Informationstechnologie

IT-Dienstleister als Datenschutzbeauftragter

Aufgaben des Datenschutzbeauftragten 

Lesedauer: 3 Minuten

Die Person muss für die Ausübung der Funktion des betrieblichen Datenschutzbeauftragten sowohl eine berufliche Qualifikation und insbesondere ein Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzen sowie Fähigkeiten aufweisen, um die gesetzlich vorgesehenen Mindestaufgaben zu erfüllen (Vgl. Art 37 Abs. 5 DSGVO). Die Mindestaufgaben, welcher ein interner betrieblicher Datenschutzbeauftragter (ein Mitarbeiter) oder ein externer Dienstleister zu erfüllen hat, sind in Art 39 DSGVO angeführt und teilen sich in drei Säulen: 

  1. Beratung und Unterrichtung
  2. Überwachungs- und Überprüfungstätigkeiten
  3. Zusammenarbeit mit und Anlaufstelle für die Datenschutzbehörde (Vertretungsaufgaben) 

Der Datenschutzbeauftragte ist beratend und unterstützend tätig. Die drei Säulen des Aufgabenkatalogs beziehen sich alle auf drei Untergliederungsbereiche der DSGVO (RechtOrganisation-Technik):

  • Der rechtliche Teil beinhaltet eine Reihe an Prüfung bzw Überwachung der Einhaltung von Rechtsmaterien wie u.a. Prüfung der Anwendbarkeit der DSGVO, der Grundprinzipien und der Rechtsgrundlagen für die rechtmäßige Datenverarbeitung, das Vorliegen der Voraussetzungen und Bedingungen im Zusammenhang mit der Erfüllung der Betroffenenrechte, Prüfung der Voraussetzungen für die Einbindung eines Auftragsverarbeiters.
  • Unter den organisatorischen Bereich fällt u.a. das Management zur Umsetzung der Betroffenenrechte, das Feststellen des Datenbestandes, die Durchführung von Risikoanalysen in Bezug auf den Datenschutz samt Abhilfemaßnahmen (organisatorische Sicht), das Verfassen einer Datenschutzstrategie/-policy, die Organisation von Sicherheitsmaßnahmen. 
  • Der technische Teil beinhaltet die grundsätzlich die technische Gestaltung von Datenschutz und datenschutzfreundliche Voreinstellungen (privacy by design, privacy by default). Auch das Verfassen einer Risikoanalyse und die Konzeptionierung von Abhilfemaßnahmen (technischer Blickwinkel) gehören zu diesem Bereich. 

IT-Dienstleister als Datenschutzbeauftragter

Ein Informationstechnologe ist grundsätzlich berechtigt, die Funktion des Datenschutzbeauftragten auszuüben, wobei er aber bzgl. Beratungsleistungen aus anderen Bereichen als der Technik die Grenzen des § 32 Abs. 1a GewO idgF zu beachten hat. 

  1. Aufgabe Beratung und Überwachung: Das Berufsbild IT weist jene Bereiche der technischen Beratung der DSGVO als von der Gewerbeberechtigung des Informationstechnologen abgedeckt aus. Die IT-Dienstleister als Datenschutzbeauftragter Leistungen des Datenschutzbeauftragten hinsichtlich des betriebswirtschaftlichorganisatorischen sowie rechtlichen Spektrums können mitunter im Rahmen eines Nebenrechts erfüllt werden. Gemäß § 32 Abs. 1a steht es freien Gewerben das Erbringen von anderen Leistungen anderer Gewerbe (hier der Unternehmensberatung) zu, wenn diese Leistungen die eigene Leistung wirtschaftlich sinnvoll ergänzen. Der IT-Dienstleister hat darauf zu achten, dass die ergänzenden Leistungen insgesamt nur bis 30% des im Wirtschaftsjahr vom Gewerbetreibenden erzielen Gesamtumsatzes nicht überseigen darf. Zusätzlich gilt, dass die ergänzenden Leistungen aus reglementierten Gewerben (hier der Unternehmensberatung) auch im Einzelfall nur soweit erbracht werden dürfen, als sie nicht mehr als 15% der Gesamtleistung ausmachen.
  2. Aufgabe Zusammenarbeit mit und Anlaufstelle für die Datenschutzbehörde (Vertretung): Grundsätzlich findet sich keine Regelung für den Informationstechnologen, wonach diesem das Recht für eine berufsmäßige Parteienvertretung im Außenverhältnis gegenüber Behörden und Körperschaften öffentlichen Rechts zukommt. ITDienstleister werden nur eingeschränkt diese Funktion des Datenschutzbeauftragten übernehmen können, nämlich im Rahmen der Grenzen des Nebenrechts. Weiters ist festzuhalten, dass in jedem Aufgabenbereich, der nicht von der Gewerbeberechtigung umfasst sein möge, eine Hinzuziehung geeigneter Fachleute ausreichend ist. 
  3. Aufgabe Schulungen: Schulungen sind als Veranstaltungen von Erwachsenenbildung zur Wissensvermittlung vom Anwendungsbereich der GewO 1994 idgF ausgenommen. Zu den Tätigkeitsbereichen der Informationstechnologen gehören auch Schulungen (siehe Berufsbild IT). Angesichts dessen können und dürfen Schulungsmaßnahmen im Bereich Datenschutz auch von IT-Dienstleistern angeboten werden. 

Faktische Kenntnisse und Praktische

Erfahrung Unabhängig von den berufsrechtlichen Zugangsvoraussetzungen sind gem. § 37 Abs. 5 DSGVO die tatsächlichen Kenntnisse und Fähigkeiten im Zeitpunkt der Ernennung des Datenschutzbeauftragten zu berücksichtigen. 

Neben einem theoretischen Wissen im Bereich des Datenschutzrechtes und der Datensicherheit sind auch praktische Erfahrung in Bezug auf Datenverarbeitung nachzuweisen. Neben dem Erfordernis der profunden Kenntnis über die DSGVO sind Kenntnisse über den jeweiligen Wirtschaftszweig bzw. die Organisation sowie über die Datenverarbeitungsvorgänge in der Organisation nützlich.

Das sehr breite und weitläufige Spektrum des Aufgabengebietes, das ein Datenschutzbeauftragter abzudecken hat, wird wohl kaum bis gar nicht von einer bestellten Person zu erfüllen sein. Es sollte genügen, wenn der zum Datenschutzbeauftragten Ernannte nur in einem Teilbereich über eine entsprechende berufliche Qualifikation und Fachkenntnisse verfügt. Deckt er einen Teilbereich des Aufgabenspektrums des Datenschutzbeauftragten durch seine Fachkenntnisse nicht ab, sollte es ausreichend sein, dass er mit entsprechenden Experten zusammenarbeitet (z.B. ein IT-Dienstleister mit einem Unternehmensberater oder Rechtsanwalt).

Stand: 30.01.2018