Rechtstipp

Der Datenschutzbeauftragte im Unternehmen

Seit 25. Mai 2018 gelten in Österreich umfassende neue Bestimmungen zum Datenschutz.

Preslmayr Rechtsanwälte Rechtstipp Recht

Verantwortliche und Auftragsverarbeiter haben gemäß Art 37 der Datenschutz-Grundverordnung (DSGVO) einen Datenschutzbeauftragten zu bestellen, wenn die Kerntätigkeit des Unternehmens entweder in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder in der Verarbeitung besonderer Kategorien von Daten („sensible Daten“) bzw. von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten liegt. Die Verpflichtung zur Benennung eines Datenschutzbeauftragten besteht unabhängig von der Unternehmensgröße oder der Anzahl der Mitarbeiter. Bei Verstößen gegen die Verpflichtung zur Bestellung eines Datenschutzbeauftragten drohen den Unternehmen erhebliche Geldbußen.

Die wesentlichen Aufgaben des Datenschutzbeauftragten bestehen in seiner Funktion als internes Beratungs- und Kontrollorgan. So hat der Datenschutzbeauftragte insbesondere die Verantwortlichen bzw. Auftragsverarbeiter und deren Beschäftigte hinsichtlich ihrer Pflichten nach der DSGVO und den nationalen Datenschutzbestimmungen zu unterrichten, zu beraten und die Einhaltung datenschutzrechtlicher Bestimmungen zu kontrollieren. Der Datenschutzbeauftragte hat überdies eine Beratungs- und Überwachungsfunktion im Zusammenhang mit der Datenschutz-Folgenabschätzung. Außerdem obliegt ihm die Zusammenarbeit mit der Aufsichtsbehörde.

Unternehmen haben gemäß Art 38 DSGVO sicherzustellen, dass der Datenschutzbeauftragte in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird und der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben unterstützt wird. Dabei ist insbesondere sicherzustellen, dass Datenschutzbeauftragte ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit und frei von Weisungen ausüben können.

White Paper zum Thema

Datenschutzbeauftragte können entweder Arbeitnehmer des Unternehmens oder externe Datenschutzbeauftragte auf Grundlage eines Dienstleistungsvertrages sein. Handelt es sich beim Datenschutzbeauftragten um einen Arbeitnehmer, der neben seiner Funktion als Daten schutzbeauftragter auch andere Aufgaben wahrzunehmen hat, so sind diese beiden Funktionen und die sich daraus ergebenden Rechte und Pflichten voneinander zu trennen. In solchen Fällen sind Verantwortliche und Auftragsverarbeiter auch verpflichtet, Interessenkonflikte zu vermeiden. Ein Interessenkonflikt kann etwa dann entstehen, wenn sich der Datenschutzbeauftragte selbst kontrollieren müsste. Unternehmen ist daher bei der Bestellung von Datenschutzbeauftragten zu empfehlen, interne Richtlinien zur Vermeidung von Interessenkonflikten auszuarbeiten.

Es steht Unternehmen frei, einen Datenschutzbeauftragten auch dann zu benennen, wenn keine Verpflichtung gemäß DSGVO besteht. Eine solche freiwillige Benennung eines Datenschutzbeauftragten bietet sich insbesondere in jenen Konstellationen an, in denen nicht klar ist, ob eine solche Verpflichtung besteht oder nicht. Zu beachten ist jedoch, dass freiwillig bestellten Datenschutzbeauftragten dieselben Aufgaben, Rechte und Pflichten zukommen wie verpflichtend zu benennenden Datenschutzbeauftragten.

Mag. Tamara Freu­demann ist Rechtsan­waltsanwärterin bei Preslmayr Rechtsanwälte und vor allem im Verwal­tungsrecht und Daten­schutzrecht tätig.