Wann muss ein Datenschutzbeauftragter bestellt werden?
Das bisherige BDSG sieht unter bestimmten Voraussetzungen eine Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten vor. Dieser soll die staatliche Datenschutzaufsicht zum einen ergänzen, aber vor allem durch Selbstkontrolle der verantwortlichen Stelle entlasten.
Die DS-GVO und das neue BDSG werden auch hier die Rechtslage ab dem 25.05.2018 zwar nicht grundlegend aber in einzelnen Punkten verändern. Unternehmen, die bisher keinen Datenschutzbeauftragten bestellt haben, müssen daher sorgfältig prüfen, ob sie zukünftig hierzu verpflichtet sind.
1. Voraussetzungen nach bisherigem Recht Nach bisheriger Rechtslage sind öffentliche und nicht-öffentliche Stelle, d.h. auch private Unternehmen, die personenbezogene Daten automatisiert verarbeiten, grundsätzlich verpflichtet, einen Datenschutzbeauftragten zu bestellen, § 4f BDSG. Werden personenbezogene Daten auf andere Weise verarbeitet, besteht eine Pflicht zur Bestellung nur dann, wenn in der Regel mindestens 20 Personen mit der Datenverarbeitung befasst sind. Eine reine, nicht-automatisierte Verarbeitung kommt heute in der Praxis nur noch selten vor, da eine Datenverarbeitung ohne Einsatz von Datenverarbeitungsanlage in der heutigen Zeiten in Unternehmen kaum noch denkbar ist.
Werden personenbezogene Daten automatisiert verarbeitet, so entfällt die Bestellungspflicht für private Unternehmen nur dann, wenn in der Regel höchstens 9 Personen ständig mit der automatisierten Datenverarbeitung beschäftigt werden. Entscheidend ist, ob zur Bewältigung der unternehmerischen Aufgabe “Verarbeitung personenbezogener Daten” typischerweise im Unternehmen zehn oder mehr Beschäftigte benötigt werden. Dabei muss die Verarbeitung personenbezogener Daten nicht die Haupttätigkeit des Beschäftigten sein. Es genügt, wenn die Aufgabe zwar nur in längeren Zeitabständen, bspw. einmal im Monat, aber auf unbestimmte Zeit oder zumindest für eine längere Dauer wahrgenommen wird. Weiter genügt es, wenn die Beschäftigten das Recht haben, auf personenbezogene Daten auf elektronischem Weg zuzugreifen und diese zu lesen. Es genügt in der Regel bereits, dass der Beschäftigte an der Kommunikation via Outlook teilnimmt oder Zugriff auf unternehmensinterne Adressverzeichnisse hat.
Die Zählung erfolgt nach Köpfen. Das heißt es kommt nicht darauf an, ob die betreffende Person in Vollzeit- oder Teilzeit beschäftigt ist.
Da das Gesetz in § 4f BDSG nicht den Begriff des Arbeitnehmers, sondern der Beschäftigung verwendet, zählen auch eingesetzte Leiharbeitnehmer oder freie Mitarbeiter mit.
Auf die Anzahl der mit der Datenverarbeitung beschäftigten Personen kommt es hingegen nicht mehr an, wenn mit der automatisierte Verarbeitung besondere Risiken für die Rechte und Freiheiten der Betroffenen verbunden sind, also eine sog. Vorabkontrolle der Verarbeitungsvorgänge durchzuführen ist. Dies kann sich u.a. daraus ergeben, dass
- sog. besondere personenbezogene Daten (§ 3 Abs. 9 BDSG), wie etwa Daten über die Gesundheit, die Gewerkschaftszugehörigkeit oder die religiöse Überzeugung des Betroffenen verarbeitet werden,
- oder die Verarbeitung dazu bestimmt ist, die Persönlichkeit des Betroffenen, insbesondere im Hinblick auf seine Leistung, Fähigkeiten oder sein Verhalten, zu bewerten.
Keiner Vorabkontrolle bedarf es allerdings dann, wenn eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.
2. Bestellung nach der DS-GVO und dem BDSG in seiner neuen Fassung Ab dem 25.05.2018 richtet sich die Pflicht zur Bestellung eines Datenschutzbeauftragten nach der Europäischen Datenschutz-Grundverordnung (DS-GVO) sowie dem hieran angepassten BDSG n.F.
