09/2020 – Fachartikel Swiss Infosec AG

Einige Hinweise zur Stellung des Datenschutzbeauftragten und -verantwortlichen sowie zu möglichen Interessenskonflikten

Müssen Sie einen Datenschutzbeauftragten oder -verantwortlichen bestellen und fragen sich, ob dies mit seiner bisherigen Position in Ihrem Unternehmen vereinbar ist?

Das Datenschutzteam der Swiss Infosec AG informiert Sie über mögliche Interessenskonflikte und wie Sie diese vermeiden können.

1      Data Protection Officer / Betrieblicher Datenschutzverantwortlicher

Das Datenschutzrecht sieht in gewissen Fällen vor, dass Unternehmen einen Datenschutzbeauftragten – auf Englisch Data Protection Officer (nachfolgend «DPO») – nach EU-Datenschutz-Grundverordnung (DSGVO) oder einen Datenschutzverantwortlichen (nachfolgend «BDSV») nach dem schweizerischen Datenschutzgesetz (DSG) bestellen müssen.

2      Rechtliche Vorgaben

Nach Art. 38 Abs. 3 DSGVO hat der DPO unabhängig zu sein, d.h.  weisungsfrei, er darf nicht aufgrund der Erfüllung seiner Aufgaben abberufen werden und berichtet direkt an die höchste Managementstufe des Unternehmens.

Ein DPO darf zwar andere Aufgaben und Pflichten innerhalb des Unternehmens wahrnehmen; das Unternehmen hat nach Art. 38 Abs. 6 DSGVO allerdings dafür zu sorgen, dass «derartige Aufgaben und Pflichten nicht zu einem Interessenskonflikt führen».

Ähnliche Vorgaben finden sich für den BDSV in Art. 12a Abs. 2 VDSG («keine anderen Tätigkeiten ausüben, die mit seinen Aufgaben als Datenschutzverantwortlicher unvereinbar sind») und Art. 12b Abs. 2 lit. a («fachlich unabhängig […] ohne diesbezüglich Weisungen […] zu unterliegen») VDSG.

Es ist in der Folge unabdingbar, dass der DPO/BDSV eine unabhängige und organisatorisch herausgehobene Stellung innehat, um den Vorgaben von DSGVO und DSG zu genügen.

3      Interessenskonflikte

In der Praxis zeigt sich die unzulässige Abhängigkeit oder Weisungsgebundenheit regelmässig in Interessenskonflikten, also im Vorliegen von Unvereinbarkeiten oder einer Befangenheit. Das ursprüngliche Beschäftigungsverhältnis des Mitarbeitenden steht dabei im Konflikt mit seiner Funktion als DPO/BDSV.

DPO/BDSVs sollten keine Stelle auf Leitungs-, Chef- oder Inhaberebene innehaben (Interessenskonflikte aufgrund einer Exekutivfunktion). Auch Positionen auf tieferer Hierarchiestufe, z.B. im Senior Management, sind regelmässig ungeeignet, wenn diese Positionen die Zwecke und Mittel der Datenverarbeitung festlegen können. Darunter fallen Heads of IT/Marketing/HR/Legal & Compliance oder Leiter des operativen Geschäftsbereichs. Auch bei Prokuristen birgt die Nähe zur Geschäftsleitung die Gefahr von Interessenskonflikten. Denn in solchen Positionen steht oft das Interesse an der wirtschaftlichen Führung des Unternehmens im Vordergrund.

Ein DPO/BDSV muss dafür sorgen, dass Datenschutzregeln ungeachtet der betrieblichen Auswirkungen eingehalten werden. Er ist verpflichtet, notfalls auch gegen die Interessen der Geschäftsleitung zu handeln. Ein DPO/BDSV soll nicht sich selbst in einer anderen Position kontrollieren.

Solange jedoch keine Exekutivfunktion mit der Position im Unternehmen einhergeht, kann auch ein General Counsel, Head of Legal, Informationssicherheitsbeauftragter etc. als DPO/BDSV fungieren. In diesem Fall sollte kein Interessenskonflikt gegeben sein.

Nicht zu vergessen sind mögliche familiäre Interessenskonflikte: Wie kritisch und bestimmt tritt ein DPO/BDSV auf, wenn der CEO des Unternehmens der Ehegatte oder ein Elternteil ist? Mitglieder der erweiterten Kernfamilie sollten daher nicht als DPO/BDSV benannt werden, unabhängig davon, ob sie auch andere Arbeitstätigkeiten im Familienunternehmen wahrnehmen.

