Viele Unternehmen haben aktuell das Thema Datenschutzgrundverordnung (DSGVO) auf der Agenda und sehen sich daher auch mit dem Thema konfrontiert, ob sie einen Datenschutzbeauftragten brauchen oder nicht und wenn ja wie sich die Pflicht zur Bestellung eines Datenschutzbeauftragten umsetzen lässt?
Zwar bestand auch nach bisheriger Rechtslage die Pflicht zur Bestellung eines Datenschutzbeauftragten (§ 4f BDSG in der Fassung bis 25.05.2018), jedoch haben viele Unternehmen das Thema eher stiefmütterlich behandelt und „pro forma“ einen Angestellten als Datenschutzbeauftragten deklariert. Dies war der Auffassung geschuldet, dass die Aufsichtsbehörden „zahnlose Tiger“ seien und Verstöße kaum geahndet würden.
Die ab dem 25.05.2018 geltende DSGVO dürften angesichts der nun drohenden drastischen Geldbußen (At. 83 DSGVO) zu einem Umdenken führen.
Regelungen der DSGVO zum Datenschutzbeauftragten
Wann sehen die künftig geltenden Regelungen zum Datenschutzbeauftragten also eine Pflicht für Unternehmen zur Bestellung eines Datenschutzbeauftragten vor?
Laut Art. 37 Abs. 1 DSGVO ist ein Datenschutzbeauftragter zu benennen, wenn
- die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO besteht.
Die in Art. 9 Abs. 1 DSGVO genannten „besonderen Kategorien“ beziehen sich auf Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Doch was bedeutet „Kerntätigkeit“?
Eine Kerntätigkeit liegt vor, wenn es sich um eine für die Geschäftstätigkeit oder die Unternehmensstrategie wichtige Tätigkeit handelt und nicht bloß um routinemäßige Verwaltungsaufgaben, die in jedem Unternehmen als Nebentätigkeit vorkommen.
So liegt eine Kerntätigkeit in der umfangreichen Verarbeitung von personenbezogenen Daten, bei Unternehmen wie z.B.
- Unternehmen die Scoring- oder Profiling-Maßnahmen anbieten
- Markt- und Meinungsforschungsunternehmen
- Sicherheits- und Überwachungsunternehmen
- Social-Media-Anbieter
- Versicherungsunternehmen
Bezogen auf besondere Kategorien von Daten sind z.B.
- Arztpraxen
- Labors
- Krankenhäuser
- Unter Umständen auch Rechtsanwälte (bspw. Medizinrecht, Arbeitsrecht etc.)
zu nennen.
Und was stellt eine „umfangreiche, regelmäßige und systematische Überwachung“ dar?
Ob eine Verarbeitung nach Art, Umfang und/oder der Zwecke eine umfangreiche, regelmäßige und systematische Überwachung erfordert, hängt von verschiedenen Parametern ab. So sind folgende Faktoren zu berücksichtigen:
- Anzahl der betroffenen Personen
- Datenvolumen
- Dauer der Verarbeitung
- geografische Ausdehnung der Verarbeitung
- Risiken für die betroffenen Personen
Nicht umfangreich soll in diesem Zusammenhang die Verarbeitung sein, wenn die Verarbeitung durch einen einzelnen Arzt, einen einzelnen sonstigen Angehörigen eines Gesundheitsberufes oder einen einzelnen Rechtsanwalt erfolgt. Im Umkehrschluss dürfte das bedeuten, dass jedenfalls ab zwei Ärzten, zwei Rechtsanwälten oder zwei Angehörigen eines Gesundheitsberufes eine umfangreiche Verarbeitung vorliegt.
Was ergibt sich aus dem neu gefassten Bundesdatenschutzgesetz (BDSG)?
