Wer braucht einen Datenschutzbeauftragten?

Datenschutzbeautragter DSGVO – wann brauche ich einen?

Seit dem 25. Mai 2018 ist die Schonfrist abgelaufen. Alle Firmen und Vereine müssen die europäische Datenschutzgrundverordnung (kurz: DSGVO) einhalten, da ansonsten drastische Bußgelder drohen. Neben den in der DSGVO und Bundesdatenschutzgesetz neu (BDSG neu) normierten Dokumentierungs-, Regelungs- und Aufklärungspflichten ist in der DSGVO die Pflicht zur Bestellung eines betrieblichen DATENSCHUTZBEAUFTRAGTEN umfassend und streng geregelt. Nicht jeder Betrieb oder Verein muss einen Datenschutzbeauftragten (DSB) benennen. Die Prüfung, ob ein Datenschutzbeauftragter benötigt wird, ist nicht ganz einfach. Nachfolgende Abhandlung spiegelt die Denkweise bzw. Prüfungsreihenfolge eines Datenschutzbeauftragten wieder.

Wie sehen die Regelungen der DSGVO zur Datenschutzbeauftragten-Pflicht aus?

1. Fall: Anzahl der Personen entscheidet

Gemäß Art. 38 DSGVO müssen nicht-öffentliche Stellen, wie Unternehmen, Organisationen und Vereine einen Datenschutzbeauftragten bestellen, wenn mehr als 19 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Personenbezogenen Daten sind:

  • Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, wie z. B. die Adresse, Telefonnummer, Geburtsdatum, E-Mail-Adresse sowie das Foto der Person (die Aufzählung ist nicht abschließend)
  • in Bezug auf den Arbeitsalltag der natürlichen Person sind auch Angaben mit Personenbezug wie PC-Benutzerkennung, IP-Adresse und maschinenbezogene Nutzungszeiten als personenbezogene Daten einzustufen
  • auch Daten ohne direkten Personenbezug – also ohne kontextbezogene Angabe des Namens – wie z. B. Kfz-Kennzeichen, Nummer des Personalausweises und Personalnummer können personenbezogene Daten darstellen, da sie zur Bestimmung der Person dienen können

Automatisierte Verarbeitung ist:

Eine Definition für die „automatisierte Verarbeitung“ von Daten findet sich in Art. 4 Nr.2 DSGVO: Verarbeitung ist jeder, mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Dazu gehört das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten. Wenn diese Vorgänge mittels automatisierter Verfahren stattfinden spricht man von „automatisierter Verarbeitung“. Automatisierte Verarbeitung ist im Grunde die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten mittels Datenverarbeitungsanlage, also z.B. die Verarbeitung von Kunden-E-Mails bzw. die Verwaltung von Kundendaten.

Unter Nutzung versteht der Gesetzgeber jede Verwendung personenbezogener Daten, insoweit es sich nicht um Verarbeitung handelt – also z. B. das Lesen von Daten natürlicher Personen (Kunden und Mitarbeitern).

Achtung! Typische Fehlbeurteilung:

Es kommt nicht darauf an, wer tatsächlich in seiner täglichen Arbeit mit Kunden- und Personaldaten zu tun hat! Es zählt schon der derjenige in der Mitarbeiterzählung dazu, der die theoretische Möglichkeit der Verarbeitung (also zum Beispiel den Zugriff) auf personenbezogene Daten hat. Man darf also nicht nur die Personen in der Verwaltung zählen, sondern muss auch diejenigen (z.B. Außendienstler) berücksichtigen die theoretisch Zugriff auf (auch nur einen Teil) der Daten haben. Bei der Zählung müssen Sie auch Auszubildende, geringfügig Beschäftigte, studentische Hilfskräfte und Aushilfen mitzählen.

2. Fall: Gemäß Art. 37 Abs.1 DSGVO muss ein Datenschutzbeauftragter unabhängig von der Mitarbeiteranzahl benannt werden, wenn

  • die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO besteht.

Art.9 ist dabei besonders neuralgisch. Die in Art. 9 DSGVO benannten „besonderen Kategorien“ beziehen sich nämlich auf vom Gesetzgeber als besonders eingestufte Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Solche Daten dürften häufig bei diesen Firmenarten zu finde sein:

  • Arztpraxen
  • Labors
  • Krankenhäuser
  • Steuerberater, Lohnbuchhaltung

Was ist Kerntätigkeit?

Laut Gesetzgeber (wir reden hier mal von Gesetzgeber, obwohl die DSGVO eine europäische Verordnung ist) liegt eine Kerntätigkeit nach DSGVO demnach vor, wenn es sich um eine für die Geschäftstätigkeit oder die Firmenstrategie  Haupttätigkeit (also gerade der Zweck der Unternehmung – z.B. Adressdatensammler) und nicht bloß um routinemäßige Verwaltungsaufgaben, die in jedem Unternehmen als Nebentätigkeit vorkommt, handelt.

