Wer muss einen Datenschutzbeauftragten nach den EU Regeln nennen?
Das EU- und das deutsche Datenschutzrecht sehen unterschiedliche Fälle vor, in denen ein Datenschutzbeauftragter (DSB) bestellt werden muss. Dabei wird oft vergessen, dass auch wenn diese Regelungen in Ihrem Fall nicht anwendbar sind, alle Unternehmen (und darüber hinaus alle Behörden und Vereinen) die Regelungen der DS-GVO einhalten müssen.
Das heißt, auch wenn Sie nicht dazu verpflichtet sind, sollten Sie trotzdem einen Datenschutzbeauftragten haben, der Sie bei Ihren datenschutzrechtlichen Verpflichtungen unterstützt.
Ähnliche Artikel aus unserem Blog: Was sind die Kosten eines Datenschutzbeauftragten? Lesen Sie hier
Wann besteht die Pflicht einen DSB im engeren Sinne zu bestellen?
Die Pflicht nach dem deutschen Recht
Deutschland hat in seinem Bundesdatenschutzgesetz (§38) strenge Regelungen verabschiedet.
Insofern zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, müssen die Unternehmen einen Datenschutzbeauftragten bestellen. Hier sind folgende Elemente zu berücksichtigen. Der Anzahl der Mitarbeiter einer Firma kann in die Gesamtbetrachtung einbezogen werden. Mitarbeiter, die keinen Zugang zu Datenverarbeitungsanlagen haben, mit denen personenbezogene Daten verarbeitet werden, wie z.B. Reinigungspersonal oder Fließbandarbeiter, sollten dabei nicht berücksichtigt werden. Der Status der Personen, die die Verarbeitung im Unternehmen ausüben, ist irrelevant. Es spielt keine Rolle, ob es sich um Voll- oder Teilzeitbeschäftigte, Freiberufler oder Leiharbeiter, sowie Auszubildende, Volontäre und Praktikanten handelt, und auch die Geschäftsleitung zählt zu den oben genannten zwanzig Personen.
In der Regel und ständig ist es das Ziel, dass einmalige Veränderungen nicht in Betracht gezogen werden.
Die Anzahl der Mitarbeiter allein genügt nicht, um eine Benennungspflicht auszuschließen. Auch die Auswirkung der Unternehmenstätigkeit auf natürliche Personen spielt hier eine wichtige Rolle. Wenn diese ein voraussichtlich ein hohes Risiko für die Rechte der natürlichen Personen birgt, muss eine sogenannte Datenschutz-Folgenabschätzung durchgeführt werden, das heißt die Risiken müssen im Detail geprüft und die Maßnahmen, die im Unternehmen zur Reduzierung dieser Risiken beitragen, müssen berücksichtigt werden. Unternehmen, die nicht nur einmalig sondern öfter Verarbeitungen durchführen, die solchen Datenschutzfolgenabschätzungen unterworfen sind, müssen auch einen Datenschutzbeauftragten bestellen. Wenn z.B. eine Tankstelle für die Installation einer Videoüberwachung nur einmalig eine Datenschutzfolgenabschätzung durchführen muss, muss sie keinen Datenschutzbeauftragten bestellen.
Eine Verpflichtung besteht auch dann, wenn Ihr Unternehmen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung verarbeitet, wobei geschäftsmäßig nicht im herkömmlichen Sinne zu interpretieren ist, d.h. auch Tätigkeiten umfasst, die keinen Gewinn erzielen, aber für eine gewisse Zeit ausgeübt werden. In der Praxis werden darunter Unternehmen wie Auskunfteien, welche die Bonität von Personen prüfen, oder Firmen, die Dritten Adressdaten für Werbezwecke vermitteln, verstanden.
Die Tatsache, dass die Daten anonymisiert übermittelt werden stellt keine Ausnahme für die Benennungspflicht dar. Wenn Sie personenbezogene Daten zur Markt- oder Meinungsforschung für Kunden verarbeiten, müssen Sie auch einen Datenschutzbeauftragten haben.
Die Pflicht nach dem EU-Recht
Im Gegensatz dazu haben die meisten Mitgliedstaaten der Europäischen Union keine besonderen Regelungen bezüglich des DSB verabschiedet, so dass nur die Bestimmungen der Datenschutzgrundverordnung (DS-GVO, Artikel 37) zu berücksichtigen sind.
