Verwaltungsrats-Lexikon

Datenschutzberater (DSB)

Funktionsträger zur Sicherstellung der Einhaltung des Datenschutzrechts nach revidiertem DSG und allenfalls DSGVO.

Definition

Der Datenschutzberater (DSB), in der Schweiz auch Datenschutzverantwortlicher genannt, ist die Funktion zur Sicherstellung der Einhaltung des Datenschutzrechts in einer Gesellschaft. Er berät die Geschäftsleitung und die Mitarbeitenden in datenschutzrechtlichen Fragen, prüft datenschutzrelevante Vorhaben, dokumentiert die Bearbeitungstätigkeiten und bildet die Schnittstelle zur Aufsichtsbehörde EDÖB.

In der EU heisst die entsprechende Funktion Datenschutzbeauftragter (DSB) nach DSGVO Art. 37. Die Funktion ist im schweizerischen revidierten DSG seit 1. September 2023 geregelt und hat seit der Revision deutlich an Bedeutung gewonnen.

Aufgaben und Rechtsgrundlage

Nach DSG Art. 10 ist die Bezeichnung eines Datenschutzberaters für private Verantwortliche freiwillig. Bei der Bezeichnung gewährt das Gesetz Erleichterungen: die Datenschutz-Folgenabschätzung kann ohne Konsultation des EDÖB intern abgeschlossen werden. Bundesorgane sind nach DSG Art. 10 Abs. 1 zur Bezeichnung verpflichtet.

Bei Anwendbarkeit der DSGVO (Bearbeitung von Daten von Personen in der EU) ist die Bezeichnung in folgenden Fällen zwingend nach DSGVO Art. 37:

  • Kerntätigkeit umfasst umfangreiche regelmässige und systematische Überwachung.
  • Kerntätigkeit umfasst umfangreiche Verarbeitung besonders schützenswerter Daten.
  • Verarbeitung erfolgt durch eine Behörde.

Die Aufgaben nach DSG und DSGVO umfassen:

  1. Beratung des Verantwortlichen und der Mitarbeitenden in Datenschutzfragen.
  2. Überwachung der Einhaltung der Datenschutzvorschriften.
  3. Mitwirkung an Datenschutz-Folgenabschätzungen.
  4. Schulung der Mitarbeitenden.
  5. Ansprechperson für betroffene Personen.
  6. Schnittstelle zur Aufsichtsbehörde (EDÖB in der Schweiz).
  7. Aufbau einer Datenschutz-Organisation mit Prozessen und Dokumentation.
  8. Verzeichnis der Bearbeitungstätigkeiten pflegen.
  9. Meldungen von Datenschutzverletzungen koordinieren.

Praxis Schweiz

In Schweizer Konzernen ist der DSB typischerweise als eigenständige Funktion mit direkter Berichtslinie zur Geschäftsleitung oder zum General Counsel organisiert. Bei börsenkotierten Gesellschaften und in regulierten Branchen ist eine zusätzliche fachliche Linie zum Audit Committee Best Practice.

In KMU wird die Funktion oft kombiniert mit dem General Counsel, dem Compliance Officer oder dem IT-Verantwortlichen. Eine kombinierte Funktion ist zulässig, solange keine Interessenkonflikte entstehen. Häufig wird die Funktion auch extern vergeben (externe Datenschutzberatung), was bei kleineren Strukturen kosteneffizient ist.

Die zentrale Dokumentation umfasst:

  • Verzeichnis der Bearbeitungstätigkeiten nach DSG Art. 12 und DSGVO Art. 30.
  • Datenschutzerklärung für Kunden und Mitarbeitende.
  • Auftragsbearbeitungsverträge mit Dienstleistern.
  • Meldeprozess für Datenschutzverletzungen.
  • Datenschutz-Folgenabschätzungen für risikoreiche Bearbeitungen.
  • Schulungsunterlagen und Schulungsnachweise.

Best Practice umfasst eine jährliche Datenschutz-Risikobeurteilung, ein periodisches Audit der Bearbeitungstätigkeiten und ein etabliertes Verfahren für Betroffenenrechte (Auskunfts-, Berichtigungs-, Löschungsbegehren).

Häufige Fehler

Klassische Schwächen in der Praxis:

  • Kein DSB bezeichnet trotz umfangreicher Datenbearbeitung.
  • Fehlendes oder unvollständiges Verzeichnis der Bearbeitungstätigkeiten.
  • Keine Datenschutz-Folgenabschätzungen bei risikoreichen Vorhaben.
  • Mangelnde Schulung der Mitarbeitenden.
  • Fehlende Meldeprozesse bei Datenschutzverletzungen.
  • Unklare Verantwortung für Cookie-Banner und Tracking-Technologien.
  • Fehlende oder unvollständige Auftragsbearbeitungsverträge mit Dienstleistern.
  • Kein direkter Zugang des DSB zur Geschäftsleitung.
  • Vermischung mit operativen Funktionen, die Interessenkonflikte schaffen.
  • Reaktive statt proaktive Datenschutz-Arbeit.

Abgrenzung

  • Compliance Officer: breiteres Mandat über Datenschutz hinaus, in kleineren Strukturen oft kombiniert.
  • General Counsel: rechtliche Beratung in allen Bereichen, der DSB hat fokussiertes Datenschutz-Mandat.
  • CISO: verantwortet Informationssicherheit (technische Massnahmen), der DSB fokussiert auf rechtliche Compliance.
  • EDÖB: Schweizer Aufsichtsbehörde, der DSB ist deren Ansprechperson im Unternehmen.
  • Verantwortlicher: rechtlicher Begriff für die Stelle, die über Zweck und Mittel der Bearbeitung entscheidet (in der Regel die Gesellschaft selbst), der DSB berät den Verantwortlichen.

