Allgemein

Ein externer Datenschutzbeauftragter muss nicht gleich ein Rechtsanwalt sein

Mit der DSGVO kommt viel Neues auf uns zu! Mehr Eigenverantwortung, weniger Vorabkontrolle durch die Behörde, deutlich höhere Strafen und – abhängig vom Unternehmensgegenstand – ein verpflichtender Datenschutzbeauftragter. Es stellt sich daher die Frage, wer diese Aufgabe übernehmen darf. Zu den Aufgaben des Datenschutzbeauftragten zählen – neben der datenschutzrechtlichen Beratung und Überwachung – u.a. auch die Vertretung des Verantwortlichen vor der Datenschutzbehörde, weshalb teilweise die Ansicht vertreten wird, dass dies nur durch einen Rechtsanwalt möglich sei.

Die Datenschutz-Grund-Verordnung (kurz „DSGVO“ genannt) wird mit 25.5.2018 unmittelbar anwendbar sein und betrifft jedes Unternehmen, jeden Verein, jede Körperschaft oder sonstige Einrichtung, die personenbezogene Daten von natürlichen Personen („betroffene Personen“) verarbeitet. Derjenige, der über Mittel und Zweck der Datenverarbeitung entscheidet, wird „der Verantwortliche“ genannt.  Wann ist ein Datenschutzbeauftragter zu bestellen?

  • im öffentlichen Bereich zwingend
  • bei allen anderen abhängig von der Kerntätigkeit: sofern diese eine umfangreiche regelmäßige und systematische Überwachung betroffener Personen erfordert oder sie in der umfangreichen Verarbeitung von Daten besonderer Kategorien oder Daten über strafrechtliche Verurteilungen liegt, ist verpflichtend ein Datenschutzbeauftragter zu bestellen.

Bereits diese Definition stellt viele vor eine Herausforderung, da nicht immer eindeutig ist, ob die Kerntätigkeit dem entspricht und damit ein Datenschutzbeauftragter bestellt werden muss. Eine professionelle Unterstützung ist ratsam, diese wird u.a. von Anwälten, Unternehmensberatern oder auch IT-Dienstleistern angeboten. Entscheiden muss jedoch jeder Verantwortliche selbst. Ratsam ist, zu dokumentieren, warum man davon ausgeht, dass man keinen Datenschutzbeauftragten benötigt.

Nach der DSGVO kann entweder ein geeigneter Mitarbeiter („interner Datenschutzbeauftragter“) oder eben ein Externer auf der Grundlage eines Dienstleistungsvertrages bestellt werden („externer Datenschutzbeauftragter“). Ob im Unternehmen die Bestellung eines internen oder externen Datenschutzbeauftragten besser ist, hängt von unterschiedlichen Faktoren ab: Ist bereits internes Know-How vorhanden, aber fehlen die zeitlichen Ressourcen? Ist das Thema Datenschutz ganz neu und sollte in Zukunft stärker miteinbezogen werden?

Während ein interner Datenschutzbeauftragter die betrieblichen Abläufe besser kennt, hat der externe Datenschutzbeauftragte möglicherweise mehr Erfahrung. Der Interne kann frühzeitig eingebunden werden und arbeitet mit den handelnden Personen bereits zusammen. Die Einbindung eines Externen erfordert einen zeitlichen Mehraufwand, im Gegenzug hat man keine Ausbildungskosten (sehr wohl aber für den Internen) zu tragen. Je komplexer die Datenverarbeitungsvorgänge und je größer der Umfang von sensiblen Daten, desto höher sind auch die Anforderungen an die Fachkompetenz des Datenschutzbeauftragten.

Wichtig ist, dass die Person die Aufgaben auch erfüllen kann. Die Aufgaben des Datenschutzbeauftragten reichen von Beratung, Überwachung, Sensibilisierung bis hin zur Vertretung vor der Datenschutzbehörde als Aufsichtsbehörde. Ein Eingriff in das sogenannte Vertretungsmonopol der Rechtsanwälte liegt nicht vor, da die GewO (in § 136 Abs 3 Z 3) den Unternehmensberatern und IT Dienstleistern die Möglichkeit gibt, vor der Datenschutzbehörde zu vertreten.

Ein Monopol auf die Beratung in datenschutzrechtlichen Angelegenheiten kann daher nicht den Anwälten vorbehalten sein. Die Praxis zeigt, dass eine Datenschutzkonformität ein interdisziplinäres Denken (Recht, IT, Organisation) voraussetzt. Es macht wenig Sinn die Funktion des externen DSBA (Datenschutzbeauftragten) einer Berufsgruppe vorzubehalten, vielmehr sollten wir über den „fachlichen“ Tellerrand schauen und gemeinsam die Herausforderungen meistern.

Dieser Blogbeitrag wurde verfasst von:  Dr. Beata Mangelberger, Gründerin von lexetdata e.U., www.lexetdata.at

Keine Kommentare

Hinterlassen Sie einen Kommentar

Das könnte Sie auch interessieren