Der Datenschutzbeauftragte nach § 38 BDSG-neu

Seit dem 25. Mai 2018 gilt in Deutschland ein neues Datenschutzgesetz. Das brachte nicht nur einige gravierende Neuerungen mit sich, sondern es sorgt auch immer noch Verunsicherung bei kleinen bis mittleren Unternehmen, vor allem was eine unter Umständen bestehende Pflicht zur Einsetzung eines Datenschutzbeauftragten angeht.

Grundsätzliches

Ausgangspunkt waren Art. 8 Abs. 1 der Grundrechte-Charta der Europäischen Union sowie Art. 16 Abs. 1 des Vertrages über die Arbeitsweise der Europäischen Union, wonach jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten hat.

In der vom Europaparlament erlassenen Datenschutzgrundverordnung (DSGVO) wurde der dafür erforderliche vereinheitlichte Rechtsrahmen geschaffen, der aber qua sogenannter „Öffnungsklauseln“ den Mitgliedsstaaten die Möglichkeit gab, durch eigene Gesetzgebung die DSVGO zu ergänzen oder zu konkretisieren.

Dies hat der Bundesgesetzgeber mit der Neufassung des Bundesdatenschutzgesetzes (BDSG) getan. Er übernahm dabei nicht nur die Unterscheidung der DSVGO zwischen öffentlichen und nicht-öffentlichen Stellen, sondern regelte gleich die Stellung und die Aufgaben des Datenschutzbeauftragten für öffentliche Stellen des Bundes komplett neu. Für uns interessant ist die Frage, in welchen Fällen nicht-öffentliche Stellen, also im Wesentlichen Unternehmen, zur Benennung eines Datenschutzbeauftragten verpflichtet sind.

Inkurs: Die DSVGO spricht nunmehr von der Benennung eines Datenschutzbeauftragten. Hieraus könnte man ableiten, dass eine Bestellung mittels schriftlichem Vertrag nicht mehr erforderlich ist. Hiervon ist aber schon aus Beweissicherungsgründen abzuraten. Zudem werden zwischen Unternehmen und externen Beratern immer auch Dienstleistungsverträge bestehen. Neu ist nach Art. 37 Abs. 7 DSGVO auch die Verpflichtung, den eingesetzten Datenschutzbeauftragten der Aufsichtsbehörde zu melden. Eine unterlassene Meldung stellt daher einen Rechtsverstoß da und macht die Klärung der Frage, ob ein Datenschutzbeauftragter zu benennen ist, umso dringlicher. 

Neue Kriterien

 Kriterien der DSVGO, nach denen auch nicht-öffentliche Stellen einen Datenschutzbeauftragten benennen müssen, sind:

  • wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10

Das BDSG-neu formuliert unter Nutzung der bereits erwähnten Öffnungsklauseln zwei weitere Kriterien, die allerdings schon im alten Bundesdatenschutzgesetz zu finden waren. Eine Benennung ist demnach ebenfalls erforderlich,

  • wenn in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Absatz 1 Satz 1 BDSG-neu), oder
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet

Gleichsam neu ist ein fünftes Kriterium, nämlich:

  • wenn Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach 35 DSGVO unterliegen (im Gegensatz zur Vorabkontrolle nach altem Recht)

Die Erforderlichkeit einer Datenschutz-Folgenabschätzung ergibt sich, vereinfacht gesagt, vor allem bei Vorliegen der zwei erstgenannten Kriterien. Zugleich handelt es sich bei diesen Kriterien auch um die auslegungsbedürftigsten aller Benennungsvoraussetzungen.

Folgen für die Praxis

Relativ unproblematisch lassen sich demnach Benennungspflichten für folgende Branchen bzw. Unternehmen feststellen (keine abschließende Aufstellung):

  • Unternehmen, die Scoring- oder Profiling-Maßnahmen anbieten
  • Markt- und Meinungsforschungsunternehmen
  • Sicherheits- und Überwachungsunternehmen
  • Social-Media-Anbieter
  • Versicherungsunternehmen

Bezogen auf besondere Kategorien von Daten sind auch

  • Arztpraxen
  • Labore
  • Krankenhäuser
  • und unter Umständen auch Rechtsanwälte

möglicherweise von einer Benennungspflicht erfasst.

Gerade die letzten Beispiele zeigen jedoch, wie schwierig hier eine pauschale Einschätzung ist. Für eine kleine Arztpraxis mit wenigen Beschäftigten sollte man schwerlich eine Verpflichtung annehmen können, einen Datenschutzbeauftragten einzusetzen. Für eine Arzt- oder Praxisgemeinschaft oder gar eine Medizinisches Versorgungszentrum hingegen möglicherweise schon.

Aber auch die Frage, was die Aufsichtsbehörden als Kerntätigkeit einschätzen und was nicht, lässt sich nur unter Berücksichtigung des konkreten Einzelfalls entscheiden. Auch die teilweise schon vorgelegten Listen der Aufsichtsbehörden der Länder, aus denen die Verarbeitungsvorgänge hervorgehen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, geben keine letzte Sicherheit. Zum Einen betrachten die Aufsichtsbehörden die Listen ausdrücklich als nicht abschließend. Zum Anderen wird betont, dass die Listen sich im Hinblick auf die Schnelligkeit digitaler Entwicklungen auch inhaltlich unter Vorbehalt stehen.

Für eine Prüfung der Frage, ob in Ihrem Unternehmen ein Datenschutzbeauftragter zu benennen ist, stehen wir Ihnen gerne als Ansprechpartner zur Verfügung

Bitte beachten Sie, dass die vorliegende Mitteilung lediglich zur allgemeinen Information dient. Weder erhebt sie den Anspruch umfassend zu sein, noch kann sie eine professionelle Rechtsberatung ersetzen. Trotz sorgfältiger Recherche können wir daher für die Vollständigkeit und Richtigkeit der Angaben auch keine Haftung übernehmen.