Warum braucht ein Schweizer Unternehmen einen Datenschutzbeauftragten?

Die Datenschutzverordnung der EU (DSGVO) ist seit Mai 2018 in Kraft und regelt die Datenschutzpraktiken aller Unternehmen, die mit personenbezogenen Daten von Personen in der EU umgehen, unabhängig davon, ob diese Unternehmen ihren Sitz in der EU haben oder nicht. Da die 28 Mitgliedstaaten der EU zusammen die größte Volkswirtschaft der Welt und 80 Länder die wichtigsten Handelspartner sind, kaufen und verkaufen viele Unternehmen auf der ganzen Welt Waren und Dienstleistungen an EU-Personen.

Die DSGVO verlangt von vielen Unternehmen die Ernennung eines Datenschutzbeauftragten (DPO). Im neuen Data Governance-System wird der DPO ein wichtiger Akteur sein und die Bedingungen für seine Ernennung, Position und Aufgaben festlegen. Benötigen die Unternehmen einen DPO? Wenn ja, welche Schritte sind für ihre Ernennung, Position und Aufgaben erforderlich?

Am 24. Januar 2018 hat Isabelle Falque-Pierrotin, Datenschutzbeauftragte der Republik Frankreich, Vorsitzende der CNIL- Französische Datenschutzbehörde, mitgeteilt, dass die Zahl der Datenschutzbeauftragten bei weitem nicht den Bedürfnissen in Frankreich entspricht: „80‘000 Unternehmen und öffentliche Einrichtungen müssen einen DPO ernennen, heute sind es nur 18‘000“.

Im 2018, schätzte die International Association of Privacy Professionals, dass mindestens 75‘000 DPO-Stellen als Reaktion auf die DSGVO weltweit geschaffen werden, sobald sie in Kraft tritt. Im Folgenden sind die DPO-Anforderungen für jeden der 10 wichtigsten europäischen Handelspartner aufgeführt:

1.       US: 9000

2.       China: 7568

3.       Schweiz: 3682

4.       Russland: 3068

5.       Türkei: 2045

6.       Norwegen: 1790

7.       Japan: 1688

8.       Südkorea: 1330

9.       Indien: 1125

10.     Brasilien: 972

 

Die Schweiz ist bereits mit dem Konzept der DPOs vertraut, mehrere Unternehmen haben bereits eine DPO-Position entwickelt. Dennoch ist diese Rolle für viele Unternehmen sehr neu und erfordert daher entsprechend qualifiziertes Personal. Unternehmen sollten daher ihre momentane Situation so schnell wie möglich anschuauen und prüfen,ob sie in naher Zukunft einen DPO zu ernennen haben.

Wann benötigen Sie einen DPO als Schweizer Unternehmen?

Nach dem geltenden schweizerischen Datenschutzgesetz besteht keine Verpflichtung zur Ernennung eines Datenschutzbeauftragten. Ein für die Datenverarbeitung Verantwortlicher kann jedoch von der Registrierung seiner Dateien befreit werden, wenn er einen Datenschutzbeauftragten benannt hat. Der für die Datenverarbeitung Verantwortliche muss den EDÖB über die Ernennung eines Datenschutzbeauftragten informieren und wird daraufhin in die öffentliche Liste der von der Registrierungspflicht befreiten Unternehmen aufgenommen.

Da es sich bei DSGVO um eine EU-Verordnung handelt, ist leicht zu glauben, dass die Schweiz und die Schweizer Unternehmen nicht betroffen sind, so dass die DSGVO für Unternehmen, die in der Schweiz tätig sind, nicht relevant wäre. Diese Schlussfolgerung ist jedoch falsch.

Executive School Studiengang:
Law & Management

Data Protection Officer

The new European data protection legislation (General Data Protection Regulation - GDRP) has been in force since 25 May 2018. It aims to make companies and public administrations genuinely responsible for protecting the personal data of individuals.

Beispiele für Situationen, in denen ein Schweizer Unternehmen in den Anwendungsbereich der DSGVO fallen könnte.

Zahlreiche Schweizer Unternehmen, die keine lokale Präsenz oder nur Tochtergesellschaften in der EU haben, fallen auch in den Anwendungsbereich der EU DSGVO-Gesetzgebung. Folgend einige Szenarien:

  • Ein Schweizer Unternehmen führt (einen Teil) seiner Verarbeitungstätigkeiten in einem EU-Land durch.
  • Schweizer Unternehmen bietet Waren oder Dienstleistungen über einen Online-Shop den EU-Personen an.
  • Eine EU-Tochtergesellschaft eines Schweizer Unternehmens verarbeitet personenbezogene Daten seiner EU-Mitarbeiter.
  • Schweizer Unternehmen sammelt Daten über das (Online-)Verhalten der EU-Personen für Marketingzwecke.

DSGVO präsentiert neue Datenschutzbestimmungen mit einer größeren geografischen Reichweite. Aber auch wenn sich ein Schweizer Unternehmen nicht mit EU-Datensätzen beschäftigt, verdient die Einhaltung des Datenschutzes Beachtung. Dies gilt umso mehr, als für die nahe Zukunft Änderungen der schweizerischen Datenschutzgesetzgebung geplant sind.

Wer ist der Datenschutzbeauftragte?

Ein Datenschutzbeauftragter (DPO) ist eine Führungsrolle im Sicherheitsbereich des Unternehmens. Die Datenschutzbeauftragten sind für die Überwachung der Datenschutzstrategie und -umsetzung verantwortlich, um die Einhaltung der gesetzlichen Anforderungen sicherzustellen.

  • DPOs unterstützen das Unternehmen bei der Überwachung der internen Compliance, informieren und beraten über Datenschutzverpflichtungen und fungieren als Anlaufstelle für die betroffenen Personen und die Aufsichtsbehörde.
  • Der DPO muss unabhängig sein, ein Experte für Datenschutz, über ausreichende Ressourcen verfügen und der obersten Führungsebene unterstellt sein.
  • Ein DPO kann ein bestehender Mitarbeiter oder ein extern ernannter Mitarbeiter sein. Der DPO, ob obligatorisch oder freiwillig, ist für alle Verarbeitungen bestimmt, die der Kontrolleur oder der Verarbeiter durchführt.
  • In einigen Fällen können mehrere Unternehmen einen einzigen DPO zwischen ihnen ernennen.
  • DPOs können dem Unternehmen helfen, die Einhaltung der Vorschriften nachzuweisen und sind Teil des verstärkten Fokus auf die Rechenschaftspflicht.
  • DPOs fungieren als Vermittler zwischen relevanten Interessensgruppen (z.B. Supervisory-behörden, Betroffene und Geschäftseinheiten innerhalb eines Unternehmens).

 

Picture from istock

Newsletter Signup

Please wait...

Thank you for signing up!