Datenschutzbeauftragter DACH: Eine Bestellung, drei Rechtsräume, ein Nachweis
Ein Datenschutzbeauftragter für die gesamte DACH-Region klingt effizient. In der Praxis treffen drei Aufsichten, drei Gesetze und drei Meldepflichten aufeinander. Dieser Leitfaden zeigt die rechtliche Grundlage, die operative Aufstellung und die Nachweisführung.
Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (revDSG), das die Anforderungen an Verantwortliche näher an die DSGVO heranführt, ohne sie deckungsgleich zu machen. In Österreich gilt parallel die DSGVO in Verbindung mit dem Datenschutzgesetz (DSG idgF), in Deutschland mit dem BDSG. Wer einen Datenschutzbeauftragten für die DACH-Region bestellt, arbeitet damit faktisch in drei Rechtsräumen mit drei Aufsichtsbehörden: BfDI und Länderaufsichten in Deutschland, DSB in Wien und EDÖB in Bern. Die operative Frage lautet selten ob, sondern wie die Bestellung sauber strukturiert wird, ohne dass eine einzelne Lücke die gesamte Konzernlösung formal angreifbar macht.
Dieser Beitrag adressiert Konzernstrukturen mit Tochtergesellschaften in mehreren DACH-Staaten und erklärt, wann eine zentrale Bestellung tragfähig ist, wann lokale Vertreter zwingend hinzukommen und welche Dokumentation für den Prüfer ausreicht. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service, die diese Strukturen in der Praxis abbildet, vom Bestellnachweis über die Berichtslinie bis zur Meldekette. Der Beitrag arbeitet mit konkreten Paragraphen, Fristen und Schnittstellen, damit aus der Lektüre eine belastbare Entscheidung wird. Sie erhalten am Ende eine klare Checkliste, mit welchen Dokumenten, Fristen und Sprachen Sie operativ rechnen müssen.
Auf einen Blick
- Eine zentrale DSB-Bestellung über DACH ist zulässig, sobald die Erreichbarkeit für betroffene Personen und für jede Aufsichtsbehörde nachweisbar gewährleistet ist.
- Schweizer Tochtergesellschaften benötigen unter revDSG zusätzlich einen Datenschutzberater nach Art. 10 revDSG, sofern privatrechtliche Bearbeitung mit hohem Risiko vorliegt.
- Datenpannen sind nach Art. 33 DSGVO binnen 72 Stunden und nach Art. 24 revDSG sobald als möglich zu melden, mit unterschiedlichen Schwellen und unterschiedlichen Behördenformularen.
Drei Rechtsräume, ein Beauftragter: Was rechtlich überhaupt zulässig ist
Art. 37 Abs. 2 DSGVO erlaubt es einer Unternehmensgruppe ausdrücklich, einen gemeinsamen Datenschutzbeauftragten zu benennen, sofern dieser von jeder Niederlassung leicht erreichbar ist. Diese Vorschrift gilt unmittelbar in Deutschland und Österreich. Die Schweiz wendet als Drittstaat eigenes Recht an: Art. 10 revDSG kennt den Datenschutzberater als freiwillige, aber faktisch erwartete Funktion bei privatrechtlicher Bearbeitung mit hohem Risiko. Eine Konzernbestellung über DACH ist damit grundsätzlich möglich, sie muss aber drei Schichten erfüllen, die in der Praxis selten sauber getrennt werden.
Erste Schicht: Erreichbarkeit. Die DSB-Funktion muss in Landessprache, mit lokaler Telefonnummer und Adresse, für jede betroffene Person dokumentiert sein. Zweite Schicht: Aufsichtskommunikation. Anfragen aus Wien, Berlin oder Bern landen bei unterschiedlichen Behörden mit unterschiedlichen Fristen und unterschiedlichen Verfahrensordnungen. Dritte Schicht: Nachweisführung. Bestellurkunde, unterschrieben, abgelegt, belegbar, in einer Sprache, die die jeweilige Aufsicht akzeptiert. Die Erreichbarkeit muss nicht zwingend physisch im jeweiligen Land erfolgen, eine erreichbare Telefonnummer und ein bedienter E-Mail-Posteingang reichen, wenn sie innerhalb von 48 Stunden Antworten liefern.
