Rechtstipp : Der Datenschutzbeauftragte im Unternehmen
Verantwortliche und Auftragsverarbeiter haben gemäß Art 37 der Datenschutz-Grundverordnung (DSGVO) einen Datenschutzbeauftragten zu bestellen, wenn die Kerntätigkeit des Unternehmens entweder in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder in der Verarbeitung besonderer Kategorien von Daten („sensible Daten“) bzw. von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten liegt. Die Verpflichtung zur Benennung eines Datenschutzbeauftragten besteht unabhängig von der Unternehmensgröße oder der Anzahl der Mitarbeiter. Bei Verstößen gegen die Verpflichtung zur Bestellung eines Datenschutzbeauftragten drohen den Unternehmen erhebliche Geldbußen.
Die wesentlichen Aufgaben des Datenschutzbeauftragten bestehen in seiner Funktion als internes Beratungs- und Kontrollorgan. So hat der Datenschutzbeauftragte insbesondere die Verantwortlichen bzw. Auftragsverarbeiter und deren Beschäftigte hinsichtlich ihrer Pflichten nach der DSGVO und den nationalen Datenschutzbestimmungen zu unterrichten, zu beraten und die Einhaltung datenschutzrechtlicher Bestimmungen zu kontrollieren. Der Datenschutzbeauftragte hat überdies eine Beratungs- und Überwachungsfunktion im Zusammenhang mit der Datenschutz-Folgenabschätzung. Außerdem obliegt ihm die Zusammenarbeit mit der Aufsichtsbehörde.
Unternehmen haben gemäß Art 38 DSGVO sicherzustellen, dass der Datenschutzbeauftragte in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird und der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben unterstützt wird. Dabei ist insbesondere sicherzustellen, dass Datenschutzbeauftragte ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit und frei von Weisungen ausüben können.
Datenschutzbeauftragte können entweder Arbeitnehmer des Unternehmens oder externe Datenschutzbeauftragte auf Grundlage eines Dienstleistungsvertrages sein. Handelt es sich beim Datenschutzbeauftragten um einen Arbeitnehmer, der neben seiner Funktion als Daten schutzbeauftragter auch andere Aufgaben wahrzunehmen hat, so sind diese beiden Funktionen und die sich daraus ergebenden Rechte und Pflichten voneinander zu trennen. In solchen Fällen sind Verantwortliche und Auftragsverarbeiter auch verpflichtet, Interessenkonflikte zu vermeiden. Ein Interessenkonflikt kann etwa dann entstehen, wenn sich der Datenschutzbeauftragte selbst kontrollieren müsste. Unternehmen ist daher bei der Bestellung von Datenschutzbeauftragten zu empfehlen, interne Richtlinien zur Vermeidung von Interessenkonflikten auszuarbeiten.
Es steht Unternehmen frei, einen Datenschutzbeauftragten auch dann zu benennen, wenn keine Verpflichtung gemäß DSGVO besteht. Eine solche freiwillige Benennung eines Datenschutzbeauftragten bietet sich insbesondere in jenen Konstellationen an, in denen nicht klar ist, ob eine solche Verpflichtung besteht oder nicht. Zu beachten ist jedoch, dass freiwillig bestellten Datenschutzbeauftragten dieselben Aufgaben, Rechte und Pflichten zukommen wie verpflichtend zu benennenden Datenschutzbeauftragten.
Mag. Tamara Freudemann ist Rechtsanwaltsanwärterin bei Preslmayr Rechtsanwälte und vor allem im Verwaltungsrecht und Datenschutzrecht tätig.
Hintergrund dieser Ergänzung ist der Schutz vermögender Personen, die aufgrund des Registers und den dort aufscheinenden Eigentumsverhältnissen relativ leicht aufgefunden und so Opfer vermögensrechtlicher Delikte werden könnten. Beispielsweise Stifter oder Begünstigte von Privatstiftungen. Einsicht können bislang u. a. Rechtsanwälte, Wirtschaftsprüfer, bestimmte Handelstreibende und Glücksspielbetreiber nehmen. Für alle anderen gilt das Recht auf Einsichtnahme ausschließlich unter Nachweis eines berechtigten Interesses.
Eine Einschränkung ist jedoch nur möglich, wenn zu befürchten ist, dass der wirtschaftliche Eigentümer (mehr als andere, vergleichbare wirtschaftliche Eigentümer) Opfer von z. B. Betrug, Entführung, Erpressung, Stalking oder Körperverletzung wird. Der bloße Umstand, dass wirtschaftliches Eigentum bekannt wird, ist nicht aus reichend, vielmehr muss eine konkrete Gefährdungslage vorliegen.
Aufgrund des Antrags hat die Behörde die Einsicht vorläufig immer einzuschränken, die endgültige Entscheidung hat innerhalb eines Jahres zu erfolgen. Die Einschränkung ist jedoch auf maximal fünf Jahre bzw. bei Minderjährigen/Geschäftsunfähigen bis zur Volljährigkeit/Geschäftsfähigkeit beschränkt. Notare, bestimmte Kreditinstitute und Behörden haben jedenfalls immer volle Einsicht.
(Mag. Christian Kern ist Rechtsanwaltsanwärter bei Preslmayr Rechtsanwälte)