Es handelt sich um eine bewährte Idee in neuem Gewand: Die neuen Bestimmungen zum Datenschutzberater für Private finden sich in Art. 10 des DSG und Art. 23 f. der neuen Datenschutzverordnung (DSV), für Bundesorgane in Art. 25 ff. DSV. Die Pflicht, einen Datenschutzberater zu ernennen, trifft auch Unternehmen und Personen, wenn sie als Bundesorgan gelten. Entscheidend ist, ob sie mit öffentlich-rechtlichen Aufgaben des Bundes betraut sind. Ist nicht klar, ob eine Tätigkeit der Erfüllung einer öffentlich-rechtlichen Aufgabe des Bundes dient, empfiehlt es sich, diese Frage genau abzuklären (vgl. Beitrag von Anja Josuran-Binder, Das privatrechtliche Datenschutzrecht im Behördenalltag, bratschiLETTER Öff.-Recht September 2023).

1. Zum Institut des Datenschutzberaters

Die Idee des Datenschutzberaters ist nicht neu. Bereits unter dem alten Datenschutzgesetz (aDSG) mussten die Bundeskanzlei und die Departemente jeweils mindestens einen Berater für den Datenschutz ernennen. Auch das europäische Recht, das für die Schweiz oder Schweizer Unternehmen und Personen verbindlich ist, sieht einen «Datenschutzbeauftragten» vor. So kennen diejenigen Schweizer Unternehmen, die eine Niederlassung in der EU oder im EWR haben, den Datenschutzbeauftragten im Sinne der DSGVO. Und aufgrund der Bestimmungen der Richtlinie (EU) 2016/680 – eine Weiterentwicklung des Schengen-Besitzstandes – haben die Strafverfolgungs- und Strafvollzugsbehörden auch auf kantonaler und kommunaler Ebene seit mehreren Jahren jeweils einen eigenen Datenschutzberater.

Mit der Bezeichnung des «Datenschutzberaters» im neuen Datenschutzgesetz (DSG) kommt zum Ausdruck, dass die ernannte Person nicht für den Datenschutz verantwortlich ist. Deshalb sollte dem Datenschutzberater keine Weisungs- und Entscheidbefugnis zukommen. Verantwortlich bleibt der «Verantwortliche» im Sinne des DSG, das heisst, die private Person oder das Bundesorgan, die oder das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet (Art. 5 lit. j DSG). Wird dieser Grundsatz beachtet, besteht auch keine besondere Gefahr der Haftung oder Strafbarkeit (insbesondere nach dem DSG), zumindest nicht über den Rahmen hinaus, der bei Arbeitnehmern oder Auftragsnehmern ohnehin besteht. Denkbar ist zum Beispiel der Fall, in dem ein Auskunftsbegehren falsch behandelt wird und dadurch Unberechtigte Kenntnis von Personendaten erlangen. Damit der Datenschutzberater seine Aufgaben erfüllen kann, muss ihm der Verantwortliche die notwendigen Ressourcen zur Verfügung stellen, Zugang zu allen erforderlichen Auskünften, Unterlagen, Verzeichnissen der Bearbeitungstätigkeit und Personendaten gewähren und das Recht einräumen, in wichtigen Fällen das oberste Leitungs- oder Verwaltungsorgan zu informieren. Gerade auch unter diesem Aspekt scheint es zweckmässig, den Datenschutzberater direkt der Geschäfts- oder Amtsleitung zu unterstellen.

2. Aufgaben

Der Datenschutzberater im Sinne des DSG ist vor allem zuständig für die Schulung und Beratung seiner Mitarbeitenden und Vorgesetzten sowie für die Mitwirkung bei der Anwendung des Datenschutzrechts. Mitwirkung bedeutet unter anderem, die Bearbeitung von Personendaten zu prüfen, Empfehlungen auszusprechen, die Verantwortlichen bei der Erstellung der Datenschutz-Folgenabschätzung (DSFA) zu beraten und die Ausführung zu überprüfen.

