Datenschutzbeauftragter
§ 6. (1) Jeder Sozialversicherungsträger hat gemäß § 5 DSG und nach Maßgabe des Art. 37 Abs. 5 DSGVO einen Datenschutzbeauftragten zu benennen. Mehrere Sozialversicherungsträger, die bei der Vollziehung der ihnen obliegenden Angelegenheiten in wesentlichen Bereichen zusammenarbeiten (z. B. nach den Richtlinien über die Zusammenarbeit zwischen Gebietskrankenkassen und Betriebskrankenkassen – avsv Nr. 134/2005), können auch gemeinsame Datenschutzbeauftragte bestellen.
(2) Der Datenschutzbeauftragte ist nach Art. 37 DSGVO auf der Grundlage seiner beruflichen Qualifikation, seines Fachwissens und seinen bisherigen Erfahrungen mit Datenverarbeitungen zu benennen; eine formalisierte Ausbildung ist nicht zu fordern. Dem Datenschutzbeauftragten ist Gelegenheit zu geben, seine Aufgaben nach Art. 39 DSGVO in zweckentsprechender Weise mit den dafür notwendigen räumlichen, zeitlichen und arbeitsmäßigen Kapazitäten, bei Bedarf durch Zuordnung entsprechender MitarbeiterInnen und technischen Ausstattungen zu erfüllen. Als Datenschutzbeauftragte können auch natürliche Personen vorgesehen werden, die nicht Dienstnehmer des Sozialversicherungsträgers sind, wobei in diesem Fall gegebenenfalls eine Zeichnungsbefugnis vorgesehen werden sollte, da der Datenschutzbeauftragte u. a. auch mit der Aufsichtsbehörde zusammen zu arbeiten hat. Der Datenschutzbeauftragte muss aber nicht als Vertreter des Sozialversicherungsträgers zur Unterfertigung schriftlicher Ausfertigungen berechtigt werden, wenn auf andere Weise eine rasche Ausführung seiner Agenden (insbesondere bei Data Breach-Notification) sichergestellt ist.
(3) Persönliche Erreichbarkeit von Ansprechpersonen in Datenschutzangelegenheiten (nicht jedoch ständige persönliche Erreichbarkeit des Datenschutzbeauftragten selbst) ist im Rahmen der beim Sozialversicherungsträger üblichen Kundendienstzeiten sicher zu stellen.
(4) Die Kontaktdaten des Datenschutzbeauftragten sind im Internet auf der jeweiligen Website des Sozialversicherungsträgers zu veröffentlichen und der Datenschutzbehörde mitzuteilen.
(5) Jeder Verantwortliche hat nach Anhörung des Datenschutzbeauftragten (Art. 39 Abs. 1 lit. b DSGVO) eine Vorgangsweise (Person, Organisationseinheit, Schulungen) für Datensicherheitsmaßnahmen und andere Datenschutzthemen festzulegen. Im Rahmen dieser Vorgangsweise sind einschlägige Unterlagen (Organisationsbeschreibungen, Datensicherheitsmaßnahmen etc., z. B. über das Intranet) gesammelt zugänglich zu machen. Es ist weiters eine Stelle festzulegen, die als interne Kontaktstelle für jene datenschutzrechtlichen Fragen dient, die im Zusammenhang mit der Verarbeitung der Daten eines Auskunfts- oder Antragstellers in technischer und rechtlicher Hinsicht entstehen. Dies gilt auch, soweit datenschutzrechtliche Gesichtspunkte nicht völlig ausgeschlossen werden können, für Auskunftsersuchen und Anfragen nach dem Auskunftspflichtrecht.
(6) Der Datenschutzbeauftragte und die für ihn tätigen Personen sind unbeschadet sonstiger Verschwiegenheitspflichten bei der Erfüllung der Aufgaben und auch nach Ende ihrer Tätigkeit zur Geheimhaltung verpflichtet (§ 460a ASVG).
(7) Der Datenschutzbeauftragte ist bezüglich der Ausübung seiner Aufgaben weisungsfrei.
(8) Der Datenschutzbeauftragte hat gegenüber dem Verantwortlichen beratende Funktion. Verbindliche Anordnungen sind von den geschäftsführenden Organen des Sozialversicherungsträgers zu treffen. Der Datenschutzbeauftragte kann nicht als verantwortlicher Beauftragter nach § 9 Verwaltungsstrafgesetz bestellt werden.
(9) Verantwortliche und Auftragsverarbeiter haben den Datenschutzbeauftragten im Sinne des Art. 38 DSGVO zu unterstützen.