DSGVO: Wann benötigen Unternehmen einen Datenschutzbeauftragten? 

DSGVO Datenschutzbeauftragter

© Jan Engel – fotolia.com

Viele Unternehmen haben aktuell das Thema Datenschutzgrundverordnung (DSGVO) auf der Agenda und sehen sich daher auch mit dem Thema konfrontiert, ob sie einen Datenschutzbeauftragten brauchen oder nicht und wenn ja wie sich die Pflicht zur Bestellung eines Datenschutzbeauftragten umsetzen lässt?

Zwar bestand auch nach bisheriger Rechtslage die Pflicht zur Bestellung eines Datenschutzbeauftragten (§ 4f BDSG in der Fassung bis 25.05.2018), jedoch haben viele Unternehmen das Thema eher stiefmütterlich behandelt und „pro forma“ einen Angestellten als Datenschutzbeauftragten deklariert. Dies war der Auffassung geschuldet, dass die Aufsichtsbehörden „zahnlose Tiger“ seien und Verstöße kaum geahndet würden.

Die ab dem 25.05.2018 geltende DSGVO dürften angesichts der nun drohenden drastischen Geldbußen (At. 83 DSGVO) zu einem Umdenken führen.

Regelungen der DSGVO zum Datenschutzbeauftragten

Wann sehen die künftig geltenden Regelungen zum Datenschutzbeauftragten also eine Pflicht für Unternehmen zur Bestellung eines Datenschutzbeauftragten vor?

Laut Art. 37 Abs. 1 DSGVO ist ein Datenschutzbeauftragter zu benennen, wenn

Die in Art. 9 Abs. 1 DSGVO genannten „besonderen Kategorien“ beziehen sich auf Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Doch was bedeutet „Kerntätigkeit“?

Eine Kerntätigkeit liegt vor, wenn es sich um eine für die Geschäftstätigkeit oder die Unternehmensstrategie wichtige Tätigkeit handelt und nicht bloß um routinemäßige Verwaltungsaufgaben, die in jedem Unternehmen als Nebentätigkeit vorkommen.

So liegt eine Kerntätigkeit in der umfangreichen Verarbeitung von personenbezogenen Daten, bei Unternehmen wie z.B.

Bezogen auf besondere Kategorien von Daten sind z.B.

zu nennen.

Und was stellt eine „umfangreiche, regelmäßige und systematische Überwachung“ dar?

Ob eine Verarbeitung nach Art, Umfang und/oder der Zwecke eine umfangreiche, regelmäßige und systematische Überwachung erfordert, hängt von verschiedenen Parametern ab. So sind folgende Faktoren zu berücksichtigen:

Nicht umfangreich soll in diesem Zusammenhang die Verarbeitung sein, wenn die Verarbeitung durch einen einzelnen Arzt, einen einzelnen sonstigen Angehörigen eines Gesundheitsberufes oder einen einzelnen Rechtsanwalt erfolgt. Im Umkehrschluss dürfte das bedeuten, dass jedenfalls ab zwei Ärzten, zwei Rechtsanwälten oder zwei Angehörigen eines Gesundheitsberufes eine umfangreiche Verarbeitung vorliegt.

Was ergibt sich aus dem neu gefassten Bundesdatenschutzgesetz (BDSG)?

Die Bundesrepublik Deutschland hat von der Öffnungsklausel in der DSGVO Gebrauch gemacht und in dem ebenfalls am 25.05.2018 flankierend zur neuen DSGVO in-kraft-tretenden neuen BDSG eine weitere Verfeinerung der Voraussetzungen für eine verpflichtende Bestellung eines Datenschutzbeauftragten geregelt. Dort ergibt sich künftig für private Unternehmen aus § 38 BDSG (neu), dass die Bestellung eines Datenschutzbeauftragten verpflichtend ist,

In den allermeisten Fällen in denen eine Verpflichtung besteht, wird sich eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten aus der ersten Alternative ergeben. Es wird sich zeigen, wie streng die Behörden, das Merkmal „ständig mit der automatisierten Bearbeitung von personenbezogenen Daten beschäftigt“ auslegen werden. Es kann jedoch nur dazu angeraten werden, nicht leichtfertig von einer allzu weiten Interpretation des Begriffs auszugehen. Im Zweifel dürfte es schon reichen, wenn in der Buchhaltung, im Marketing- oder im Servicebereich insgesamt mindestens zehn Personen automatisiert Kundendaten verarbeiten.

Brauche ich nun einen Datenschutzbeauftragten oder nicht?

Die pauschale Aussage, dass jedes Unternehmen mit mindestens zehn Mitarbeitern einen Datenschutzbeauftragten braucht, ist genauso wenig richtig, wie die Aussage, dass im Falle von weniger als zehn Mitarbeitern stets kein Datenschutzbeauftragter benötigt wird.

Es kommt auf den Einzelfall an und bedarf jeweils einer gründlichen Prüfung.

Angesichts der Aussagen einiger Landesdatenschutzbeauftragten Unternehmen, die am 25.05.2018 keinen Datenschutzbeauftragten benannt haben, mit empfindlichen Bußgeldern zu belegen, sollten Unternehmen sorgfältig prüfen, ob sie einen Datenschutzbeauftragten bestellen müssen oder nicht.

Da Datenschutzbeauftragte nicht nur bei der Aufsichtsbehörde gemeldet werden müssen, sondern auch die Kontaktdaten veröffentlicht werden müssen (bspw. in der Datenschutzerklärung auf der Website), besteht bei Nichteinhaltung zudem die Gefahr von wettbewerbsrechtlichen Abmahnungen durch Mitbewerber oder Verbände.

Lesen Sie hier alle wichtigen Beiträge zur DSGVO:

Exit mobile version