschäften oder dem öffentlichen Raum durch eine Sicherheitsfirma genannt. Auf der anderen Seite fallen Standardlösungen zur Lohnzahlung von Angestellten nicht unter den Begriff der „Kerntätigkeit“. Zudem ist ein Datenschutzbeauftragter zu bestellen, wenn die Kerntätigkeit des betreffenden Unternehmens in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht.
- Der DSB ist bei der Erfüllung seiner Aufgaben an keine Weisungen gebunden und darf als Folge der Erfüllung seiner Aufgaben als DSB nicht abberufen oder benachteiligt werden.
- Ein DSB darf innerhalb des Unternehmens keine Tätigkeit ausüben, welche zur Entscheidung über Zwecke und Mittel einer Datenverarbeitung von personenbezogenen Daten führt. Als Positionen, die zu Interessenkonflikten mit der eines DSB führen, sieht die Artikel-29-Datenschutzgruppe ausdrücklich z.B. „head of marketing department“, „head of Human Resources“ oder „head of IT departments“. Neben diesen in der Senior Management Ebene angesiedelten Positionen können gemäss der Artikel-29-Datenschutzgruppe aber auch Positionen der unteren Management Ebenen zu Interessenkonflikten und damit zur Unvereinbarkeit mit der eines Datenschutzbeauftragten führen, wenn diese Positionen zur Entscheidung über Zwecke und Mittel einer Datenbearbeitung führen.
- Die Artikel-29-Datenschutzgruppe führt weiter aus, dass ein DSB zwingend das notwendige Fachwissen hinsichtlich der Praxis und der nationalen und europäischen Datenschutzgesetze, insbesondere vertiefte Kenntnisse der DSGVO, haben muss.
- Zur Gewährleistung der ordnungsgemässen Wahrnehmung seiner Aufgaben muss ein Unternehmen dem DSB die notwendigen Ressourcen zur Verfügung stellen. Die Artikel-29-Datenschutzgruppe sieht es hierbei von entscheidender Bedeutung an, dass der DSB genügend zeitliche Ressourcen zur effektiven Wahrnehmung seiner Aufgaben hat und diesem die Möglichkeit kontinuierlicher Fortbildung eingeräumt wird.
- Bei Benennung eines gemeinsamen DSB bei einer Unternehmensgruppe muss neben der zeitlich schnellen Erreichbarkeit auch die sprachliche Verständigungsmöglichkeit gewährleistet sein. Nach der Artikel-29-Datenschutzgruppe muss die Kommunikation des DSB bzw. dessen Team mit der Datenschutzaufsichtsbehörde in der Amtssprache des Landes erfolgen.
Fakultative Bestimmungen:
- Eine Unternehmensgruppe darf einen gemeinsamen DSB benennen, wenn dieser von jeder Niederlassung aus leicht erreicht werden kann. Um eine leichte Erreichbarkeit zu gewährleisten, empfiehlt die Artikel-29-Datenschutzgruppe einen im EWR ansässigen DSB zu benennen.
- Ein vertieftes Wissen hinsichtlich des Unternehmensgegenstandes und der Unternehmensziele ist nach der Artikel-29-Datenschutzgruppe für die Ausübung der Position eines DSB wertvoll und zweckdienlich.
Zu erwähnen ist schlussendlich, dass nach Art. 37 Abs. 6 DSGVO der DSB Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein kann oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen kann.

Im Weiteren seien hier noch die Aufgaben, die dem DSB gem. Art. 39 DSGVO obliegen, erwähnt:
- Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
- Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschliesslich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
- Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäss Art. 35 DSGVO;
- Zusammenarbeit mit der Aufsichtsbehörde;
- Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschliesslich der vorherigen Konsultation gemäss Art. 36 DSGVO, und gegebenenfalls Beratung zu allen sonstigen Fragen.
Bei der Erfüllung seiner Aufgaben muss der DSB dem mit den Verarbeitungsvorgängen verbundenen Risiko stets gebührend Rechnung tragen, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Online-Formular betreffend die Mitteilung der Benennung eines Datenschutzbeauftragten (DSB) an die Datenschutzstelle.