Folglich soll eine Kerntätigkeit in der umfangreichen Verarbeitung von personenbezogenen Daten vorliegen, wenn es sich um folgende Unternehmungen handelt:

  • Social-Media-Anbieter wie Facebook, Twitter, Instagram usw.
  • Unternehmen die (auch) Scoring- oder Profiling-Maßnahmen anbieten (amazon macht so etwas auch)
  • Markt- und Meinungsforschungsunternehmen
  • Sicherheits- und Überwachungsunternehmen
  • Und natürlich auch Versicherungsunternehmen

Wann ist eine „umfangreiche, regelmäßige und systematische Überwachung“ erforderlich?

Ob eine Verarbeitung nach Art, Umfang und/oder der Zwecke eine umfangreiche, regelmäßige und systematische Überwachung erforderlich ist, hängt von verschiedenen Faktoren ab. Es sind Folgende zu berücksichtigen, nämlich

  • die Anzahl der betroffenen Personen, von den die Daten verarbeitet werden,
  • das Datenvolumen der verarbeiteten Daten,
  • die tatsächliche Dauer der Verarbeitung,
  • möglicher Weise der große geografische Umfang der Verarbeitung und natürlich
  • die Risiken für die betroffenen Personen und deren Daten.

Die Datenschutzbehörden der jeweiligen Bundesländer haben unter Anwendung der DSGVO und dem BDSG neu in Zusammenarbeit sogenannte Black- und White-Listen entwickelt, um typischer Weise immer wiederkehrende Konstellationen gleichförmig zu beurteilen.

Kleinere Arztpraxen mit 2 oder 3 Ärzten und einem normalem Patientenstamm dürften demnach bundesweit z.B. nicht unter die Erforderlichkeit für einen Datenschutzbeauftragten fallen, sofern in Arztpraxis wiederum nicht mehr als 9 Personen Zugang zu den Patientendaten haben.

FAZIT: Brauche ich nun einen Datenschutzbeauftragten oder nicht?

  1. Einfach ist ein Fazit für die Firmen zu ziehen, die insgesamt weniger als 20 Mitarbeiter beschäftigen und deren Kerngeschäft nicht das „Sammeln“ von Daten ist. Hierunter fallen wohl die meisten mittelständischen Unternehmen in Deutschland.
  2. Sobald das Unternehmen mehr als 19 Mitarbeiter beschäftigt, muss es prüfen, wie viele dieser Mitarbeiter theoretisch Zugang zu personenbezogenen Daten haben. Sind es 20 oder mehr Mitarbeiter, die diese Möglichkeit haben, dann benötigen Sie zwingend einen Datenschutzbeauftragten (DSB).
  3. Kompliziert wird es für die Unternehmen, die weniger als 10 Mitarbeiter beschäftigen bzw. weniger als 10 Mitarbeiter mit Zugang zu personenbezogenen Daten haben, aber umfangreich mit personenbezogenen Daten agieren. Hierunter dürften ganz sicher Makler, Hausverwaltungen, Versicherungsagenturen und ähnliche Betriebe fallen. Entweder finden diese Branchen sich auf irgendwelchen Black- und White-Listen wieder oder sie müssen selbst abschätzen, ob ein Datenschutzbeauftragter erforderlich ist. Bei den vorgenannten Kreisen dürfte unseres Erachtens das Pendel eher in Richtung Notwendigkeit ausschlagen.

Bestrafung durch die Datenschutzbehörden

Die Landesdatenschutzbehörden werden ab 2019 verstärkt Kontrollen bei mittelständischen Unternehmen vornehmen, die bisher keinen Datenschutzbeauftragten benannt haben und diese im Fall von Verstößen mit empfindlichen Bußgeldern belegen.

Häufig werden diese Unternehmen aber auch von unzufriedenen Kunden bei der Datenschutzbehörde anonym angezeigt. Unternehmen sollten jetzt also sorgfältig prüfen, ob sie einen Datenschutzbeauftragten bestellen müssen oder nicht.

Abmahnungen drohen

Es droht nicht nur Ungemach von der öffentlichen Seite. Datenschutzbeauftragte müssen nicht nur bei der Aufsichtsbehörde gemeldet werden, sondern die Unternehmen müssen in ihren Datenschutzerklärungen (auf Datenschutzformularen und/oder auf der Webseite) angeben, wenn sie einen Datenschutzbeauftragten haben und eine einfache Kontaktmöglichkeit zu diesem Datenschutzbeauftragten zur Verfügung stellen.  Im Umkehrschluss besteht bei Nichteinhaltung die Gefahr von wettbewerbsrechtlichen Abmahnungen durch Mitbewerber oder Verbände.

Internen DSB oder externen Datenschutzbeauftragten bestellen? Vor- und Nachteile:

Der betriebliche Datenschutzbeauftragte kann durch eine interne Person gestellt werden, die nicht zur Firmenleitung gehört bzw. Abteilungsleitung gehört ( klar: der DSB soll sich nicht selbst überwachen!). Da der interne DSB noch einige andere erhebliche Probleme mit sich bringt, greifen die meisten Firmen zu einem externen Dienstleister und bestellen sich einen externen Datenschutzbeauftragten.

Das Thema interner DSB vs. Externen DSB – Vor- und Nachteile –  beleuchten wir Ihnen hier näher.