Ein DPO darf schliesslich nicht gleichzeitig als EU-Vertreter tätig sein. Der EU-Vertreter erhält vom Unternehmen regelmässig Instruktionen bezüglich der Ausübung seiner Tätigkeit und handelt als Repräsentant des beauftragenden Unternehmens, womit Interessenskonflikte entstehen können.

4      Entscheide der Aufsichtsbehörden

Im Jahre 2016 – also noch unter altem deutschen BDSG, jedoch wohl weiterhin mit Signalwirkung für deutsche Aufsichtsbehörden – erteilte das Bayerische Landesamt für Datenschutz einem Unternehmen eine Busse, weil der DPO gleichzeitig die Position des «IT-Managers» innehatte. Diese Position sei zu exponiert, als dass sie mit der Unabhängigkeit eines DPO vereinbar wäre.

Im April dieses Jahres erliess die belgische Aufsichtsbehörde eine Busse von EUR 50’000 gegen ein Unternehmen, das den Leiter der internen Revision, des Risk Managements und der Compliance-Abteilung als DPO bestellt hatte. Die belgische Aufsichtsbehörde sah im Leiter dieser Abteilung eine Verantwortlichkeit für die Verarbeitung von Personendaten in Revisions-, Risk- und Compliance-Tätigkeiten und somit sei die Unabhängigkeit nicht gegeben gewesen.

In der Schweiz sind solche Entscheide noch nicht ergangen. Wir sind jedoch der Auffassung, dass der EDÖB das entsprechende Unternehmen zuerst vor die Wahl, einen anderen BDSV zu benennen, stellen wird, bevor er entsprechende rechtliche Schritte einleitet.

5      Unser Fazit

Ein DPO/BDSV muss seine Aufgabe unabhängig, frei von Interessenskollision ausüben. Eine Unabhängigkeit ist nicht gegeben, wenn er sich selbst überprüfen muss und/oder eine Exekutivfunktion ausübt.

Neben dem Kriterium der Unabhängigkeit stellt sich aber auch die Frage, ob diese in Frage stehende Person über die benötigten fachlichen Qualifikationen verfügt.

Je nachdem ist die Bestellung eines externen DPO/BDSV zu empfehlen; denn hier sind sowohl die nötige Distanz zur Bearbeitung der Daten wie auch das gebotene fachliche Know-how gegeben.

Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO als DPO und BDSV.  

Swiss Infosec AG; 28.08.2020

Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch

08/2020 – Fachartikel Swiss Infosec AG

Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) den EU–US Privacy Shield – wie bereits fünf Jahre zuvor seinen Vorgänger Safe Harbor – für ungültig erklärt. Die Standardvertragsklauseln sind hingegen weiterhin gültig – aber Vorsicht ist geboten! 

Vereinfacht dargestellt, hat der EuGH– bereits zum zweiten Mal – festgestellt bzw. geurteilt, dass die Daten von EU-Bürgern in den USA nicht ausreichend geschützt sind, weil durch den EU–US Privacy Shield, auf dessen Grundlage die Datenübermittlung aus der EU in die USA bisher möglich war, die Grundrechte der EU-Bürger nicht ausreichend gewahrt sind. Dies liegt zum einen an der anlasslosen Massenüberwachung, die nach Feststellung des EuGH in den USA stattfindet, zum anderen beständen aus Sicht des EuGH auch keine (ausreichenden) Rechtsschutzmöglichkeiten für EU-Bürger resp. nicht amerikanische Staatsbürger gegen diese Massenüberwachung.

Das EuGH-Urteil stellt damit (vorerst) zumindest für europäische Unternehmen erhebliche Herausforderungen im Bereich der Datenschutz-Compliance dar. Seit dem Urteilsspruch lässt sich nämlich keine Datenübermittlung (die eigene oder die der beauftragten Dienstleister) aus der EU in die USA mehr auf den EU–US Privacy Shield stützen. Darin sind sich alle Datenschutzaufsichtsbehörden einig – nur nicht die britische Aufsichtsbehörde ICO, diese erlaubt britischen Unternehmen bis zur Veröffentlichung einer neuen Orientierungshilfe das Privacy Shield für US-Datenübermittlungen weiterhin zu nutzen! Erfolgt in den übrigen Fällen dennoch eine Datenübermittlung gestützt auf den EU–US Privacy Shield, so ist diese, sofern nicht andere Rechtfertigungsgründe vorliegen, rechtswidrig. Streng juristisch betrachtet wäre die Datenübermittlung in die USA sofort einzustellen. Unternehmen, die sich allein auf den EU-US Privacy Shield verlassen haben, müssen somit eine andere Lösung finden bzw. auf andere Transfermechanismen umstellen. 