CIVAC bildet diese drei Schichten im Workspace strukturiert ab, mit Bestellurkunden je Gesellschaft und einer konsolidierten Berichtslinie zum externen Datenschutzbeauftragten. Wer die Schichten nicht trennt, riskiert dass eine einzelne lückenhafte Tochter die gesamte Konzernbestellung formal angreifbar macht. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die Entscheidung hängt selten an Kosten, sondern an der Frage, ob das fachliche Profil intern bereits vorhanden ist oder erst aufgebaut werden müsste. Eine hybride Variante, bei der die Funktion intern besetzt, aber durch externe Audit-Vorlagen und einen externen Stellvertreter abgesichert wird, hat sich im Mittelstand zwischen 250 und 1.500 Beschäftigten als belastbarer Kompromiss erwiesen.
DSGVO, DSG und revDSG: Wo die Unterschiede operativ bissig werden
Auf dem Papier wirken die drei Regime ähnlich, im Tagesgeschäft treiben fünf Unterschiede den Aufwand. Erstens die Meldepflicht: Art. 33 DSGVO verlangt eine Meldung an die Aufsicht binnen 72 Stunden ab Kenntnis, Art. 24 revDSG verlangt eine Meldung an den EDÖB so rasch als möglich bei hohem Risiko, ohne starre Frist. Frist läuft ab Kenntnis, nicht ab Entdeckung durch externe Dritte. Zweitens die Sanktionen: Bußgelder bis 20 Mio. Euro nach DSGVO, Bußgelder bis 250.000 CHF nach revDSG, allerdings persönlich gegen die verantwortliche natürliche Person, nicht gegen die juristische Person des Unternehmens.
Drittens das Verzeichnis von Verarbeitungstätigkeiten: Art. 30 DSGVO und Art. 12 revDSG laufen inhaltlich ähnlich, die Schweiz erlaubt aber Ausnahmen für KMU unter 250 Beschäftigten ohne hohes Risiko. Viertens die Datenübermittlung: Schweizer Daten ins EU-Ausland gelten als grenzüberschreitende Bekanntgabe nach Art. 16 revDSG, mit eigener Liste sicherer Staaten, geführt vom Bundesrat. Fünftens die Auftragsverarbeitung: Art. 28 DSGVO und Art. 9 revDSG unterscheiden sich in der Detailtiefe der Pflichtklauseln. Für Schweizer Auftragsverarbeiter werden ergänzende Verpflichtungserklärungen typischerweise als Anhang zum bestehenden DSGVO-AVV gestaltet.
Wer einen DACH-DSB einsetzt, braucht für jedes dieser fünf Felder eine dokumentierte Handlungsanweisung. Der Prüfer ruft an, der Nachweis liegt bereit. Die 490 Audit-Vorlagen von CIVAC decken jedes der fünf Felder mit zwei bis drei verschiedenen Vorlagen ab, je nach Konzerngröße und Risikoprofil. Die Vorlagen sind in der jeweiligen Landessprache und in englischer Konzernfassung verfügbar, mit revisionssicherer Versionierung. So bleibt der Aufwand pro Land überschaubar, ohne dass die Konzernsicht verloren geht.
Bestellung in Österreich: DSB-Anzeige bei der Datenschutzbehörde Wien
Die österreichische Datenschutzbehörde (DSB) sitzt in Wien und führt das Register der gemeldeten Datenschutzbeauftragten. § 5 DSG verweist auf die DSGVO, ergänzt aber durch nationale Verfahrensregeln. Eine DSB-Bestellung muss der Behörde online über das Unternehmensserviceportal (USP) angezeigt werden, mit Name, Kontaktdaten und Erreichbarkeit. Bei Konzernlösungen wird die zentrale DSB-Funktion eingetragen, zusätzlich aber jede österreichische Tochter mit eigener Anzeige hinterlegt. Diese Doppelstruktur wird gerne übersehen und ist in Aufsichtsprüfungen einer der häufigsten Formalbefunde.
