DSGVO: Wann benötigen Unternehmen einen Datenschutzbeauftragten? 

DSGVO Datenschutzbeauftragter

© Jan Engel – fotolia.com

Viele Unternehmen haben aktuell das Thema Datenschutzgrundverordnung (DSGVO) auf der Agenda und sehen sich daher auch mit dem Thema konfrontiert, ob sie einen Datenschutzbeauftragten brauchen oder nicht und wenn ja wie sich die Pflicht zur Bestellung eines Datenschutzbeauftragten umsetzen lässt?

Zwar bestand auch nach bisheriger Rechtslage die Pflicht zur Bestellung eines Datenschutzbeauftragten (§ 4f BDSG in der Fassung bis 25.05.2018), jedoch haben viele Unternehmen das Thema eher stiefmütterlich behandelt und „pro forma“ einen Angestellten als Datenschutzbeauftragten deklariert. Dies war der Auffassung geschuldet, dass die Aufsichtsbehörden „zahnlose Tiger“ seien und Verstöße kaum geahndet würden.

Die ab dem 25.05.2018 geltende DSGVO dürften angesichts der nun drohenden drastischen Geldbußen (At. 83 DSGVO) zu einem Umdenken führen.

Regelungen der DSGVO zum Datenschutzbeauftragten

Wann sehen die künftig geltenden Regelungen zum Datenschutzbeauftragten also eine Pflicht für Unternehmen zur Bestellung eines Datenschutzbeauftragten vor?

Laut Art. 37 Abs. 1 DSGVO ist ein Datenschutzbeauftragter zu benennen, wenn

  • die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO besteht.

Die in Art. 9 Abs. 1 DSGVO genannten „besonderen Kategorien“ beziehen sich auf Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Doch was bedeutet „Kerntätigkeit“?

Eine Kerntätigkeit liegt vor, wenn es sich um eine für die Geschäftstätigkeit oder die Unternehmensstrategie wichtige Tätigkeit handelt und nicht bloß um routinemäßige Verwaltungsaufgaben, die in jedem Unternehmen als Nebentätigkeit vorkommen.

So liegt eine Kerntätigkeit in der umfangreichen Verarbeitung von personenbezogenen Daten, bei Unternehmen wie z.B.

  • Unternehmen die Scoring- oder Profiling-Maßnahmen anbieten
  • Markt- und Meinungsforschungsunternehmen
  • Sicherheits- und Überwachungsunternehmen
  • Social-Media-Anbieter
  • Versicherungsunternehmen

Bezogen auf besondere Kategorien von Daten sind z.B.

  • Arztpraxen
  • Labors
  • Krankenhäuser
  • Unter Umständen auch Rechtsanwälte (bspw. Medizinrecht, Arbeitsrecht etc.)

zu nennen.

Und was stellt eine „umfangreiche, regelmäßige und systematische Überwachung“ dar?

Ob eine Verarbeitung nach Art, Umfang und/oder der Zwecke eine umfangreiche, regelmäßige und systematische Überwachung erfordert, hängt von verschiedenen Parametern ab. So sind folgende Faktoren zu berücksichtigen:

  • Anzahl der betroffenen Personen
  • Datenvolumen
  • Dauer der Verarbeitung
  • geografische Ausdehnung der Verarbeitung
  • Risiken für die betroffenen Personen

Nicht umfangreich soll in diesem Zusammenhang die Verarbeitung sein, wenn die Verarbeitung durch einen einzelnen Arzt, einen einzelnen sonstigen Angehörigen eines Gesundheitsberufes oder einen einzelnen Rechtsanwalt erfolgt. Im Umkehrschluss dürfte das bedeuten, dass jedenfalls ab zwei Ärzten, zwei Rechtsanwälten oder zwei Angehörigen eines Gesundheitsberufes eine umfangreiche Verarbeitung vorliegt.

Was ergibt sich aus dem neu gefassten Bundesdatenschutzgesetz (BDSG)?

