Der Datenschutzbeauftragte: Was er kann und welche Vorteile er bringt

Wer ist für den Datenschutz in Österreich zuständig?

Grundsätzlich ist in Österreich die Datenschutzbehörde für den Datenschutz zuständig. Sie hat 2014 ihre Vorgängerin, die Datenschutzkommission, abgelöst. Mit der Neuregelung wurde gewährleistet, dass die Behörde sowohl unabhängig als auch weisungsfrei arbeiten kann. Zu ihren Hauptaufgaben zählen

  • die Führung  eines Datenverarbeitungsregisters
  • die Überwachung der Einhaltung des DSG
  • Entscheidungen über Beschwerden der Betroffenen.

Für weitere Informationen gelangen Sie hier zur Homepage der Datenschutzbehörde.

Was bringt die EU-Datenschutzgrundverordnung?

Mit 25. Mai 2018 tritt die Datenschutz-Grundverordnung in Kraft. Sämtliche Datenanwendungen müssen bis dahin an die neue Rechtslage angepasst werden. Durch die Neuerungen wird eine Meldepflicht bei der Datenschutzbehörde obsolet. Dafür wird die Verantwortung für das einzelne Unternehmen (sowohl Verantwortliche und Auftragsverarbeiter) angehoben. Bei der Datenverarbeitung gibt es eine weitreichende Neuregelung der Pflichten, von denen hier einige exemplarisch aufgelistet werden:

  • Datenschutzfreundliche Voreinstellungen sollen getroffen werden. Unter „datenschutzfreundlich“ wird verstanden, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn ihre Verarbeitung zum jeweiligen bestimmten Zweck erforderlich ist.

  • Verantwortliche und Auftragsverarbeiter müssen ein Verzeichnis von Verarbeitungstätigkeiten führen. Dieses beinhaltet Datenkategorien, Personenkategorien, Empfängerkategorien, Löschungsfristen, etc. Ein solches Verzeichnis muss nicht von Unternehmen mit weniger als 250 Mitarbeitern  geführt werden, außer die Datenverarbeitung birgt gewisse Risiken für die betroffenen Personen oder die Verarbeitung der Daten erfolgt regelmäßig, in einer bestimmten Datenkategorie bzw. über strafrechtliche Verurteilungen.

  • Verletzungen des Schutzes von personenbezogenen Daten müssen der nationalen Aufsichtsbehörde (Datenschutzbehörde Österreich) und der betroffenen Person ohne Verzögerung mitgeteilt werden.

  • Diverse Informationspflichten und Betroffenenrechte, wie Auskunftsrechte, Recht auf Löschung, Recht auf Verarbeitungseinschränkung, Mitteilungspflicht bei Berichtigung oder Löschung, etc.

  • Befugnisse von Aufsichtsbehörden werden erweitert und bei Nichteinhaltung können empfindliche Strafen verhängt werden.

  • Unter gewissen Voraussetzungen ist das Unternehmen dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen.

Weitere Informationen zur EU Datenschutzgrundverordnung finden Sie auch auf der Homepage der WKO .

 

Wer ist der Datenschutzbeauftragte?

Der Datenschutzbeauftragte, kurz DSB, ist in der Organisation für die Einhaltung des Datenschutzes zuständig. Abgesehen von der internen Besetzung aus der eigenen Organisation ist es auch möglich, einen externen Datenschutzbeauftragten zu bestellen. Wichtig für die Ausübung der Funktion ist, neben der nötigen Fachkunde, dass der Datenschutzbeauftragte nicht selbst in einen Konflikt gerät oder sich selbst kontrollieren muss.

In gewissen Fällen sieht die EU-weite DSGVO eine Benennung des Datenschutzbeauftragten zwingend vor:

PC im Freien

  • Die Kerntätigkeit des Unternehmens liegt in der Durchführung von Verarbeitungsvorgängen, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Banken, Versicherungen, Kreditauskunft)

  • Die Kerntätigkeit liegt in der umfangreichen Verarbeitung sensibler Daten oder Daten über strafrechtliche Verurteilungen oder Straftaten (Krankenanstalten)

 Sowohl Verantwortliche als auch Auftragsverarbeiter können dieser Verpflichtung unterliegen.

Eine freiwillige Bestellung eines Datenschutzbeauftragten ist jederzeit möglich. Der freiwillig bestellte Datenschutzbeauftragte hat dieselbe Stellung und dieselben Aufgaben wie der verpflichtend zu bestellende. Eine Ausbildung zum zertifizierten Datenschutzbeauftragten wird beispielsweise von der TÜV Akademie angeboten.

Die Aufgaben des Datenschutzbeauftragten:

  • Unterrichtung und Beratung der Unternehmer und Mitarbeiter zu ihren Pflichten nach Datenschutzrecht

  • Überwachung und Prüfung der Einhaltung von Vorschriften und Strategien zum Datenschutz

  • Beratung im Zusammenhang mit der Folgeabschätzung

  • Zusammenarbeit mit der Aufsichtsbehörde

Anforderungen und Stellung im Unternehmen:

Nicht jeder Mitarbeiter kann Datenschutzbeauftragter werden. Neben adäquatem Fachwissen auf dem Gebiet des Datenschutzrechts muss er auch die Fähigkeit besitzen, die genannten Aufgaben uneingeschränkt wahrzunehmen.

