Über die Gründe, warum man Datenschutz betreiben sollte, habe ich ja schon in einem früheren Post gesprochen.
Heute möchte ich mich explizit der Frage widmen, warum bzw. wann man einen Datenschutzbeauftragten braucht.
Zunächst einmal schreibt der Gesetzgeber die Benennung eines Datenschutzbeauftragten vor. Dies erfolgt in Form des Bundesdatenschutzgesetzes (BDSG) sowie durch die Datenschutzgrundverordnung der EU (DSGVO), die seit dem 25. Mai 2018 bindend für alle Mitgliedsländer der EU ist.
Das Wichtigste in Kürze:
- Jedes Unternehmen mit mehr als 19 Mitarbeitern, die personenbezogene Daten verarbeiten, braucht einen Datenschutzbeauftragten.
- Bei der Anwendung einer Datenschutz-Folgeabschätzung ist ein Datenschutzbeauftragter unabhängig von der Mitarbeiterzahl zu benennen.
- Besteht ein geschäftsmäßiger Zweck in der Übermittlung personenbezogener Daten ist ebenfalls ein Datenschutzbeauftragter zu benennen.
- Werden Daten zum geschäftsmäßigen Zweck der Mark- und Meinungsforschung verarbeitet, ist auch ein Datenschutzbeauftragter unabhängig von der Mitarbeiterzahl zu benennen.
- Bei Verstoß, also bei Nichtbenennung sind Bußgelder von bis zu 10 Mio. EUR zu erwarten.
Braucht jedes Unternehmen zwingend einen Datenschutzbeauftragten?
Diese Frage ist mit einem klaren „Nein“ zu beantworten. Nicht jedes Unternehmen ist dazu verpflichtet einen Datenschutzbeauftragten zu benennen. In Art. 37 DSGVO (1) ist geregelt, welche Voraussetzungen für eine pflichtgemäße Benennung gegeben sein müssen. Um zu prüfen, ob Sie einen Datenschutzbeauftragten laut Gesetzgeber benötigen, habe ich im Folgenden alle gesetzmäßigen Gründe aufgelistet.
Wann brauche ich einen Datenschutzbeauftragten?
Jede öffentliche Stelle, also jede öffentlich-rechtliche Einrichtung des Staates, muss grundsätzlich einen Datenschutzbeauftragten benennen. Es gibt dabei nur eine Ausnahme: Die Gerichte benötigen keinen Datenschutzbeauftragten.
- Nicht-öffentliche Stellen sind verpflichtet einen Datenschutzbeauftragten zu benennen, wenn:
- die Kerntätigkeit eine umfangreiche oder systematische Überwachung von Personen erforderlich macht oder
- die Kerntätigkeit eine umfangreiche Verarbeitung besonders sensibler Daten abfordert.
Was ist unter Kerntätigkeit zu verstehen?
Bei der Kerntätigkeit handelt es sich um die Haupttätigkeit eines Unternehmens. Dazu gehören sämtliche Vorgänge, die einen festen Bestandteil der Haupttätigkeit ausmachen.
Was bedeutet „umfangreich“?
Laut dem Erwägungsgrund 91 DSGVO liegt eine „umfangreiche“ Überwachung vor, wenn mehrere der folgenden Faktoren als hoch eingestuft werden:
- Die Menge der verarbeitenden personenbezogenen Daten (Volumen),
- eine Verarbeitung auf regionaler, nationaler oder supranationaler Ebene (geografischer Aspekt),
- des Weiteren die Anzahl der betroffenen Personen, von denen Daten verarbeitet werden
- sowie die Dauer der Verarbeitung (zeitlicher Aspekt).
Was hier explizit „hoch“ bedeuten soll, kann leider nicht genau gesagt werden. Die DSGVO hält sich dies gewissermaßen offen.
Was sind „besonders sensible“ personenbezogene Daten?
Dabei handelt es sich um Daten, die auf die rassische und ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeiten oder Sexualleben des Betroffenen schließen lassen. Personenbezogene Daten sind sämtliche Informationen, die eine Person identifizieren, also bestimmbar machen lassen.
Was heißt das konkret? Was sagt das deutsche Recht?
Das BDSG 2018, welches ja auf der DSGVO aufsitzt, regelt dies im § 38 (1). Laut dem Bundesdatenschutzgesetz gibt es drei konkrete Gründe für die Benennung eines Datenschutzbeauftragten:
- Wenn Sie mindestens 20 Personen beschäftigen, die ständig und automatisiert personenbezogene Daten verarbeiten.