Praktisch heißt das: Eine in München sitzende DSB-Funktion, die für die österreichische Tochter zuständig ist, muss in Wien angezeigt sein, mit deutscher Adresse und einer Erreichbarkeitsregelung in deutscher Sprache. Die DSB Wien akzeptiert das, fordert aber regelmäßig nach, wenn die Erreichbarkeit nur über eine ausländische Hotline läuft. Ein lokaler Antwortkanal, etwa ein österreichisches Postfach oder eine ladungsfähige Adresse über einen Wiener Vertreter nach Art. 27 DSGVO, schließt die Lücke. Bei Konzernen mit mehr als drei österreichischen Töchtern empfiehlt sich eine zentrale Postanschrift in Wien, an die alle Aufsichtskorrespondenz gerichtet wird.
CIVAC strukturiert diese Doppelanzeige als Standardprozess im Workspace, inklusive Vorlage für die USP-Eingabe und Berichtspflicht über Vorfälle. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Die Anzeige bei der DSB Wien wird im System mit Bestätigungsnummer und Datum hinterlegt, damit der Nachweis bei einer Aufsichtsprüfung in Sekunden auffindbar ist. Bestellurkunde, unterschrieben, abgelegt, belegbar. Diese Dokumentationskette ist der entscheidende Unterschied zwischen einer formal sauberen und einer angreifbaren Konzernbestellung. Die DSB Wien hat in den vergangenen zwei Jahren mehrfach betont, dass formal lückenhafte Anzeigen als Verstoß gegen Mitwirkungspflichten gewertet werden können, mit eigenständigem Bußgeldpotenzial.
Schweiz unter revDSG: Datenschutzberater statt DSB, andere Logik
Das revidierte Datenschutzgesetz unterscheidet zwischen der DSGVO-Logik eines Datenschutzbeauftragten und dem Schweizer Konzept des Datenschutzberaters nach Art. 10 revDSG. Privatrechtliche Verantwortliche sind nicht zur Bestellung verpflichtet, gewinnen aber die Erleichterung, dass eine Datenschutz-Folgenabschätzung bei hohem Risiko nicht zwingend dem EDÖB vorgelegt werden muss, sofern ein Datenschutzberater konsultiert wurde. Bundesorgane unterliegen strengeren Regeln nach Art. 25 VDSG. Diese Trennlinie wird in Konzernstrukturen oft falsch gezogen, mit dem Ergebnis, dass eine eigentlich erleichternde Funktion nicht genutzt wird.
Operativ bedeutet das: Eine DACH-DSB-Funktion kann in der Schweiz die Rolle des Datenschutzberaters übernehmen, sofern sie hinreichende Fachkenntnis und Unabhängigkeit nachweist und der EDÖB den Kontakt erreicht. Der EDÖB in Bern verlangt keine vorherige Anzeige der Person, wohl aber bei DSFA-relevanten Vorgängen den Nachweis der Konsultation. Schweizer Tochtergesellschaften müssen zusätzlich prüfen, ob sie nach Art. 14 revDSG einen Vertreter in der Schweiz benötigen, falls Bearbeitungsvorgänge aus dem Ausland angeboten werden. Der Vertreter ist nicht identisch mit dem Datenschutzberater, beide Funktionen können aber bei der gleichen natürlichen oder juristischen Person liegen.
CIVAC bildet beide Rollen im Workspace ab, mit getrennter Berichtslinie für Schweizer Sachverhalte und einer Audit-Vorlage für die DSFA-Konsultation. Die Berichtslinie verläuft direkt an die Geschäftsleitung, nicht über lokale IT-Verantwortliche. Die DSFA-Konsultation wird als signiertes Dokument zwischen Datenschutzberater und Verantwortlichem abgelegt, mit Versionsstand und Nachweis der erfolgten Stellungnahme. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Die Plattform erinnert an Folgekonsultationen, dokumentiert getroffene Risikoentscheidungen und stellt sie für eine EDÖB-Anfrage in unter 60 Sekunden bereit.
