Weka Plus

Data Protection Officer: Was ist in der Schweiz zukünftig zu tun?

Mit der Totalrevision des Datenschutzgesetzes (revDSG) wurde nun auch die Rolle eines Datenschutzberaters (häufig auch DPO genannt) in die Schweizer Gesetzgebung aufgenommen. Welche Konsequenzen resultieren daraus für Schweizer Unternehmen? Und inwiefern unterscheiden sich die Rollen des Data Protection Officers (DPO) resp. Datenschutzberaters nach Schweizer und EU-Recht?

19.10.2022 Von: Carmen de la Cruz Böhringer
Data Protection Officer

Passende Arbeitshilfen

Der Data Protection Officer (DPO) gemäss revDSG

Art. 9 rev DSG gibt privaten Unternehmen ausdrücklich das Recht, einen Datenschutzberater einzusetzen. Der Datenschutzberater soll innerhalb des Unternehmens Anlaufstelle für Datenschutzfragen sein und gegen aussen auch erste Kontaktstelle für Datenschutzbelange insbesondere seitens der Behörden.

Die Vorteile einer solchen Einsetzung finden sich allem voran im Rahmen Datenschutz-Folgenabschätzung. Damit also beurteilt werden kann, ob ein Unternehmen im Einzelfall von einer Einsetzung eines Datenschutzberaters profitieren würde, ist es unerlässlich, zuerst auf die Bedeutung der Datenschutz-Folgenabschätzung einzugehen.

Eine Datenschutzfolgeabschätzung ist durch den Verantwortlichen (Unternehmen, welches über Zweck und Mittel der Datenbearbeitung entscheidet) immer dann vorzunehmen, wenn die Bearbeitung «ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person» haben könnte (vgl. Art. 20 REVDSG). Das «hohe Risiko» ergibt sich aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung wie z.B. die Nutzung von Microsoft365 insbesondere bei einer grösseren Anzahl Nutzern. Explizit genannt werden in diesem Zusammenhang:

Data Protection Officer (DPO) nach revidiertem DSG und DSGVO

Datenschutz-Anforderungen für Schweizer Unternehmen nach DSG und DSGVO (GDPR) erfolgreich umsetzen

Praxis-Seminar, 1 Tag, ZWB, Zürich

Nächster Termin: 13. Mai 2025
  • Die umfangreiche Bearbeitung besonders schützenswerter Personendaten; damit gemeint sind Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, Daten über die Gesundheit und Intimsphäre, Ethnische Daten, genetische Daten, biometrische Daten, Daten betreffend verwaltungs- oder strafrechtlicher Verfolgung und Daten der Sozialhilfe (vgl. auch Art. 4 lit. C revDSG)
  • Das Profiling (vgl. Art. 4 lit. F revDSG)
  • Die systematische und umfangreiche Überwachung öffentlicher Bereiche

Für Schweizer Unternehmen heisst das, es ist immer dann eine Datenschutz-Folgenabschätzung vorzunehmen, wenn einer der drei oben genannten Faktoren durch die Datenbearbeitung erfasst wird. Im Rahmen dieser Datenschutz-Folgenabschätzung muss das Unternehmen die geplante Bearbeitung beschreiben und die Risiken für die betroffenen Personen bewerten. Ergibt sich daraus, dass durch die Datenbearbeitung für die betroffenen Personen ohne weitere Massnahmen ein «hohes Risiko» entsteht, so hat das verantwortliche Unternehmen vorgängig eine Stellungnahme des eidgenössichen Datenschutzbeauftragten (EDÖB) einzuholen (vgl. auch Art. 23 revDSG). Der EDÖB teilt dem verantwortlichen Unternehmen sodann seine Einwände mit und schlägt allfällige Massnahmen vor.

Auf eine Einschätzung durch den EDÖB kann aber gemäss Art. 21 Abs. 4 revDSG verzichtet werden, wenn das verantwortliche Unternehmen stattdessen einen Datenschutzberater / eine Datenschutzberaterin konsultiert hat. Die Funktion des Datenschutzberaters ist an gewisse Voraussetzungen gebunden (vgl. Art. 9 Abs. 4 revDSG). Allem voran muss es sich um einen unabhängigen Datenschutzberater handeln (keine Weisungsgebundenheit), ausserdem darf der Datenschutzberater keine anderen Tätigkeiten ausüben, die nicht vereinbar sind mit seiner Aufgabe als Datenschutzberater. Weiter zu nennen sind die notwendigen Fachkenntnisse und die Verpflichtung des verantwortlichen Unternehmens die Kontaktdaten des Datenschutzberaters dem Datenbeauftragten des Bundes zu übermitteln.

Checkliste Voraussetzungen für die korrekte Ernennung eines Datenschutzberaters in der Schweiz
– Die Datenschutz-Folgenschätzung ergibt, dass durch die Datenbearbeitung ein hohes Risiko für die betroffene Person entsteht
– Unabhängiger Datenschutzberater
– Keine Interessenskonflikte des Datenschutzberaters
– Datenschutzberater verfügt über die notwendigen Fachkenntnisse
– Kontaktdaten des Datenschutzberaters sind an Datenschutzbeauftragten des Bundes übermittelt worden

Jetzt weiterlesen mit Weka+

  • Unlimitierter Zugriff auf über 1100 Arbeitshilfen
  • Alle kostenpflichtigen Beiträge auf weka.ch frei
  • Täglich aktualisiert
  • Wöchentlich neue Beiträge und Arbeitshilfen
  • Exklusive Spezialangebote
  • Seminargutscheine
  • Einladungen für Live-Webinare
ab CHF 24.80 pro Monat Jetzt abonnieren Sie haben schon ein W+ Abo? Hier anmelden

Seminar-Empfehlungen

Weitere Beiträge zu diesem Thema

Softwarelösung
/ Softwarelösung

Was gilt es bei der Implementierung rechtlich beachten?
Cloud
W+
/ Cloud

Datenschutz-Schreckgespenst Cloud?
Datenschutzverletzung
/ Datenschutzverletzung

Überblick über Datenschutzverletzungen gegen die DSGVO
Datenschutzerklärung
/ Datenschutzerklärung

Die DSGVO in der IT – was müssen Schweizer beachten?
Datenschutz Newsletter
/ Datenschutz Newsletter

Rechtssicheres E-Mail-Marketing in der Schweiz
Mitarbeiterdaten
/ Mitarbeiterdaten

Was ändert sich mit dem revidierten DSG?
Newsletter W+ abonnieren