Please activate JavaScript!
Please install Adobe Flash Player, click here for download
ePaper created 2016-08-10, 10:02:34 | version 1.48.03
die Verarbeitung personenbezogener Daten als „Nebentätigkeit“. Gesundheitsdaten und mehr Eine umfangreiche Verarbeitung „sen- sibler Daten“ – zu denen insbesondere Gesundheitsdaten zählen – führt daher zur Pflicht, einen Datenschutzbeauf- tragten zu bestellen. Damit sind Gesund- heitsberufe einer der „Kernbereiche“, für die ab 25. Mai 2018 zwingend ein Datenschutzbeauftragter installiert wer- den muss. Da die DSGVO die Pflicht zur Bestellung eines Datenschutzbeauftragten auch auf sogenannte „Auftragsverarbei- ter“, also etwa Outsourcing-Dienstleister, bezieht, wird es insbesondere in diesem Bereich wohl eine hohe Anzahl von ver- pflichtenden Datenschutzbeauftragten geben müssen. Da „sensible Daten“ zwin- gend beispielsweise in jedem HR-System vorkommen, werden wohl HR-Outsour- cing-Dienstleister einen Datenschutzbe- auftragten bestellen müssen. Ferner sieht die DSGVO vor, dass die Mitgliedsstaa- ten weitergehende Verpflichtungen zur Bestellung eines Datenschutzbeauftragten erlassen können. Es bleibt abzuwarten, ob der österreichische Gesetzgeber von die- ser Möglichkeit Gebrauch machen wird. Die Wirtschaftskammer hat sich dezidiert gegen eine solche Vorgangsweise ausge- sprochen. Stellung des (freiwilligen) Datenschutzbeauftragten Die DSGVO lässt auch freiwillige Daten- schutzbeauftragte zu. Wenn ein Daten- schutzbeauftragter bestellt wird, so gelten jedenfalls die Anforderungen der DSGVO. Nach diesen kann der Datenschutzbe- auftragte Beschäftigter sein („angestell- ter interner DSB“) oder seine Aufgaben auf der Grundlage eines Dienstleistungs- vertrags erfüllen („externer DSB“). Eine Unternehmensgruppe darf auch nur einen gemeinsamen Datenschutzbeauftragten ernennen, sofern dieser von jeder Nieder- lassung aus leicht erreicht werden kann. Jedenfalls gilt hinsichtlich der Stellung des Datenschutzbeauftragten Folgendes: Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben an keine (An-)Weisungen bezüglich der Aus- übung dieser Aufgaben gebunden und darf solche auch gar nicht bekommen. Der Datenschutzbeauftragte darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet hinsichtlich der Erfüllung seiner Aufga- ben unmittelbar der höchsten Manage- mentebene. Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahr- nehmen. Es ist aber sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Der Datenschutzbeauftragte muss auf der Grundlage seiner beruflichen Qualifi- kation und insbesondere des Fachwissens benannt werden, das er auf dem Gebiet des Datenschutzrechts und der Daten- schutzpraxis besitzen muss. Dabei ver- langt die DSGVO nach einer „eierlegenden Wollmilchsau“, denn dem Datenschutzbe- auftragten obliegen zumindest folgende Aufgaben: Unterrichtung und Beratung hinsicht- lich der datenschutzrechtlichen Pflich- ten nach Unions- bzw. Mitgliedsstaa- ten-Recht Überwachung der Einhaltung der Datenschutzvorschriften sowie der unternehmensinternen Strategien für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungs- vorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen Beratung — auf Anfrage — im Zusam- menhang mit der Datenschutz-Folgen- abschätzung und Überwachung ihrer Durchführung Zusammenarbeit mit der Aufsichtsbe- hörde Tätigkeit als Anlaufstelle für die Auf- sichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen und gegebenenfalls Beratung zu allen sonstigen Fragen Die DSGVO stellt dem Datenschutzbe- auftragten dann auch gleich eine (Haf- tungs-)Rute in Fenster: Er hat bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbunde- nen Risiko gebührend Rechnung zu tra- gen, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbei- tung zu berücksichtigen hat. Insbesondere Unternehmen, deren Kerntätigkeit die Verwendung von Gesundheitsdaten, von politischen Daten oder von Religionsdaten mit sich bringt, sind gut beraten, sich schon jetzt Gedanken darüber zu machen, ob und wie sie einen Datenschutzbeauftragten installieren. 37 AustrianLifeSciences chemiereport.at 2016.5 MÄRKTE & MANAGEMENT