Meldepflichten parallel managen: 72 Stunden, sobald als möglich, und die Unterschiede dazwischen
Eine Datenpanne in einem DACH-Konzern trifft im schlimmsten Fall alle drei Aufsichten gleichzeitig. Art. 33 DSGVO setzt 72 Stunden ab Kenntnis für Deutschland und Österreich, mit unterschiedlichen Meldeportalen: Bundesländerbehörden in Deutschland, DSB Wien für Österreich. Art. 24 revDSG fordert eine Meldung an den EDÖB sobald als möglich, sofern voraussichtlich ein hohes Risiko für die Persönlichkeit der betroffenen Person besteht. Die Schwelle ist damit höher als unter DSGVO, die Frist aber unbestimmt. Drei parallele Meldungen sind kein Ausnahmefall, sondern bei länderübergreifenden Vorfällen Regelfall.
Der DSB-Workspace von CIVAC bildet einen einheitlichen Vorfallspfad mit drei Verzweigungen ab. Eingangsdatum, Risikoanalyse und Betroffenenkreis werden einmal erfasst, die drei Meldeformulare automatisch befüllt. Frist läuft ab Kenntnis, nicht ab Bestätigung durch das IT-Team. Eine Folgemeldung nach Art. 33 Abs. 4 DSGVO bei unvollständigen Informationen wird im Workspace vorgemerkt. Für die Schweiz erzeugt das System einen begleitenden Vermerk, weshalb die Meldung erfolgte oder bewusst nicht erfolgte, mit Verweis auf die Risikobewertung. Dieser Vermerk ist der entscheidende Audit-Nachweis gegenüber dem EDÖB.
Ohne diesen Vermerk bleibt die Entscheidung gegen eine Meldung argumentativ angreifbar. Eine spätere Aufsichtsprüfung kann die Risikobewertung dann nicht mehr nachvollziehen, das Versäumnis wird als Aufsichtsverstoß gewertet. Die Verknüpfung mit dem NIS-2-Meldepfad ist möglich, sofern der Vorfall zugleich Cybersicherheitsmeldung auslöst, etwa bei Ransomware mit Datenexfiltration. Der Prüfer ruft an, der Nachweis liegt bereit. Die parallele Vorhaltung der drei Meldepfade ist der zentrale Mehrwert einer konsolidierten DACH-DSB-Aufstellung. Erfahrungsgemäß dauert die manuelle Bearbeitung paralleler Meldungen ohne Plattform vier bis sechs Stunden, mit Plattform unter einer Stunde.
Berichtslinie und Unabhängigkeit: Wer dem DSB nicht weisungsbefugt ist
Art. 38 Abs. 3 DSGVO verlangt, dass der Datenschutzbeauftragte keine Anweisungen erhält und unmittelbar an die höchste Managementebene berichtet. § 6 DSG Österreich und Art. 10 revDSG Schweiz formulieren ähnliche, wenn auch nicht identische Anforderungen. In einem DACH-Konzern bedeutet das praktisch: Der DSB berichtet an den Konzernvorstand, nicht an die Geschäftsführung einer einzelnen Tochter, und schon gar nicht an den IT-Leiter. Diese Berichtslinie wird in Bestellurkunden oft sprachlich verkürzt, was im Prüfungsfall zur Auslegungsfrage wird.
Eine saubere Aufstellung dokumentiert drei Punkte. Erstens die direkte Berichtslinie zur höchsten Managementebene, namentlich und mit Stellvertretung. Zweitens das Verbot von Weisungen in fachlichen Datenschutzfragen, einschließlich der Pflicht, abweichende Meinungen aktenkundig zu machen. Drittens den Kündigungsschutz nach Art. 38 Abs. 3 Satz 2 DSGVO, der in Deutschland durch § 6 Abs. 4 BDSG zusätzlich abgesichert ist. In Österreich und der Schweiz fehlt diese spezialgesetzliche Verankerung, weshalb vertragliche Regelungen umso wichtiger werden. Die Bestellurkunde sollte für jeden DSB-Bereich eine eigene Klausel zum Kündigungsschutz vorsehen, mit Verweis auf die nationale Rechtslage.
