Österreich: Neues EU-Datenschutzrecht: Datenschutzbeauftragter

Die ab dem 25. Mai 2018 geltende Datenschutzgrundverordnung (DSGVO) führt die Pflicht zur Benennung eines Datenschutzbeauftragten (DSB) ein. Der DSB soll als Ansprechpartner für alle datenschutzrechtlichen Belange im Unternehmen fungieren und bei allen Themen des Unternehmens mit Datenschutzbezug involviert werden. Er kann ein Mitarbeiter des Unternehmens (sog. interner DSB) oder ein außenstehender Dritter (sog. externer DSB) sein. Der DSB ist ein Organ des Unternehmens, er ist Anlaufstelle für die Aufsichtsbehörde, das Unternehmen und die betroffenen Personen.

Bennenung

Sowohl Verantwortliche wie auch Auftragsverarbeiter können verpflichtet sein, einen DSB zu benennen. Diese Pflicht betrifft öffentliche Stellen (mit Ausnahme von Gerichten), sowie diejenigen Unternehmen, deren Kerntätigkeit in der umfangreichen, regelmäßigen und systematischen Überwachung von Personen oder in der umfangreichen Verarbeitung besonderer Kategorien von Daten (hierzu zählen z.B. solche über die rassische oder ethnische Herkunft, Religion, Gesundheit) oder von Daten über strafrechtliche Verurteilungen und Straftaten besteht. Versicherungsunternehmen oder Gesundheitsdienstleister, sowie u.U. auch Unternehmen, die Kundenbindungsprogramme oder Videoüberwachung einsetzen, sind ebenfalls verpflichtet, einen DSB zu bestellen. Bei Erweiterung des Leistungsangebots sollte stets geprüft werden, ob ein DSB zu bestellen ist. Aufgrund der Öffnungsklausel in diesem Bereich kann es auch nationale Sonderregelungen zur Bestellung eines DSB geben.

Eine Unternehmensgruppe darf einen gemeinsamen DSB benennen, sofern er von jeder Niederlassung aus leicht erreicht werden kann. Bei der Auswahl des DSB ist darauf zu achten, dass sich aus seiner sonstigen Tätigkeit im Unternehmen kein Interessenskonflikt ergibt. Dies ist z.B. bei einem Marketingleiter der Fall.

Unabhängigkeit und Haftung

Die Benennung eines DSB befreit das Unternehmen nicht von einer Haftung bei Nichteinhaltung der DSGVO. Im Zusammenhang mit der Erfüllung der Aufgaben kann das Unternehmen dem DSB weder Anweisungen erteilen, noch diesen benachteiligen oder entlassen. Schadenersatzklagen des Unternehmens gegen den DSB sind jedoch ggf. nach nationalem Recht möglich. Das Unternehmen unterstützt den DSB bei der Erfüllung seiner Aufgaben und muss ihm Einblick in die Datenverarbeitungsprozesse gewähren. Der DSB berichtet dem obersten Management direkt.

Qualifikation und Aufgaben

Der DSB soll über berufliche Qualifikation, Fachwissen und Erfahrung auf dem Gebiet des Datenschutzrechts verfügen. Der DSB wird von anderen Abteilungen des Unternehmens – insbesondere von der IT- oder Rechtsabteilung – oder wenn erforderlich, von einem gesonderten Team unterstützt. Der DSB ist in sämtliche im Betrieb auftretende Vorkommnisse mit Datenbezug zu involvieren. Der DSB hat Informationen über die Verarbeitungsvorgänge zu analysieren und dokumentieren und Handlungsempfehlungen auszusprechen. Darüber hinaus unterrichtet der DSB über die Pflichten nach der DSGVO, nationalem Datenschutzrecht und internen Richtlinien, überwacht deren Einhaltung und arbeitet mit der Aufsichtsbehörde zusammen. Der DSB ist zur Vertraulichkeit verpflichtet.

Informationspflichten

Die Kontaktdaten des DSB (aber nicht unbedingt sein Name) sind insbesondere auf der Webseite und im Intranet zu veröffentlichen. Die Kontaktdaten des DSB sind der Aufsichtsbehörde mitzuteilen.

Bei weiteren Fragen stehen unsere KollegInnen der jeweiligen Standorte jederzeit gerne zur Verfügung.

Weitere Artikel zum Themenschwerpunkt „Datenschutzgrundverordnung 2018“