Die Bundesrepublik Deutschland hat von der Öffnungsklausel in der DSGVO Gebrauch gemacht und in dem ebenfalls am 25.05.2018 flankierend zur neuen DSGVO in-kraft-tretenden neuen BDSG eine weitere Verfeinerung der Voraussetzungen für eine verpflichtende Bestellung eines Datenschutzbeauftragten geregelt. Dort ergibt sich künftig für private Unternehmen aus § 38 BDSG (neu), dass die Bestellung eines Datenschutzbeauftragten verpflichtend ist,
- soweit in einem Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind oder
- in dem Unternehmen Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen oder
- in dem Unternehmen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
In den allermeisten Fällen in denen eine Verpflichtung besteht, wird sich eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten aus der ersten Alternative ergeben. Es wird sich zeigen, wie streng die Behörden, das Merkmal „ständig mit der automatisierten Bearbeitung von personenbezogenen Daten beschäftigt“ auslegen werden. Es kann jedoch nur dazu angeraten werden, nicht leichtfertig von einer allzu weiten Interpretation des Begriffs auszugehen. Im Zweifel dürfte es schon reichen, wenn in der Buchhaltung, im Marketing- oder im Servicebereich insgesamt mindestens zehn Personen automatisiert Kundendaten verarbeiten.
Brauche ich nun einen Datenschutzbeauftragten oder nicht?
Die pauschale Aussage, dass jedes Unternehmen mit mindestens zehn Mitarbeitern einen Datenschutzbeauftragten braucht, ist genauso wenig richtig, wie die Aussage, dass im Falle von weniger als zehn Mitarbeitern stets kein Datenschutzbeauftragter benötigt wird.
Es kommt auf den Einzelfall an und bedarf jeweils einer gründlichen Prüfung.
Angesichts der Aussagen einiger Landesdatenschutzbeauftragten Unternehmen, die am 25.05.2018 keinen Datenschutzbeauftragten benannt haben, mit empfindlichen Bußgeldern zu belegen, sollten Unternehmen sorgfältig prüfen, ob sie einen Datenschutzbeauftragten bestellen müssen oder nicht.
Da Datenschutzbeauftragte nicht nur bei der Aufsichtsbehörde gemeldet werden müssen, sondern auch die Kontaktdaten veröffentlicht werden müssen (bspw. in der Datenschutzerklärung auf der Website), besteht bei Nichteinhaltung zudem die Gefahr von wettbewerbsrechtlichen Abmahnungen durch Mitbewerber oder Verbände.
Lesen Sie hier alle wichtigen Beiträge zur DSGVO:
- Abgeordneter warnt: “Es wird bei der EU-DSVGO kein Pardon geben!”
- DSGVO: Der Datenschutz und die Fotografie
- DSGVO: Google kündigt neue Spielregeln für Werbetreibende an
- DSGVO: Wann benötigen Unternehmen einen Datenschutzbeauftragten?
- DSGVO: Die E-Mail am Arbeitsplatz und der Datenschutz
- Service gegen Daten: Nach dem Kopplungsverbot der DSGVO nun nicht mehr erlaubt?
- DSGVO: Der Datenschutz und die Fotografie
- 3 Dinge, die man zur DSGVO-Abmahnwelle wissen muss
- OLG Köln gibt Entwarnung für Fotografen: KUG gilt auch nach der DSGVO weiter
- Rechtsanwältin Rosenbaum in der WDR-Servicezeit zum Thema “DSGVO – ändert sich für Fotografen?”
- DSGVO-Abmahnungen: LG Würzburg erlässt erste einstweilige Verfügung gegen Rechtsanwältin
- DSGVO-Abmahnungen: LG Bochum weist Antrag auf einstweilige Verfügung zurück
- DSGVO: Muss die Wiener Hausverwaltung 220.000 Klingelschilder entfernen?
- DSGVO-Abmahnungen: EU-Kommission hält die Rechtsbehelfe Betroffener für abschließend geregelt
- DSGVO-Abmahnungen eingeschränkt möglich: OLG Hamburg vertritt vermittelnde Ansicht
- DSGVO-Abmahnungen: LG Wiesbaden sagt Nein zu “Abmahnbarkeit”
- DSGVO-Abmahnungen: 50 € Schmerzensgeld pro Spam-EMail?
- Erstes Bußgeld wegen DSGVO-Verstoß: 20.000 € gegen die Chatplattform knuddels.de
- 7 Dinge, die man zum EU-Vertreter nach Art. 27 DSGVO wissen muss
- Haare schneiden ist keine Kunst – DSGVO/KUG Urteil zur Veröffentlichung von Werbevideos
- DSGVO: Wann liegt eine Auftragsdatenverarbeitung im Onlinehandel vor?