CIVAC stellt eine Bestellurkunden-Vorlage je Land bereit, die alle drei Punkte abdeckt und über die FAQ-Übersicht in der jeweiligen Landesversion abrufbar ist. Die Vorlagen wurden mit deutschen, österreichischen und Schweizer Datenschutzanwälten abgestimmt und werden bei Gesetzesänderungen zentral aktualisiert. Die Berichtslinie wird im Workspace als Organigramm hinterlegt, jede Änderung erzeugt eine versionierte Akte. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Das ist nicht nur eine Stilfrage, sondern die Grundlage für eine belastbare Auditprüfung in jeder der drei Jurisdiktionen.
Sprachfragen und Vertretung: Wenn die Aufsicht in Landessprache antwortet
Eine oft unterschätzte Hürde ist die Verfahrenssprache. Die DSB Wien führt Verfahren in deutscher Sprache, der EDÖB in deutscher, französischer oder italienischer Sprache je Kantonszuständigkeit, die deutschen Landesaufsichten ausschließlich in Deutsch. Ein DACH-DSB muss daher schriftlich in den relevanten Sprachen reagieren können, oder einen lokalen Vertreter benennen, der diese Aufgabe übernimmt. Art. 27 DSGVO regelt den Vertreter für nicht in der EU niedergelassene Verantwortliche, Art. 14 revDSG den Vertreter in der Schweiz für umgekehrte Konstellationen.
Die saubere Variante: Ein DACH-DSB mit deutscher Muttersprache, ergänzt durch einen Schweizer Datenschutzberater für romanische Sprachräume und einen österreichischen Vertreter mit ladungsfähiger Adresse. Diese Dreierstruktur kostet weniger als drei separate DSB-Funktionen und genügt allen drei Aufsichten. Wer auf einen reinen DACH-DSB ohne lokale Vertreter setzt, riskiert Verfahrensverzögerungen, die im Bußgeldverfahren als verschärfende Umstände gewertet werden können. Insbesondere der EDÖB hat in jüngeren Entscheidungen den Mangel an lokaler Erreichbarkeit explizit gerügt.
CIVAC hält für jede Konstellation eine Vorlage bereit, von der einfachen Anzeige bis zur dreistufigen Vertreterstruktur. Die Audit-Vorlagen sind in der jeweiligen Verfahrenssprache abrufbar und werden bei Gesetzesänderungen zentral aktualisiert. Das spart in der Praxis die Tage, die zwischen Vorfall und Meldung sonst durch Übersetzungen verloren gehen. Konzerne, die mit französischsprachigen Kantonen wie Genf oder Waadt arbeiten, sollten zudem prüfen, ob ihre DSFA-Vorlagen zweisprachig vorgehalten werden. Bei größeren Datenflüssen ins romanische Sprachgebiet ist eine durchgehende französische Aktenführung empfehlenswert, mit deutscher Konzernfassung als Begleitdokument. Die EDÖB-Eingaben können in beiden Sprachen erfolgen, eine Übersetzung wird nur bei Verfahren vor dem Bundesverwaltungsgericht zwingend.
Kosten und Aufwand realistisch kalkulieren: Was eine DACH-Bestellung wirklich bindet
Klassische Beratungsangebote für eine DACH-DSB-Bestellung rechnen drei separate Mandate ab: Deutschland, Österreich, Schweiz. Stundensätze von 180 bis 250 Euro je Jurisdiktion sind marktüblich, mit Mindestkontingenten von 8 bis 16 Stunden pro Monat je Land. Hochgerechnet liegen die Jahreskosten zwischen 60.000 und 110.000 Euro, ohne Vorfallsbearbeitung und ohne Schulungen. Der Aufwand entsteht überwiegend nicht durch die Beratung, sondern durch die Wiederholung gleicher Sachverhalte in drei Akten und die manuelle Konsolidierung der Berichte für den Konzernvorstand.
