Spoiler: Nicht per Losverfahren! Denn mit der rasant fortschreitenden Digitalisierung kommt der Rolle der Datenschutzberaterin (DSB) eine immer entscheidendere Bedeutung zu. Sie ist Garantin der Datenschutz-Compliance und trägt zum Vertrauen in das Unternehmen bei. Die Besetzung der Rolle muss mit der notwendigen Sorgfalt erfolgen.
von Anna Kuhn
Ernennung der Datenschutzberaterin: Pflicht oder nice to have?
Für Schweizer Privatunternehmen ist die Wahl einer DSB freiwillig. Im öffentlichen Sektor auf Bundesebene ist die Ernennung jedoch vorgeschrieben. In den Kantonen bzw. Gemeinden wird dies – je nach kantonalem Datenschutzgesetz – unterschiedlich gehandhabt. Die DSGVO sieht eine ähnliche, wenn auch leicht restriktivere Regelung vor.
Die Bezeichnung einer für den Datenschutz zuständigen Person ist ein wichtiger Bestandteil des Risikomanagements und – noch wichtiger – fördert das Vertrauen in das Unternehmen. Letzteres gilt für Kundinnen und Kunden, Mitarbeitende u.a. betroffene Personen gleichermassen.
Unternehmen sind daher gut beraten, auch unabhängig einer rechtlichen Verpflichtung, eine für den Datenschutz verantwortliche Person zu benennen. Dies jedenfalls dann, wenn sie umfangreich oder sensitive Personendaten bearbeiten.
Was verlangt das DSG von der Datenschutzberaterin?
Die Rolle der DSB kann nicht durch eine beliebige Person besetzt werden. Dies geht zunächst aus dem DSG hervor. Es enthält folgende Anforderungen:
• Unabhängigkeit und Weisungsungebundenheit
• Keine Unvereinbarkeit aufgrund anderer Tätigkeiten
• Erforderliche Fachkenntnisse
• Veröffentlichung der Kontaktdaten und Bekanntgabe an Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)
Diese Anforderungen gelten für private Unternehmen zumindest dann, wenn sie gewisse Privilegien beanspruchen wollen (bspw. keine Konsultation des EDÖB zu Datenschutz-Folgenabschätzungen). Für Bundesorgane gelten die erwähnten Anforderungen in jedem Fall.
Benennt man freiwillig eine DSB, sind die erwähnten Anforderungen nicht zwingend. Um Verwechslungen mit der gesetzlichen DSB zu vermeiden, empfiehlt sich dann eine andere Bezeichnung (bspw. Datenschutzkoordinator oder Privacy Officer).
Sind weitere (persönliche) Aspekte zu beachten?
Ja, unbedingt! Denn bei der DSB handelt es sich um eine stark interdisziplinäre Rolle. Dies erfordert ausgezeichnete Kenntnisse der Unternehmensprozesse und eine Verständigung mit sämtlichen Bereichen (z.B. Human Resources, Finanzen, IT). Umgekehrt müssen datenschutzrechtliche Inhalte an meist nicht juristisch geschulte Mitarbeitende vermittelt werden. Dazu sind starke kommunikative Fähigkeiten und eine gute Vernetzung im Unternehmen unabdingbar. Wichtig ist auch ein guter Draht zu Entscheidungsträgerinnen, Mitarbeitenden und Behörden.
Da man den Datenschutz oft «verteidigen» muss, braucht es Durchsetzungsfähigkeit und Fingerspitzengefühl. Diskussionen um zusätzliche Ressourcen oder zur Unterbindung gewisser Datenbearbeitungen können hitzig werden. Aufgabe der DSB ist sodann die Schulung und Beratung in Datenschutzfragen. Um der Organisation den Datenschutz «schmackhaft» zu machen, ist eine Identifikation mit den Datenschutzinteressen sowie eine gewisse Begeisterungsfähigkeit für das Thema wichtig («yay, we love privacy!»). Fehlt die persönliche Motivation, fehlt der DSB die Glaubwürdigkeit.
Es darf nicht vergessen werden, dass es beim Datenschutz um ein Grundrecht – und nur indirekt um Unternehmensziele – geht. Dies erfordert ein hohes Mass an Integrität und Ethik, das die DSB verkörpern sollte.
Was muss das Unternehmen sicherstellen?
Zu den obigen Anforderungen hinzu kommt, dass das Unternehmen die DSB mit den notwendigen Instrumenten versorgen muss. Dazu gehören genügende Ressourcen sowie der Zugang zu allen Informationen und zur Infrastruktur, die es zur Aufgabenerfüllung braucht.
Die Unternehmensleitung sollte somit den «Datenschutz-Hut» nie ohne Weiteres einem beliebigen Mitarbeitenden aufsetzen (was man in der Praxis leider immer wieder sieht…). Ansonsten kann die DSB ihre Aufgabe nicht bzw. nur schlecht erfüllen. Ein solches Vorgehen birgt auch rechtliche Risiken für die Organisation (bspw. infolge arbeitsrechtlicher Fürsorgepflicht).
Wie ist die Datenschutzberaterin zu positionieren?
Bei der DSB handelt es sich um eine Führungsposition. Die organisatorische Stellung der DSB darf jedoch nicht zu Interessenkonflikten führen. Sie darf nicht gleichzeitig Leitungs- bzw. Exekutivfunktionen innehaben (bspw. Geschäftsleitung, Leiterin HR oder IT). Möglich ist die Ansiedlung als Stabstelle.
Alternativ kann man eine externe DSB im Auftragsverhältnis beiziehen (Data Protection as a Service). Dies hat u.a. folgende Vorteile:
• Effizienzsteigerung
• keine Overhead-Kosten
• Flexibilität (Beginn, Ende, Stellenprozent)
• Kompensation für fehlendes internes Fachwissen
Für Bundesorgane regelt das Datenschutzgesetz, dass sie eine gemeinsame DSB ernennen können. Dies ist v.a. für kleine Organisationen oder Organisationen mit ähnlichen Aufgabenbereichen (z.B. Bildung, Forschung) sinnvoll.
Was heisst das nun?
Die Position der DSB ist in der digitalen Welt von höchster Bedeutung. Die Anforderungen an die Rolle sind hoch und im Evaluationsprozess ist genau festzulegen, was die Bedürfnisse des Unternehmens an die DSB sind. Nebst gesetzlichen Anforderungen sind insbesondere auch persönliche Eigenschaften zu berücksichtigen. Weiter muss auch das Unternehmen selber die erforderlichen Instrumente bereitstellen und die DSB richtig positionieren. Eine gewisse Flexibilität besteht insoweit, als die Position auch durch eine externe Person ausgeübt werden kann.
Diese Arbeit ist anspruchsvoll. Eine genaue Auseinandersetzung mit der Rolle lohnt sich aber auf jeden Fall. Denn die DSB unterstützt nicht nur bei der Einhaltung des Rechts und der Mitigierung von Risiken, sie beeinflusst auch die Kultur, das Vertrauen und letztendlich den (wirtschaftlichen) Erfolg einer Organisation.
Image credit: Adobe Stock Images