Im Betrieb eine Krankenhauses fallen umfangreiche personenbezogene Daten an – die Bestellung eines Datenschutzbeauftragten ist damit Pflicht.

Foto: APA / Hans Klaus Techt

Wien – Mit der Umsetzung der Datenschutzgrundverordung (DSGVO) ab dem 25. Mai 2018 soll der Schutz personenbezogener Daten in den Fokus der Unternehmen bzw. ihrer obersten Entscheidungsträger kommen. Die vom europäischen Gesetzgeber geschaffene Position des Datenschutzbeauftragten hat dabei eine Schlüsselfunktion.

Österreich hat – anders als etwa Deutschland – die bezüglich der Bestellungserfordernisse des Datenschutzbeauftragten vorgesehene Öffnungsklausel der DSGVO nicht ausgenutzt und keine strengeren Bestimmungen erlassen. Damit ist der Beauftragte nur für jene Unternehmen vorgeschrieben, deren Kerntätigkeit (=Haupttätigkeit) zur umfangreichen, regelmäßigen und systematischen Überwachung von betroffenen Personen führt oder die umfangreich sensible Daten – nunmehr: besondere Kategorien von Daten – oder Daten über Straftaten umfasst.

Graubereich

Umfangreich ist nach Interpretation der Artikel-29-Datenschutzgruppe, die die EU-Kommission berät, etwa die Verarbeitung von Gesundheitsdaten in einem Krankenhaus, nicht jedoch durch einen einzelnen Arzt. Im großen Graubereich dazwischen muss zwar nicht, sollte aber dennoch sinnvollerweise ein Datenschutzbeauftragter bestellt werden.

Das gilt allerdings nicht für jedes kleinere oder mittlere Unternehmen (KMU), zumal bei der Mehrzahl dieser Unternehmen die Kerntätigkeit keine umfangreiche Überwachung umfasst. Viele von ihnen werden sich diesen Aufwand ersparen. Anders ist dies etwa, wenn spezialisierte Unternehmen diese Aufgaben übernehmen; ursprünglich war es eine Nebentätigkeit – daher ist kein Datenschutzbeauftragter erforderlich. Bei Spezialisten ist es aber die Kerntätigkeit – daher Datenschutzbeauftragter. Öffentliche Stellen müssen hingegen immer einen Datenschutzbeauftragten installieren.

Der Datenschutzbeauftragte sollte über eine einschlägige berufliche Qualifikation und Fachwissen auf dem Gebiet des Datenschutzrechts verfügen. Sofern keine relevanten Vorkenntnisse bestehen, sind nach verbreiteter Meinung zumindest mehrtägige Schulungen oder Zertifizierungen nachzuweisen. Zum Beauftragten kann ein Angestellter oder eine externe Person bestellt werden; bei der Ausübung seiner Funktion ist er oder sie weisungsfrei und zur Geheimhaltung verpflichtet.

Erste Anlaufstelle

Zu den Aufgaben des Datenschutzbeauftragten zählen insbesondere die Beratung des Verantwortlichen – regelmäßiger Kontakt mit der Geschäftsführung ist dabei essenziell -, die Überwachung der Einhaltung der Datenschutzbestimmungen sowie die Beratung aller Mitarbeiter in Datenschutzfragen. Der Beauftragte dient als erste Anlaufstelle für den Datenschutz.

Daraus folgt aber auch, dass der Datenschutzbeauftragte nicht derjenige ist, der das Verfahrenverzeichnis und – soweit erforderlich – die Datenschutzfolgeabschätzung des Unternehmens erstellt. Er hat den Entwurf dieser Dokumente "nur" kritisch zu prüfen.

Sofern ein Datenschutzbeauftragter bestellt werden muss oder freiwillig bestellt wird, benötigt das Unternehmen daher – intern oder extern – zwei Personen, die sich im Datenschutzrecht auskennen: den, der die Dokumente erstellt, und den Datenschutzbeauftragten, der dabei berät.

Wichtig ist auch mit einem weitverbreiteten Missverständnis aufzuräumen: Der Datenschutzbeauftragte ist kein verantwortlicher Beauftragter nach dem Verwaltungsstrafgesetz und kann dies mangels Entscheidungsbefugnis auch nicht sein; allfällige Strafen wegen Verletzung der DSGVO sind daher nicht an den Datenschutzbeauftragten gerichtet, sondern stets an den Geschäftsleiter. (Felix Hörlsberger, 3.4.2018)