Nach Art.37 Abs.1 lit.b DSGVO besteht zunächst eine Benennungspflicht, wenn die Kerntätigkeit des Unternehmens eine umfangreiche regelmäßige und systematische Überwachung von Personen im Sinne einer Beobachtung ihres Verhaltens (wie z.B. das Klickverhalten eines Nutzers auf der Website der Firma) erfordern. Dabei müssen die Anzahl der betroffenen Personen, die Menge der verarbeiteten Daten und die geographische Reichweite der Datenerfassung sowie die Dauer berücksichtigt werden. Zu diesem Zweck sind nur die Verarbeitungen einzubeziehen, die entweder fortlaufend oder wiederholt vorkommen und die einen bestimmten Plan und Organisation folgen.
Schließlich ist zu beachten, dass auch die Verarbeitungen, die untrennbar mit der Kerntätigkeit verbunden sind, auch als eine der Kerntätigkeiten zu betrachten sind, wie im Falle von Gesundheitsdienstleistungen in Krankenhäusern, die nicht ohne die Verarbeitung der Gesundheitsdaten der Patienten möglich sind.
Es gibt auch dann eine Benennungspflicht (Art.37 Abs.1 lit.c DSGVO), wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht. Die Verarbeitung von besonderen Daten betrifft in den meisten Firmen nur die Krankmeldungen, die Arbeitsunfähigkeitsbescheinigungen, die Schwangerschaft (Mutterschutz) und (im Falle von Deutschland und Österreich ) die Religionszugehörigkeit. Es handelt sich aber dabei nicht um Kerntätigkeiten und diese Verarbeitungen können dazu als geringfügig betrachtet werden, so dass Art.37 Abs.1 lit.c DSGVO als nicht anwendbar ausgelegt werden kann.
Die meisten Unternehmen können von einem Datenschutzbeauftragten profitieren
Wenn man die vorgenannten Regelungen zusammenfasst, könnte man daraus schließen, dass Unternehmen, die in Deutschland aktiv sind, nur in Ausnahmefällen keinen Datenschutzbeauftragten brauchen und dass Unternehmen in anderen EU Länder nur in geringen Fällen einen Datenschutzbeauftragten brauchen.
Das wäre ein Irrtum, denn auch ohne Benennungspflicht müssen die Verpflichtungen der DS-GVO beachtet werden. Daher sollte sich wenigstens ein Mitarbeiter diesem Thema widmen und kontrollieren, ob alle Verarbeitungen von personenbezogenen Daten im Einklang mit dem Rechtsrahmen sind.
Am Ende einer reinen Kosten-Nutzen-Analyse stellen Unternehmen oft fest, dass es billiger ist einen Datenschutzbeauftragten zu bestellen, als das Risiko einzugehen, die datenschutzrechtlichen Regelungen zu missachten. Zusätzlich zum Bußgeld, das verhängt werden kann, und zu den Kosten des Verfahrens (vor der Aufsichtsbehörde und ggfs. des gerichtlichen Verfahrens), kann das Unternehmen Vertrauensverlust bei seinen Kunden erlitten.
Da aber insbesondere kleinere Unternehmen oft mit den datenschutzrechtlichen Pflichten (Beantwortung von Betroffenenanfragen, Dokumentation,…) überfordert sind, lohnt es sich Hilfe von einem externen Datenschutzbeauftragten zu holen.
Was ist ganz allgemein der Vorteil bei der Bestellung eines externen Datenschutzbeauftragten? Im Gegensatz zu einem Mitarbeiter des Unternehmens, der Zeit für die Einarbeitung braucht, Fehler begehen kann, weil er wegen seiner mangelnden Erfahrung einen Fall falsch einschätzt und am Ende ggfs. doch Hilfe einholen muss, besitzt der externe Datenschutzbeauftragte die benötigte Erfahrung, um schnell und gezielt zu handeln. Er kann sich mit Kollegen, die auch selbst Erfahrung in anderen Bereichen haben, austauschen. Je nach Anzahl der Stunden für den Mitarbeiter, der als interner Datenschutzbeauftragter tätig ist, der Größe des Unternehmens und der Aufgaben, die zu erledigen sind, gibt es unterschiedliche Rahmen für ein externes DSB-Mandat.
Bei der 2B Advice GmbH wird die Anzahl von Stunden in den angebotenen Arbeitspaketen anhand der Größe des Unternehmens angepasst. Daher haben wir neben großen und mittelständischen Unternehmen auch kleine Unternehmen als Mandant.
Gerne können Sie unsere Vertriebsabteilung kontaktieren, damit wir Ihnen ein auf Ihre Bedürfnisse abgestimmtes Angebot unterbreiten können.
Ähnliche Artikel aus unserem Blog: Datenschutzfolgenabschätzung (DSFA): Was ist zu tun? Lesen Sie hier
German 
English 
Italian 
French