Ein konsolidierter Officer-as-a-Service-Ansatz reduziert diese Wiederholung. CIVAC-SLA: 2 Werktage statt 2 bis 6 Wochen klassisch, mit 490 einsatzbereiten Audit-Vorlagen, die für DSGVO, DSG und revDSG vorgefertigt vorliegen. Die Berichtslinie läuft einmal zur Konzernspitze, die Bestellurkunden werden je Land erzeugt, die Meldekette ist konsolidiert. In Summe sinkt der Verwaltungsaufwand um den Faktor, den die Wiederholung sonst verursacht. Schulungen für lokale Mitarbeiter laufen über ein zentrales Lernsystem, mit länderspezifischen Pflichtmodulen zu DSGVO, DSG und revDSG.
Eine genaue Kalkulation hängt von der Anzahl der Tochtergesellschaften und dem Vorfallsaufkommen ab. Eine Indikation: Konzerne mit fünf bis zwölf DACH-Töchtern bewegen sich im konsolidierten Modell typischerweise unter 50.000 Euro jährlich, mit voll dokumentierter Nachweisführung. Die Einsparung liegt nicht in günstigeren Stundensätzen, sondern in der Vermeidung redundanter Aktenführung. Bei sehr kleinen Töchtern unter zehn Beschäftigten kann sich die Workspace-Lizenz für interne Beauftragte rechnen, bei mittleren und größeren Töchtern der externe Officer-as-a-Service. Beide Modelle nutzen die gleiche Plattform mit identischen Audit-Vorlagen und EU-Datenresidenz. Diese Datenresidenz ist insbesondere für Schweizer Mandanten relevant, weil sie eine zusätzliche Bekanntgabe in Drittstaaten vermeidet und die Bewertung nach Art. 16 revDSG vereinfacht.
Aus dem Lesen einen Auftrag machen
Eine DACH-DSB-Aufstellung gelingt nicht durch drei parallele Mandate, sondern durch eine konsolidierte Struktur mit lokal sichtbarer Erreichbarkeit. Die rechtliche Grundlage ist Art. 37 Abs. 2 DSGVO in Verbindung mit den nationalen Spezifika in § 5 DSG Österreich und Art. 10 revDSG Schweiz. Die operative Grundlage ist eine Plattform, die Bestellurkunden, Meldepfade und Berichtslinien in einer einzigen Aktenstruktur führt. Die kommerzielle Grundlage ist die Vermeidung redundanter Beratung über drei Jurisdiktionen, ohne dass die lokale Erreichbarkeit darunter leidet.
CIVAC ist eine Compliance-Plattform und Officer-as-a-Service mit 25 Beauftragten-Rollen, 490 Audit-Vorlagen und EU-Datenresidenz. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen, in jeder DACH-Jurisdiktion. Die Aufstellung dauert zwei Werktage statt zwei bis sechs Wochen. Wir liefern eine vollständige Erstausstattung mit Bestellurkunde, Berichtslinie, Meldepfaden und einer Erstinventur der Verarbeitungstätigkeiten.
Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Wir beantworten Anfragen werktags innerhalb von vier Stunden mit einem konkreten Vorschlag zur Aufstellung, einschließlich Indikation zu Bestellurkunde, Berichtslinie und Meldekette. In einem Vorgespräch klären wir, ob Ihre interne Mannschaft eine Workspace-Lizenz oder unsere Bestellung benötigt. Anschließend folgt ein Aufstellungstermin von rund 90 Minuten, bei dem die Bestellurkunden je Land unterzeichnet und die ersten Meldepfade getestet werden. Bestellurkunde, unterschrieben, abgelegt, belegbar. Der gesamte Onboarding-Prozess wird im Workspace als versionierte Akte geführt, damit eine spätere Aufsichtsprüfung lückenlos rekonstruieren kann, wann welche Bestellung erfolgte. Wer eine DACH-Aufstellung plant, sollte zudem prüfen, ob weitere Beauftragten-Rollen wie Informationssicherheit, Geldwäsche oder Hinweisgeberschutz in derselben Plattform geführt werden können, um die Berichtslinien an den Konzernvorstand zu konsolidieren und Audit-Aufwand quer über alle Beauftragten-Rollen zu sparen.