Die Bundesrepublik Deutschland hat von der Öffnungsklausel in der DSGVO Gebrauch gemacht und in dem ebenfalls am 25.05.2018 flankierend zur neuen DSGVO in-kraft-tretenden neuen BDSG eine weitere Verfeinerung der Voraussetzungen für eine verpflichtende Bestellung eines Datenschutzbeauftragten geregelt. Dort ergibt sich künftig für private Unternehmen aus § 38 BDSG (neu), dass die Bestellung eines Datenschutzbeauftragten verpflichtend ist,

  • soweit in einem Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind oder
  • in dem Unternehmen Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen oder
  • in dem Unternehmen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

In den allermeisten Fällen in denen eine Verpflichtung besteht, wird sich eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten aus der ersten Alternative ergeben. Es wird sich zeigen, wie streng die Behörden, das Merkmal „ständig mit der automatisierten Bearbeitung von personenbezogenen Daten beschäftigt“ auslegen werden. Es kann jedoch nur dazu angeraten werden, nicht leichtfertig von einer allzu weiten Interpretation des Begriffs auszugehen. Im Zweifel dürfte es schon reichen, wenn in der Buchhaltung, im Marketing- oder im Servicebereich insgesamt mindestens zehn Personen automatisiert Kundendaten verarbeiten.

Brauche ich nun einen Datenschutzbeauftragten oder nicht?

Die pauschale Aussage, dass jedes Unternehmen mit mindestens zehn Mitarbeitern einen Datenschutzbeauftragten braucht, ist genauso wenig richtig, wie die Aussage, dass im Falle von weniger als zehn Mitarbeitern stets kein Datenschutzbeauftragter benötigt wird.

Es kommt auf den Einzelfall an und bedarf jeweils einer gründlichen Prüfung.

Angesichts der Aussagen einiger Landesdatenschutzbeauftragten Unternehmen, die am 25.05.2018 keinen Datenschutzbeauftragten benannt haben, mit empfindlichen Bußgeldern zu belegen, sollten Unternehmen sorgfältig prüfen, ob sie einen Datenschutzbeauftragten bestellen müssen oder nicht.

Da Datenschutzbeauftragte nicht nur bei der Aufsichtsbehörde gemeldet werden müssen, sondern auch die Kontaktdaten veröffentlicht werden müssen (bspw. in der Datenschutzerklärung auf der Website), besteht bei Nichteinhaltung zudem die Gefahr von wettbewerbsrechtlichen Abmahnungen durch Mitbewerber oder Verbände.

LHR-Ratgeber: Datenschutz-Grundverordnung (DSGVO)

Ein Datenschutzverstoß kommt selten allein – und am 25.5.2018 die DSGVO

Für alle Unternehmen, die mit personenbezogenen Daten in Berührung kommen ein Muss: Die Vorbereitung auf die neuen Regeln der DSGVO. Bei Verstößen drohen Bußgelder von bis zu 20.000.000 € oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes sowie Abmahnungen und Unterlassungsklagen von Verbraucherverbänden und Mitbewerbern. Wir zeigen Ihnen Ihnen einen Überblick über die neuen Regelungen und 16 Punkte, die Sie zu beachten haben.

Jetzt hier kostenlos herunterladen!

Gefällt Ihnen der Artikel? Bewerten Sie jetzt:
( 11 Bewertungen, Durchschnitt: 4,09 von 5 )

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ihr Kommentar erscheint erst nach einer automatischen Spam-Prüfung anhand Ihrer E-Mail-Adresse sowie einer weiteren manuellen Überprüfung durch unseren Administrator. Bitte beachten Sie unsere Datenschutzerklärung.

* Pflichtfelder

Erfahrungen & Bewertungen zu Lampmann, Haberkamm & Rosenbaum Focus Medienrecht Focus Medienrecht

Sie benötigen weitere Informationen oder möchten mehr über unsere Rechtsgebiete erfahren?

Kontaktieren Sie uns