Wird eine Datenübermittlung in die USA nicht auf den EU–US Privacy Shield gestützt, so ist zu prüfen, auf welche andere Rechtsgrundlage die Datenübermittlung gestützt wird bzw. gestützt werden kann, zum Beispiel die Standardvertragsklauseln. Diese hat der EuGH für grundsätzlich wirksam erachtet, und zwar vor dem Hintergrund, dass diese aus Sicht des EuGH im Gegensatz zum EU–US Privacy Shield eine hinreichende Flexibilität in der Implementierung erlauben und somit ein gleichwertiges Datenschutzniveau im Einzelfall erlauben können. Dabei stellt der EuGH insbesondere darauf ab, dass der Empfänger im Drittland, der die Daten übermittelt bekommt, den Datenexporteur informieren muss, wenn er seine Verpflichtungen aus den Standardvertragsklauseln nicht (mehr) einhalten kann, infolgedessen muss der Datenverkehr eingestellt werden.

Wer das EuGH-Urteil nun korrekt umsetzen will, muss jede auf die Standardvertragsklauseln gestützte Datenübermittlung einer Einzelfallprüfung unterziehen und klären, ob die Standardvertragsklauseln ein adäquates Datenschutzniveau herstellen. Falls nein, müssen die in den Standardvertragsklauseln enthaltenen Garantien ergänzt werden. Bei der Frage, was und wie ergänzt werden kann, gibt der EuGH keine Massstäbe vor, ausser dass er sowohl vertragliche als auch technische Massnahmen erwartet. Man darf (und muss) also kreativ werden. Das Ergebnis einer solchen Einzelfallprüfung sollte in jedem Fall dokumentiert werden. 

Als weitere Handlungsalternativen (an Stelle der Einzelevaluierung von Standardvertragsklauseln, oder falls eine Einzelfallprüfung zum Ergebnis führt, dass auch Zusatzmassnahmen die Standardvertragsklauseln nicht «retten» können), kommen (je nach Fall) in Frage:

• Alternative Rechtfertigung über Art. 49 DSGVO (Ausnahmen für bestimmte Fälle wie etwa Einwilligung, Vertragserfüllung etc.);
• Binding Corporate Rules (BCR), solang keine abweichende Entscheidung. Die gilt allerdings nur für konzerninterne Datenübermittlungen und braucht Zeit und Aufwand;
• In einigen Fällen ist auch eventuell denkbar, die Datenübermittlung als solche einzustellen, d.h. die Daten aus dem Drittland zurückzuholen;
• Im Übrigen bleibt abzuwarten, wie sich in den kommenden Wochen und Monaten die Datenschutzbehörden (weiter) positionieren. Wir empfehlen die Aktivitäten der zuständigen Behörden zu beobachten.

Kurz: Der EU–US Privacy Shield ist seit dem 16. Juli 2020 unwirksam und die Standardvertragsklauseln können vorbehaltlich einer Einzelfallprüfung weiterhin genutzt werden. Daneben gibt es noch massgeschneiderte Lösungen im Einzelfall.

Auswirkungen des Schrems II-Urteil des EuGH auf die Schweiz

Für die Schweiz kann die Tragweite des EuGH-Urteils noch nicht abschliessend beurteilt werden. Schweizer Unternehmen, die der Datenschutzgrundverordnung (DSGVO) unterstehen, sind direkt vom Urteil betroffen. Schweizer Unternehmen, die nicht der DSGVO unterstehen, sind vom Urteil nicht unmittelbar betroffen, denn die Schweizer Anerkennung des SWISS-US Privacy Shield ist nicht direkt vom Urteil tangiert. Diese Anerkennung bleibt vorerst rechtsgültig. Vielfach wird aber angenommen, dass der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hier in den nächsten Tagen/Wochen nachziehen wird. Hektischen Aktivismus oder Panik halten wir für den falschen Ansatz, aber mindestens eine Bestandesaufnahme und Evaluation stattfindender Datentransfers mit US-Bezug dürfte angebracht sein. Viele Unternehmen werden auch ihre Datenschutzerklärungen anpassen müssen. 

Gerne beantworten wir all Ihre spezifischen Fragen zu den Auswirkungen des Schrems II Urteils und zu allen weiteren datenschutzrechtlichen Fragen in Ihrem Unternehmen. Wir unterstützen Sie bei der Einhaltung des DSG und der DSGVO nach Best Practice: «Genau so viel, wie Sie brauchen und angemessen ist!»

Swiss Infosec AG; 30.07.2020

Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch