Wer braucht Datenschutzbeauftragten? Aufgaben? (NL 11b/18)

RA Mag. Stephan Novotny, Foto: Stephan Huger

Bisher war in die Bestellung eines Datenschutzbeauftragten nicht nötig. Doch ab dem 25.5.2018 müssen Unternehmen auch in Österreich zu prüfen, ob ein Datenschutzbeauftragter zu bestellen ist.

Unternehmen müssen einen Datenschutzbeauftragten bestellen, wenn

• die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
Beispiele: Banken, Versicherungen, Kreditauskunfteien und Berufsdetektive.

• die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht (z.B. Krankenanstalten).

Bei der genauen Auslegung dieser Definition wird wieder auf die „Art. 29-Gruppe“ verwiesen, über die wir bereits im Beitrag „Verfahrensverzeichnis, das wichtigste Dokument der DSGVO“ berichtet haben. Zum Nachlesen hier klicken…

Muss ein Datenschutzverantwortlicher bestellt werden, sind seine Kontaktdaten auf der Homepage zu veröffentlichen und der Datenschutzbehörde mitzuteilen.
Wird – trotz Verpflichtung – kein Datenschutzbeauftragter bestellt, droht eine Strafe von bis zu EUR 10 Mio. oder 2 % des letztjährigen weltweiten Jahresumsatzes.

Eine freiwillige Bestellung eines Datenschutzbeauftragten ist jederzeit möglich. Die meisten Firmen werden aber wohl einen Datenschutzverantwortlichen einsetzen, der die Umsetzung der DSGVO im Unternehmen vorantreibt und Ansprechpartner für die Behörden ist.

Achtung: Ein freiwillig bestellter Datenschutzbeauftragter hat dieselbe Stellung und dieselben Aufgaben wie ein verpflichtend zu bestellender Datenschutzbeauftragter.

Aufgaben des Datenschutzbeauftragten und seine Stellung im Unternehmen

Der Datenschutzbeauftragte muss Fachwissen auf dem Gebiet des Datenschutzrechtes und der Datenschutzpraxis besitzen und die Fähigkeit seine Aufgaben zu erfüllen. Diese beschreibt die WKO auf ihrer Datenschutzseite wie folgt:

• Die Unterrichtung und Beratung der Unternehmer und Mitarbeiter hinsichtlich ihrer Pflichten nach dem Datenschutzrecht.
• Die Überwachung und Überprüfung der Einhaltung der Datenschutzvorschriften und Strategien für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung der Mitarbeiter.
• Beratungen – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und der Überwachung ihrer Durchführung.
• Die Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für diese.

Der Datenschutzbeauftragte kann ein Dienstnehmer oder ein Selbständiger sein. Er ist ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Der Unternehmer muss den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben unterstützen und ihm dafür die erforderlichen Ressourcen und den Zugang zu den personenbezogenen Daten und Verarbeitungsvorgängen zur Verfügung stellen. Zur Erhaltung seines Fachwissens hat der Unternehmer ebenfalls die erforderlichen Ressourcen zu gewähren.

Der Datenschutzbeauftragte darf bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhalten. Weiters darf er vom Unternehmer wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Allerdings ist darin kein genereller Kündigungsschutz zu sehen. Der Datenschutzbeauftragte berichtet unmittelbar an die höchste Managementebene.

Betroffene Personen können mit dem Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte im Bereich der Datenschutz-Grundverordnung im Zusammenhang stehenden Fragen Kontakt aufnehmen. Er ist nach Ansicht der Art 29-Gruppe der primäre Ansprechpartner für betroffene Personen.

Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben zur Geheimhaltung und Vertraulichkeit verpflichtet. Dies gilt insbesondere in Bezug auf die Identität betroffener Personen, die sich an den Datenschutzbeauftragten gewandt haben, sowie über Umstände, die Rückschlüsse auf diese Personen zulassen, außer es ist eine ausdrückliche Entbindung von der Verschwiegenheitspflicht durch die betroffene Person erfolgt. Er kann auch andere Aufgaben und Pflichten übernehmen, doch darf dies nicht zu einem Interessenkonflikt führen.

RA Mag. Stephan Novotny
1010 Wien, Weihburggasse 4/2/22
kanzlei@ra-novotny.at