Neben der internen Besetzung kann auch ein externer Datenschutzbeauftragter bestellt werden. Er muss die bestmögliche Unterstützung bei der Erfüllung seiner Aufgaben erhalten und Zugang zu sämtlichen erforderlichen (personenbezogenen) Ressourcen haben. Das Unternehmen muss auch für die Erhaltung des Fachwissens des DSB sorgen, das bedeutet regelmäßige Fortbildungen bei interner Besetzung.

Der Datenschutzbeauftragte arbeitet weisungsfrei und darf aufgrund der Tätigkeit nicht benachteiligt werden – er hat jedoch keinen besonderen Kündigungsschutz. Für alle Betroffenen muss er für Fragen zur Verfügung stehen. Bei der Erfüllung seiner Aufgaben ist der Datenschutzbeauftragte zu Geheimhaltung und Vertraulichkeit verpflichtet. Führt er neben dieser Tätigkeit noch andere durch, darf dies nicht zu einem Interessenskonflikt führen.

Bestellung des Datenschutzbeauftragten:

Nach der Mitteilung der Kontaktdaten an die Datenschutzbehörde und deren Veröffentlichung ist der Datenschutzbeauftragte bestellt. Es darf auch ein Datenschutzbeauftragter pro Unternehmensgruppe bestellt werden.

Ob die ausdrückliche Bestellung dazu führt, dass das Unternehmen die Haftung an den DSB abwälzen kann, ist nicht eindeutig geklärt. Grundsätzlich gilt, dass die Verwaltungsstrafen nach DSGVO den Datenschutzbeauftragten nicht treffen, wenn er nicht gleichzeitig auch Beauftragter nach dem Verwaltungsstrafgesetz ist.

Vorteile eines externen Datenschutzbeauftragten:

Für die Rolle des Datenschutzbeauftragten bestehen zahlreiche Sonderregelungen. So darf seine Tätigkeit nicht in Konflikt mit anderen Tätigkeiten im Unternehmen stehen, er darf keine Weisungen erhalten und kann auch schon mal lästig werden. Das bedeutet nicht nur für den Vorgesetzten sondern auch für den bestellten Mitarbeiter eine Belastungsprobe. Der DSB muss allerdings nicht aus dem Unternehmen sein, sondern kann auch von außen bestellt werden.

Bei einem externen Datenschutzbeauftragten gibt es keine Differenzen bzgl. Zuständigkeiten, man kann sich auf Leute mit ausreichend Fachwissen beschränken, eventuelle Betriebsblindheit fällt weg und die eigenen Mitarbeiter können sich weiterhin auf ihre Kernaufgaben konzentrieren.

 Regeln zur Verarbeitung personenbezogener Daten, umfassende Rechte und Pflichten – zur Vorbereitung auf die EU-Datenschutz-Grundverordnung kommen auf jeden Fall Neuerungen auf viele Unternehmen zu. Um für die ab 25.5.2018 geltende DSGVO entsprechend vorbereitet zu sein, hat die WKO eine Checkliste von der Analyse des Ist-Zustands bis zur Umsetzung eines Maßnahmenplans online gestellt.

 

Fazit: Braucht jedes KMU einen Datenschutzbeauftragten? Mann mit 4 Haenden

Das derzeit in Österreich gültige Datenschutzgesetz sieht keine generelle Verpflichtung zur Benennung eines DSB vor. Kleinstbetriebe und KMUs sind allerdings gut beraten, sich schon jetzt mit der Idee einer zukünftigen Benennung und den verbindlichen Regelungen auseinanderzusetzen. Die Einführung und der Betrieb eines gesetzeskonformen Datenschutz-Managements sind schon jetzt für Unternehmen über 250 Mitarbeiter notwendig und die diversen Vorarbeiten nehmen viel Planungsarbeit in Anspruch.Idealerweise besteht bei einem der Mitarbeiter Interesse, das Amt zu bekleiden. Die vorhandene Kenntnis der Strukturen und Abläufe macht die Arbeit einfacher, er ist bereits in den Betriebsablauf eingebunden. Allerdings birgt die Tätigkeit einen nicht zu unterschätzenden Zeitaufwand. Eine externe Person in den Betriebsablauf einzugliedern kann ebenfalls dauern.Die weitere Entwicklung der EU-Datenschutzrichtlinie wird zeigen, ob künftig auch KMUs einen Datenschutzbeauftragten einstellen müssen. In der Zwischenzeit kann es jedoch nicht schaden, sich mit der Thematik zu befassen. Weitere Informationen zu "Datenschutz im Unternehmen" erhalten Sie auch in unserem Seminar unter forum-fachseminare.at

 

Daniel Weser, Marketing

Bildrechte: Fotolia.com - maxsim

Tags: Datenschutz
Bitte geben Sie die Zahlenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.