- Genauso wenn Sie eine Datenschutz-Folgeabschätzung machen müssen.
- Oder wenn Sie personenbezogene Daten zum geschäftsmäßigen Zweck der Übermittlung, der anonymisierten Übermittlung bzw. für den Zweck der Markt- und Meinungsforschung verarbeiten.
Die beiden letzten Gründe verlangen von mir also, unabhängig von der Anzahl verarbeitender Personen, einen Datenschutzbeauftragten zu benennen.
Was bedeutet „automatisiert“?
„Automatisierte Verarbeitung“ personenbezogener Daten bedeutet, die Erhebung oder Nutzung derselben unter dem Einsatz von Datenverarbeitungsanlagen.
Wann müssen Sie eine Datenschutz-Folgeabschätzung machen?
Eine Datenschutz-Folgeabschätzung ist durchzuführen, wenn die Verarbeitung personenbezogener Daten ein voraussichtlich hohes Risiko bedeutet. Das Risiko beschreibt dabei die Wahrscheinlichkeit, dass Rechte und Freiheiten von natürlichen Personen gefährdet sind. Ich werde dies später in einem anderen Artikel noch näher beleuchten.
Welche Aufgaben haben die Datenschutzbeauftragten?
Es gibt kein konkretes Anforderungsprofil für den Datenschutzbeauftragten. Dennoch geht das BDSG zumindest im Kern auf die Hauptaufgaben desselben ein. Der Datenschutzbeauftragte fungiert wie eine Stabsstelle, als Berater der Geschäftsleitung. Er überwacht und überprüft den Status Quo in dem Betrieb. Letztlich schaut er, ob dieser mit den rechtlichen und technischen Anforderungen hinsichtlich des Datenschutzes einhergeht. Darauf entwickelt er ein Datenschutzkonzept. Des Weiteren dient er der Prävention. Der Verantwortliche, also der Unternehmer soll möglichst den Datenschutz einhalten, sodass es erst gar nicht zu einem Verstoß kommt.
Im Folgenden sind die Aufgaben lt. BDSG-neu aufgeführt:
- Prüfung der einzelnen technisch-organisatorischen Sicherungsmaßnahmen, § 9 BDSG
- Unterstützung bei der Erstellung des internen und öffentlichen Verfahrensverzeichnisses
- Prüfung und Überwachung der Auftragsdatenverarbeitung, § 11 BDSG
- Prüfung der Zulässigkeit der Übermittlung von personenbezogenen Daten in Drittstaaten, §§ 4b, 4c BDSG
- Bearbeitung der Anfragen/Auskunftsersuchen von Betroffen, §§ 34, 35 BDSG
- Durchführung der Vorabkontrolle, § 4d Abs. 4 BDSG
- Überwachung der Datennutzung für Marketing bzw. Werbung, §28 BDSG und §7 UWG
- Prüfung der Videoüberwachung in öffentlich zugänglichen Bereichen, § 6b BDSG und am Arbeitsplatz, § 32 BDSG
- Schulung der Mitarbeiter
Was passiert bei Nichtbenennung des Datenschutzbeauftragten?
Sollten Sie dazu verpflichtet sein, haben aber trotzdem keinen Datenschutzbeauftragten benannt, kann es sehr teuer für Sie werden. Die DSGVO fordert hier Geldbußen von 10 Millionen EUR oder gar 2 Prozent des weltweiten Jahresumsatzes des dagegen verstoßenden Unternehmens. Allerdings handelt es sich hierbei wirklich um die Höchststrafe für einen Verstoß. Dennoch betrug die Strafe bereits vor dem 25. Mai 2018 laut BDSG bis zu 50.000 EUR bei Nichtbenennung eines Datenschutzbeauftragten. Dies darf daher nicht unterschätzt werden. Wer fahrlässig handelt und wem dies nachgewiesen werden kann, der kann heute mit weitaus höheren Bußgeldern rechnen.
Sie brauchen einen Datenschutzbeauftragten, wollen oder können jedoch keinen internen einsetzen? Dann melden Sie sich bei mir über mein Kontaktformular oder rufen Sie mich an. Ich mache Ihnen gerne ein unverbindliches Angebot.