Die DS-GVO sieht in Art. 37 Abs. 1 eine Bestellungspflicht zunächst in drei Fällen vor:
- wenn es sich um eine öffentliche Stelle handelt,
- wenn die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche auf Grund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen,
- wenn die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Kategorien von Daten im Sinne von Art. 9 DS-GVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DS-GVO besteht.
Damit wird zunächst eine generelle Bestellungspflicht für Behörden und andere öffentliche Stellen mit Ausnahme der Gerichte und unabhängigen Justizbehörden eingeführt. Für private Unternehmen verfolgt die DS-GVO einen risikobasierten Ansatz und knüpft nicht mehr an eine konkrete Beschäftigtenzahl an. Entscheidendes Kriterium ist dabei zunächst, dass die Verarbeitung personenbezogener Daten die Kerntätigkeit des Unternehmens ausmacht. Dies dürfte dahingehend zu verstehen sein, dass der Geschäftszweck des Unternehmens in der Verarbeitung von personenbezogenen Daten besteht, also insbesondere hierdurch der wesentliche Umsatz erzielt wird. Jedenfalls wird erforderlich sein, dass die Erfüllung des Geschäftszwecks ohne die Datenverarbeitung nicht möglich ist und es sich hierbei nicht um Verarbeitungsvorgänge handelt, die typischerweise in allen Unternehmen anfallen, wie etwa die Kundenverwaltung oder Personalverwaltung.
Hierzukommen muss zudem entweder eine nach den Gesamtumständen umfangreiche regelmäßige und systematische Überwachung des Betroffenen oder eine umfangreiche Verarbeitung von sensitiven Daten im Sinne von Art. 9, 10 DS-GVO hinzutreten. Entscheidend ist im Ergebnis die Gefahrgeneigtheit der Verarbeitung für den Betroffenen. Dies kann sich u.a. auch aus dem Einsatz neuartiger Technologien ergeben.
Die DS-GVO verwendet damit äußerst unbestimmte Rechtsbegriffe. In vielen Fällen dürfte in der Praxis eine Bestellungspflicht nach Art. 37 DS-GVO für private Unternehmen bereits deshalb ausscheiden, weil die Datenverarbeitung lediglich eine erforderliche Nebentätigkeit zum eigentlichen Geschäftszweck darstellt.
Art. 37 Abs. 4 DS-GVO enthält darüber hinaus aber eine Öffnungsklausel für die Mitgliedsstaaten, wonach sich eine Pflicht zur Bestellung eines Datenschutzbeauftragten auch aus nationalem Recht ergeben kann. Hiervon hat der deutsche Gesetzgeber auch Gebrauch gemacht. Das neue, ab 25.05.2017 geltende BDSG sieht eine Bestellungspflicht vor, wenn das Unternehmen in der Regel mindestens zehn Personen ständig mit einer automatisierten Datenverarbeitung von personenbezogenen Daten beschäftigt, § 38 Abs. 1 S. 1 BDSG n.F.
Daneben knüpft der deutsche Gesetzgeber die Bestellungspflicht – unabhängig von der Anzahl der mit der Datenverarbeitung beschäftigten Personen – ebenfalls an das mit der Datenverarbeitung verbundene Risiko.
Danach muss ein Unternehmen immer dann einen Datenschutzbeauftragten bestellen, wenn es zum Vornahme einer Datenschutzfolgenabschätzung gem. Art. 35 DS-GVO verpflichtet ist. Eine solche kommt – verallgemeinert – insbesondere bei einer systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen, die diese in erheblicher Weise beeinträchtigen können, oder bei einer umfangreichen Verarbeitung sensitiver Daten im Sinne von Art. 9, 10 DS-GVO in Betracht.
Zudem kann sich eine Pflicht zur Bestellung eines Datenschutzbeauftragten ergeben, wenn das Unternehmen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet. Liegt diese Voraussetzung vor, kommt es ebenfalls nicht mehr auf die Anzahl der mit der Datenverarbeitung beschäftigten Personen an.