FAQ
Können wir einen einzigen Datenschutzbeauftragten für Deutschland, Österreich und die Schweiz bestellen?
Ja, Art. 37 Abs. 2 DSGVO erlaubt eine Konzernbestellung für Deutschland und Österreich. Für die Schweiz ist die Person als Datenschutzberater nach Art. 10 revDSG einsetzbar. Voraussetzung ist die nachweisbare Erreichbarkeit in jeder Landessprache und Jurisdiktion sowie eine separate Anzeige bei der jeweiligen Aufsichtsbehörde, insbesondere bei der DSB Wien über das Unternehmensserviceportal.
Welche Frist gilt für Datenpannen in der Schweiz im Vergleich zur DSGVO?
Art. 33 DSGVO verlangt 72 Stunden ab Kenntnis. Art. 24 revDSG verlangt eine Meldung an den EDÖB sobald als möglich, allerdings nur bei voraussichtlich hohem Risiko. Die Schwelle in der Schweiz ist höher, die Frist aber unbestimmter formuliert. In der Praxis empfiehlt sich auch in der Schweiz eine 72-Stunden-Linie, dokumentiert mit einer schriftlichen Risikobewertung, ob eine Meldung erforderlich ist oder nicht.
Muss eine DSB-Bestellung der österreichischen Datenschutzbehörde in Wien angezeigt werden?
Ja, jede österreichische Tochtergesellschaft meldet ihren Datenschutzbeauftragten über das Unternehmensserviceportal an die DSB Wien. Das gilt auch bei einer zentralen DACH-Bestellung, die Funktion wird dann mit deutscher Adresse hinterlegt und eine Erreichbarkeit in Österreich nachgewiesen. Die Anzeige enthält Name, Kontaktdaten und Erreichbarkeitszeiten in deutscher Sprache und wird bei jeder Personaländerung aktualisiert, um den Aufsichtsbestand korrekt zu halten.
Was unterscheidet einen Datenschutzberater nach revDSG vom Datenschutzbeauftragten nach DSGVO?
Der Datenschutzberater nach Art. 10 revDSG ist freiwillig, hat aber den Vorteil, dass eine DSFA bei hohem Risiko nicht zwingend dem EDÖB vorgelegt werden muss. Die DSGVO-Pflicht zur DSB-Bestellung bei umfangreicher Datenverarbeitung gilt in der Schweiz nicht entsprechend. Eine DSB-Funktion aus der EU kann gleichzeitig als Schweizer Datenschutzberater fungieren, sofern Erreichbarkeit und Fachkenntnis dokumentiert sind.
Welche Bußgelder drohen in den drei DACH-Staaten?
DSGVO-Bußgelder reichen bis 20 Mio. Euro oder 4 % des Konzernumsatzes, in Deutschland und Österreich gleichermaßen. Das Schweizer revDSG sieht Bußgelder bis 250.000 CHF vor, allerdings persönlich gegen die verantwortliche natürliche Person, nicht gegen das Unternehmen. Diese persönliche Haftung in der Schweiz ist in Konzernen erfahrungsgemäß der stärkere Treiber für eine saubere Aufstellung als die unternehmensbezogenen EU-Bußgelder.
Wie schnell kann CIVAC eine DACH-DSB-Struktur aufstellen?
Die Standard-Aufstellung dauert zwei Werktage. CIVAC erstellt Bestellurkunden je Jurisdiktion, hinterlegt die Berichtslinie zur Konzernspitze und richtet einen konsolidierten Vorfallspfad ein. Anschließend übernimmt entweder ein interner Beauftragter mit Workspace-Lizenz oder ein extern bestellter CIVAC-Beauftragter die laufende Funktion. Schulungen für lokale Verantwortliche sind im Standardpaket enthalten, ebenso ein Onboarding-Workshop für IT und Personalwesen mit länderspezifischen Pflichtinhalten.
Klingt nach viel Arbeit?
Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.
Aus dem Beitrag ein Mandat machen.
Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.