Müssen alle Schweizer Unternehmen, die der DSGVO unterliegen, einen Datenschutzbeauftragten nach DSGVO ernennen?
Die DSGVO lernt laufen – und manchmal wird auch über die Ziele der DSGVO hinausgeschossen. Aufgrund von Fehlinformationen, Unsicherheiten oder um unliebsame Massnahmen unter dem „Deckmantel“ der DSGVO durchzusetzen. Wir klären auf.
Mythos Nr. 3: Alle Schweizer Unternehmen, die der DSGVO unterliegen, müssen einen Datenschutzbeauftragten ernennen.
Falsch.
Schweizer Unternehmen, die der DSGVO unterliegen, müssen nur dann einen Datenschutzbeauftragten ernennen, wenn mindestens eine der beiden unten genannten Fallkonstellationen vorliegen:
- Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen regelmässigen und systematischen Überwachung von betroffenen Personen (Art. 37 Abs.1 DSGVO).
- Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters umfasst die umfangreiche Verarbeitung besonderer Kategorien von Daten oder strafrechtlicher Verurteilungen und Straftaten (Art. 37 Abs.1 DSGVO).
Der Begriff der umfangreichen regelmässigen und systematischen Überwachung ist in der DSGVO nicht definiert. Daher haben wir einige Konkretisierungen aus entsprechenden Erwägungsgründen und von verschiedenen Gremien und Aufsichtsbehörden aufgeführt.
Überwachung
Die Überwachung meint nicht nur die Überwachung durch Video, Detekteien oder private Sicherheitsunternehmen, sondern z.B. auch die Nachverfolgung des Surfverhaltens im Internet oder des Kaufverhaltens durch ein Treueprogramm. In Erwägungsgrund 24 wird die Beobachtung des Verhaltens daran festgemacht, ob Internetaktivitäten nachvollzogen werden einschliesslich der Erstellung eines Profiles, das insbesondere die Grundlage für Entscheidungen bildet oder anhand dessen persönliche Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen. Die Überwachung beschränkt sich nicht auf die digitale Welt, weshalb die Verfolgung im Internet nur als ein Beispiel für die Überwachung des Verhaltens angesehen werden sollte.
Umfangreich
Ob eine umfangreiche Verarbeitung vorliegt, ergibt sich aus den nachfolgenden Kriterien des Erwägungsgrundes 91 der DSGVO. Können zwei oder mehr Kriterien bejaht werden, ist von einer umfangreichen Verarbeitung auszugehen:
- (grosse) Menge(n) an personenbezogenen Daten (Volumen)
- Verarbeitung auf regionaler, nationaler oder supranationaler Ebene (geografischer Aspekt)
- Anzahl der betroffenen Personen (absolute Zahl oder in Prozent zur relevanten Bezugsgrösse)
- Dauer der Verarbeitung (zeitlicher Aspekt)
Regelmässig
In Anlehnung an den Europäischen Datenschutz-Ausschuss (Working Paper Nr. 243) ist der Begriff „regelmässig“ als mindestens eine der folgenden Eigenschaften zu interpretieren:
- fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums vorkommend
- immer wieder oder wiederholt zu bestimmten Zeitpunkten auftretend
- ständig oder regelmässig stattfindend
Systematisch
Der Begriff „systematisch“ ist als mindestens eine der folgenden Eigenschaften auszulegen:
- systematisch vorkommend
- vereinbart, organisiert oder methodisch
- im Rahmen eines allgemeinen Datenerfassungsplans erfolgend
- im Rahmen einer Strategie erfolgend
Beispiele für eine regelmässige und systematische Überwachung von Personen sind: verfolgende E-Mail-Werbung, Internet-Trackingprogramme, datengesteuerte Marketingaktivitäten, Typisierung und Scoring zu Zwecken der Risikobewertung (z.B. für Kreditvergabe, Festlegung von Versicherungsprämien, Ermittlung von Geldwäsche), Standortverfolgung, Treueprogramme, verhaltensbasierte Werbung, Überwachung von Wellness-, Fitness- und gesundheitsbezogenen Daten durch Wearables, Überwachungskameras oder vernetzte Geräte (z.B. intelligente Autos, Haustechnik usw.).
Besondere Kategorien von Daten
Besondere Kategorien von Daten sind: Personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgeht, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.
Zu beachten: Es ist Mitgliedsstaaten der EU erlaubt, die Ernennung eines Datenschutzbeauftragten strenger anzuwenden als in der DSGVO vorgegeben. Dies wurde in Deutschland mit dem BDSG umgesetzt. Hier gilt es beispielsweise für deutsche Tochterunternehmen von Schweizer Unternehmen diese strengeren Regelungen des BDSG zu beachten.
Empfehlung: Auch wenn keine Pflicht zur Ernennung eines Datenschutzbeauftragten besteht, empfiehlt sich die Benennung einer für den Datenschutz im Unternehmen verantwortliche Person, um die Dokumentations- und Rechenschaftspflichten zu erfüllen und Prozesse und Richtlinien zu implementieren, um die Rechte Betroffener zu gewährleisten (beispielsweise die Beantwortung von Auskunfts- oder Löschbegehren). Diese Empfehlung gilt auch für Schweizer Unternehmen, die nicht der DSGVO, sondern ausschliesslich dem Schweizer DSG unterliegen.
Fallen Ihnen noch Bereiche oder Mythen ein, an die wir bisher nicht gedacht haben? Schreiben Sie uns. Wir sind gespannt auf Ihre Erfahrungen.
Weitere Informationen:
EU-DSGVO: Mythos und Wahrheit (1) – Einwilligung
EU-DSGVO: Mythos und Wahrheit (2) – Auftragsverarbeitung
EU-Datenschutzgrundverordnung (finaler Gesetzestext)