So trägt der Datenschutzberater zur Compliance im Unternehmen und bei den Bundesorganen bei. Besonders dort, wo Personendaten zum Kerngeschäft gehören, ist es sinnvoll, einen Datenschutzberater zu ernennen. Je nach Tätigkeitsbereich müssen auch spezialgesetzliche Bestimmungen beachtet werden, wodurch die Komplexität des Themas zunimmt. Zu denken sei etwa an Spitäler, andere Leistungserbringer und Versicherer im Gesundheitsbereich oder Banken.

Der Datenschutzberater ist sodann Anlaufstelle für seine Mitarbeitenden und Vorgesetzten, die betroffenen Personen sowie für die Behörden, die in der Schweiz für den Datenschutz zuständig sind. Zu letzteren gehört insbesondere der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB). Der EDÖB muss grundsätzlich konsultiert werden, wenn sich aus der DSFA ergibt, dass die geplante Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen zur Folge hat. Private Verantwortliche können von der Konsultation absehen, wenn sie den eigenen Datenschutzberater konsultiert haben (Art. 23 Abs. 4 DSG). Diese Ausnahme gilt jedoch nur, wenn der Datenschutzberater die gesetzlichen Voraussetzungen erfüllt, und seine Kontaktdaten zuvor veröffentlicht und dem EDÖB über dessen elektronisches Meldeportal gemeldet worden sind. Bundesorgane sind von dieser Ausnahme nicht erfasst.

3. Anforderungen an den Datenschutzberater

Um als Datenschutzberater im Sinne des DSG zu gelten, muss die ernannte Person bestimmte Voraussetzungen erfüllen. Sie muss über die erforderlichen Fachkenntnisse verfügen und ihre Funktion gegenüber dem Verantwortlichen fachlich unabhängig und weisungsungebunden ausüben. Unabhängig bedeutet, dass der Datenschutzberater keine Tätigkeiten übernehmen darf, die mit seinen Aufgaben unvereinbar sind. Er sollte beispielsweise nicht Mitglied der Geschäftsleitung, der Personalführung oder der Informationsverwaltung sein, da die Auseinandersetzung mit strategischen oder operativen Fragen einen neutralen Blick auf den Datenschutz erschweren kann. Idealerweise kennt sich der Datenschutzberater nicht nur mit rechtlichen Fragen aus, sondern hat auch ein gewisses Verständnis für Informationssicherheit und Informationsverwaltung, mithin auch für technische und organisatorische Aspekte der Bearbeitung von Personendaten. Unter Umständen kann es sinnvoll sein, die Aufgaben auf mehrere Personen zu verteilen.

4. Auslagerung der Funktion auf Dritte

Hat ein Unternehmen oder ein Bundesorgan keine Kapazität, aus seiner Mitte einen Datenschutzberater zu ernennen, kann es eine aussenstehende Person damit beauftragen. Externe Datenschutzberater können ein Unternehmen oder das Bundesorgan entlasten und ihre Fachkompetenz gezielt und effizient einbringen. Wichtig ist dabei, dass sie eine Ansprechperson innerhalb des Unternehmens oder des Bundesorganes haben, die ihrerseits eine gewisse Affinität für datenschutzrechtliche und organisatorische Fragen hat. Dies erleichtert den Informationsaustausch sowie die Integration des externen Wissens. Die Auslagerung kann dabei ganz oder auch nur teilweise erfolgen.

5. Was geschieht in den Kantonen?

Auch auf kantonaler und kommunaler Ebene könnten bald flächendeckend Datenschutzberater ernannt werden. In mehreren Kantonen sind Revisionen der Datenschutzgesetze im Gange. Davon werden voraussichtlich einige neu die öffentlichen Organe dazu verpflichten, einen Datenschutzberater zu bezeichnen, so etwa das revidierte Gesetz über die Information und den Datenschutz (IDG) des Kantons Zürich, das zurzeit im Kantonsrat behandelt wird. Auch dort wird sich gewissen Unternehmen oder Personen die Frage stellen, ob diese Pflicht auch sie trifft, weil sie öffentlich-rechtliche Aufgaben erfüllen.

6. Fazit

Der Gesetzgeber trägt mit der Idee des Datenschutzberaters der zunehmenden Relevanz des Datenschutzes im staatlichen und geschäftlichen Kontext Rechnung und bringt zum Ausdruck, dass sich eine gute Beratung auch für Private lohnen kann.