Benennung und Stellung eines Datenschutzbeauftragten
Der am 25. Jänner 2012 veröffentlichte Vorschlag zu einer EU-Datenschutz-Verordnung sieht die verpflichtende Benennung eines betrieblichen Datenschutzbeauftragten vor.
Im Vorschlag ist die Benennung eines Datenschutzbeauftragten verpflichtend vorgeschrieben: Für Behörden, öffentliche Einrichtungen, Unternehmen mit mehr als 250 MitarbeiterInnen und für Fälle, in denen die Datenverarbeitung eine regelmäßige und systematische Beobachtung betroffener Personen erforderlich macht.
Berufliche Qualifikation und Fachwissen
Der Datenschutzbeauftragte ist auf Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens, welches er auf dem Gebiet des Datenschutzrechts und der Grundlage seiner Fähigkeiten zur Erfüllung der Aufgaben eines Datenschutzbeauftragten zu benennen.
Der Grad des erforderlichen Fachwissens richtet sich insbesondere nach Art der durchgeführten Datenverarbeitung und des erforderliche Datenschutzes für die verarbeiteten personenbezogenen Daten.
Beschäftigung eines Datenschutzbeauftragten
Der Datenschutzbeauftragte wird für eine Dauer von zwei Jahren benannt und kann nach Ablauf der Periode für weitere Amtszeiten wiederernannt werden. Name und Kontaktdaten des betrieblichen Datenschutzbeauftragten sind der Aufsichtsbehörde und der Öffentlichkeit bekanntzugeben.
Erfahrungen aus Deutschland zeigen, dass die Aufgaben eines Datenschutzbeauftragten durch vorhandene Mitarbeiter oder einen externen Datenschutzbeauftragten-Dienstleister übernommen werden. „In Hinblick auf die derzeitige gesetzliche Lage in Deutschland, kann man davon ausgehen, dass bei einer Umsetzung der vorgeschlagenen EU-Datenschutz-Verordnung in Österreich die Situation nicht grundlegend anders sein wird“, verweist Datenschutzexperte Horst Greifeneder, FDS | Forensik Data Services, auf mögliche nationale Auswirkungen und setzt fort: „Damit wäre auch in Österreich mit einem zunehmenden Bedarf an gut ausgebildeten, externen Datenschutzbeauftragten zu rechnen.“
Stellung des Datenschutzbeauftragten
Organisatorisch ist im Rahmen des Unternehmens sicherzustellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in die Behandlung aller mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. Der Datenschutzbeauftragte berichtet unmittelbar der Leitung des für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters, somit in der Regel der Geschäftsleitung oder dem Vorstand.
Zu gewährleisten ist ausserdem, dass der Datenschutzbeauftragte mit ausreichenden Ressourcen und Mitteln ausgestattet wird, welche er zur wirksamen und unabhängigen Erfüllung seiner Pflichten und Aufgaben benötigt. Der Datenschutzbeauftragte darf zudem bezüglich der Ausübung seiner sonstigen Pflichten im Unternehmen keinen Interessenskonflikten unterliegen.
Folgen der EU-Datenschutz-Verordnung
Kommt der betriebliche Datenschutzbeauftragte wie im Vorschlag der EU-Datenschutz-Verordnung vorgesehen, verpflichtend für alle Unternehmen mit mehr als 250 MitarbeiterInnen, ist mit einem wachsenden Bedarf an qualifizierten Fachkräften zu rechnen. Zudem sind Kosten für Personal, Räumlichkeiten, Ausrüstung und sonstige Ressourcen zur Erfüllung der Pflichten und Aufgaben des Datenschutzbeauftragten zu veranschlagen.
„Betroffenen Unternehmen sind gut beraten, sich frühzeitig mit den notwendigen personellen und organisatorischen Fragen zur Einführung eines betrieblichen Datenschutzbeauftragten zu beschäftigen“, rät Datenschutz-Berater Greifeneder von FDS | Forensik Data Services zu einer proaktiven Handlungsweise.