Anders als bei unseren deutschen Nachbarn ist hierzulande die Bestellung eines Datenschutzbeauftragten (DSB) derzeit nicht verpflichtend. Dies wird sich jedoch mit Geltung der EU-Datenschutz-Grundverordnung (DSGVO) ab dem 25. Mai 2018 in bestimmten Fällen ändern. Die Bestellung eines DSB ist nach der DSGVO nämlich zwingend erforderlich, wenn auch nur eine der folgenden Voraussetzungen erfüllt ist:
Die Datenverarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt.
Die Kerntätigkeit des Unternehmens besteht in der umfangreichen regelmäßigen und systematischen Überwachung von Betroffenen oder der umfangreichen Verarbeitung von "sensiblen" oder "strafrechtlich relevanten" Daten.
Die Bestellung ist sonst nach dem Recht der EU oder eines Mitgliedstaates vorgeschrieben (von dieser sogenannten "Öffnungsklausel" hat Österreich noch keinen Gebrauch gemacht).
Liegt einer dieser Fälle vor und wird dennoch kein DSB bestellt, drohen drakonische Strafen: bis zu zehn Millionen Euro oder bis zu zwei Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens (je nachdem, welcher Betrag höher ist).
Ein DSB kann natürlich auch stets auf freiwilliger Basis bestellt werden.
Der DSB ist verantwortlich für:
Die umfassende Beratung des Unternehmens und dessen Beschäftigten in datenschutzrechtlichen Angelegenheiten.
Die Überwachung der Einhaltung aller Datenschutzvorschriften im Unternehmen.
Die Kommunikation mit der Datenschutzbehörde.
Die Bearbeitung von Betroffenenanfragen.
Der DSB hat unmittelbar der höchsten Managementebene zu berichten. Hinsichtlich seiner Tätigkeit dürfen ihm keine Weisungen erteilt werden. Ferner darf er wegen Erfüllung seiner Aufgaben weder abberufen noch benachteiligt werden.
Nur wer über entsprechende Qualifikationen verfügt, darf als DSB eingesetzt werden. Sollte der DSB noch andere Aufgaben im Unternehmen erfüllen müssen, so dürfen diese nicht zu einem Interessenkonflikt führen. Der DSB muss allerdings nicht zwingend ein Beschäftigter des Unternehmens sein. Auch Externe können auf Grundlage eines Dienstleistungsvertrages zum DSB bestellt werden.
Unternehmen sei nahegelegt, im Rahmen einer internen Analyse die rechtliche Notwendigkeit eines DSB zu prüfen und diese Analyse schriftlich zu dokumentieren.