Häufige Fragen

Was ist ein Datenschutzberater?
Der Datenschutzberater (DSB), in der Schweiz auch Datenschutzverantwortlicher genannt, ist die Funktion zur Sicherstellung der Einhaltung des Datenschutzrechts in einer Gesellschaft. Er berät die Geschäftsleitung und die Mitarbeitenden, prüft datenschutzrelevante Vorhaben, dokumentiert die Bearbeitungstätigkeiten und ist Schnittstelle zur Aufsichtsbehörde EDÖB. Die Funktion ist im revidierten DSG geregelt.
Ist der DSB in der Schweiz gesetzlich vorgeschrieben?
Nach DSG Art. 10 ist die Bezeichnung eines Datenschutzberaters für private Verantwortliche freiwillig. Bei der Bezeichnung gewährt das Gesetz Erleichterungen: die Datenschutz-Folgenabschätzung kann ohne Konsultation des EDÖB intern abgeschlossen werden. Bei DSGVO-Anwendbarkeit (Bearbeitung von EU-Daten) ist die Bezeichnung in bestimmten Fällen zwingend nach DSGVO Art. 37. Bundesorgane sind nach DSG Art. 10 Abs. 1 zur Bezeichnung verpflichtet.
Welche Aufgaben hat ein DSB?
Die Aufgaben nach DSG und DSGVO umfassen: Beratung des Verantwortlichen und der Mitarbeitenden, Überwachung der Einhaltung der Datenschutzvorschriften, Mitwirkung an Datenschutz-Folgenabschätzungen, Schulung der Mitarbeitenden, Ansprechperson für betroffene Personen, Schnittstelle zur Aufsichtsbehörde (EDÖB in der Schweiz, kantonale Behörden in EU-Ländern) und Aufbau einer Datenschutz-Organisation mit Prozessen und Dokumentation.
Welche Anforderungen muss ein DSB erfüllen?
Erforderlich sind: Fachwissen im Datenschutzrecht und in der Informationstechnologie, Unabhängigkeit (Weisungsfreiheit in Datenschutzfragen), keine Interessenkonflikte (nicht gleichzeitig Verantwortlicher für umfangreiche Datenbearbeitungen), direkter Berichtszugang zur obersten Leitung. Eine Zertifizierung als Datenschutzberater (z.B. via Schweizer Datenschutz-Akademie) ist hilfreich, aber nicht zwingend.
Wie ist der DSB organisatorisch eingebettet?
Best Practice ist die direkte Berichtslinie zur obersten Leitung (CEO oder Geschäftsleitung). Eine duale Linie zum Audit Committee oder zur Compliance-Funktion ist möglich. Wichtig ist die organisatorische Unabhängigkeit von operativen Bereichen wie Marketing oder IT, die typischerweise umfangreiche Datenbearbeitungen verantworten. Externes Outsourcing an spezialisierte Kanzleien oder Berater ist eine pragmatische Lösung für mittelgrosse Unternehmen.
Was unterscheidet DSB und Compliance Officer?
Der DSB hat eine fokussierte Funktion auf Datenschutz nach DSG und DSGVO. Der Compliance Officer verantwortet das gesamte Compliance-Spektrum (Korruption, Sanktionen, Kartellrecht, Datenschutz und weitere). In kleineren Strukturen werden beide Rollen oft kombiniert. Bei umfangreicher Datenbearbeitung oder DSGVO-Anwendbarkeit ist eine eigenständige DSB-Funktion sinnvoll.
Was sind häufige Fehler im Schweizer Mittelstand?
Häufig sind: kein DSB bezeichnet trotz umfangreicher Datenbearbeitung, fehlendes Verzeichnis der Bearbeitungstätigkeiten, keine Datenschutz-Folgenabschätzungen, mangelnde Schulung der Mitarbeitenden, fehlende Meldeprozesse bei Verletzungen der Datensicherheit, unklare Verantwortung für Cookie-Banner und Tracking, fehlende Auftragsbearbeitungsverträge mit Dienstleistern, kein direkter Zugang des DSB zur Geschäftsleitung.
Welche Verantwortung hat der VR für Datenschutz?
Der VR trägt die Oberaufsicht über die Einhaltung des Datenschutzrechts (OR Art. 716a Abs. 1 Ziff. 5). Er muss sicherstellen, dass eine angemessene Datenschutz-Organisation besteht. Bei schweren Datenschutzverletzungen kann der VR persönlich nach OR Art. 754 haften. Bussen nach revidiertem DSG bis zu 250'000 Franken treffen primär die natürliche Person, was die Verantwortung der Organe konkret macht.

Verwandte Einträge

  • Compliance OfficerFunktionsträger zur Sicherstellung der Einhaltung gesetzlicher, regulatorischer und interner Vorgaben innerhalb einer Gesellschaft.
  • Audit Committee (Prüfungsausschuss)Spezialisierter Ausschuss des Verwaltungsrats für Finanzberichterstattung, internes Kontrollsystem und Beziehung zur Revisionsstelle.
  • Verwaltungsrat (VR)Oberstes Leitungsorgan der Aktiengesellschaft mit unübertragbaren und unentziehbaren Aufgaben gemäss Obligationenrecht.
  • IKS (Internes Kontrollsystem)Firmeninternes System aus Kontrollmechanismen zur Sicherstellung der Zielerreichung, Compliance und ordnungsgemässen Berichterstattung — gesetzlich gefordert nach OR.

Fehlt etwas oder ist ein Fehler im Eintrag? Feedback zu diesem Begriff geben →