Die Aufgaben und Verpflichtungen von Datenschutzbeauftragten oder Datenschutzberater:innen ergeben sich einerseits aus den minimalen Anforderungen des jeweils anwendbaren Gesetzes, so z. B. der DSGVO, sowie den individuellen Vereinbarungen mit dem jeweiligen betreuten Unternehmen.

Gemäss Art. 39 DSGVO haben Datenschutzbeauftragte folgende Funktionen:

1. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
2. Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten, sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten, einschliesslich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen;
3. Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäss Artikel 35;
4. Zusammenarbeit mit der Aufsichtsbehörde;
5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschliesslich der vorherigen Konsultation gemäss Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Dies bedeutet in der Praxis, dass die DSB regelmässige Datenschutzaudits durchführen müssen, um die Lücken im Datenschutzmanagement hinzuweisen und Massnahmen zu planen. Die Umsetzung bzw. die Entscheidung über die Massnahmen liegt jedoch beim Unternehmen selbst. Zudem beraten DSB das Unternehmen in allen Fragen des Datenschutzes und schulen die Mitarbeitenden entsprechend. Die allgemeine Schulung der Mitarbeitenden wird dabei oftmals als Webinare durchgeführt.  

Die Jahresberichte der Datenschutzbeauftragten erfüllen einige wichtige Funktionen. Zu diesen zählen:

• Bericht über die getroffenen Massnahmen und identifizierten Schwachstellen während des letzten Jahres.
• Feststellung der eingesetzten Ressourcen und des notwendigen Budgets für das nächste Jahr.
• Identifizierung notwendiger Massnahmen nach Priorität auf dessen Basis die Geschäftsleitung Ressourcen zuweisen kann.

Bei der Feststellung eines Verstosses durch die Datenschutzbehörden dient dieser Jahresbericht zur Entlastung der DSB. Zudem ermöglicht er der Geschäftsleitung eine risikobasierte Entscheidung über die Umsetzung der vorgeschlagenen Massnahmen.

‍