Datenschutzrecht und DSGVO (II): Wann muss ein Datenschutzbeauftragter bestellt werden?

Wann besteht heute eine Pflicht zur Bestellung eines Datenschutzbeauftragten in Deutschland?

Nach § 4f Bundesdatenschutzgesetz (BDSG) muss in Unternehmen, bei Gewerbetreibenden oder Freiberuflern ein betrieblicher Datenschutzbeauftragter bestellt werden, wenn mindestens 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten oder mindestens 20 Personen mit der nicht-automatisierten Erhebung, Verarbeitung und Nutzung personenbezogener Daten mittels manueller Dateien (Karteien, Formularsammlungen) beschäftigt werden.

Welche Sanktion ist bisher in Deutschland bei einem Verstoß gegen die Bestellungspflicht vorgesehen?

Die Nichtbeachtung dieser Pflicht stellt eine Ordnungswidrigkeit dar, die mit einer Geldbuße von bis zu fünfzigtausend Euro geahndet werden kann (§ 43 BDSG).

Wann besteht eine Bestellpflicht nach der DSGVO?

Nach Artikel 37 Absatz 1 der ab dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) benennen Verantwortliche und der Auftragsdatenverarbeiter auf jeden Fall einen Datenschutzbeauftragten, wenn

a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,

b) die Kerntätigkeit des Verantwortlichen oder des Auftragsdatenverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 (Daten aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, Verarbeitung von genetischen oder biometrischen Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Die Verordnung stellt damit außerhalb des öffentlichen Sektors, also für Unternehmen auf spezifische Arten der Verarbeitung personenbezogener Daten ab.

Ein Datenschutzbeauftragter ist zu benennen, wenn die Kerntätigkeit des Unternehmens, sei es als Verantwortlicher oder als Auftragsverarbeiter in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs sowie ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung der betroffenen Person erforderlich machen. Gemäß Art. 37 Abs. 1 Buchst. b) DSGVO muß nur eines der Merkmale „umfangreich“, „regelmäßig“ oder „systematisch“ vorliegen.

Die Voraussetzungen für die Bestellung eines Datenschutzbeauftragten sind somit durch mehrere unbestimmte Rechtsbegriffe geprägt. Definitionen hierzu enthält die Verordnung nicht. Auch kann keine Konkretisierung durch die Kommission erfolgen, da diese hierfür nicht kompetent ist. Die Auslegung der verwendeten Begriffe und damit der Voraussetzungen für die Bestellung eines Datenschutzbeauftragten wird somit erst durch spätere Entscheidungen des Europäischen Gerichtshafs erfolgen.

Was ist unter Kerntätigkeit zu verstehen?

Im Zusammenhang mit Erwägungsgrund 97 der DSGVO ist hierunter jede Tätigkeit zu verstehen, die essentiell für die Erreichung der Ziele des Unternehmens sind. Die Verarbeitung selbst muss nicht der eigentliche Geschäftszweck sein. Der Verarbeitung muss eine solche Bedeutung zukommen, dass ohne sie die Erfüllung des Geschäftszwecks nicht möglich oder sehr erschwert wird. Das dürfte eindeutig zutreffen bei der Verarbeitung von Gesundheitsdaten in einem Krankenhaus oder dem Handel mit personenbezogenen Daten von Auskunfteien und Adreßhändlern. Fraglich ist aber bereits, ob auch bei einem Steuerberater oder Rechtsanwalt die Verarbeitung personenbezogener Daten zur Kerntätigkeit zu rechnen ist. Gänzlich uferlos wird die Auslegung des Begriffs Kerntätigkeit, wenn eine solche auch bereits bei einer IT-gestützten Personalverwaltung vorliegen würde. Dann würde die Kerntätigkeit (fast) jedes Unternehmens in der Durchführung von Verarbeitungsvorgängen bestehen und damit die Pflicht zur Bestellung eines Datenschutzbeauftragten jedes Unternehmen treffen.

Was bedeutet „Überwachung“ der betroffenen Person?

Überwachung ist hier im Sinne von Beobachtung oder Nachverfolgung zu verstehen und nicht als Überwachungsvorgang im engeren Sinn. Darunter fallen also alle Vorgänge, bei denen Verhaltensweisen beobachtet und/oder ausgewertet werden.

Was ist eine umfangreiche Verarbeitung?

Der Verordnung ist nicht zu entnehmen, ob umfangreich in quantitativer oder qualitativer Weise zu verstehen ist. Nach Sinn und Zweck ist davon auszugehen, dass eine umfangreiche Überwachung bei jedem Verarbeitungsvorgang vorliegt, der eine Aussage über die Person ermöglicht, also eine qualitativ umfangreiche Überwachung ausreicht. Daneben kommen quantitative Kriterien in Betracht, wie die Anzahl der Betroffenen, die Menge der betroffenen Daten und/oder die Vielzahl der verschiedenen Datensätze, die Dauer der Datenverarbeitung und die geographische Reichweite der Datenverarbeitung. Das ist z.B. der Fall bei der Verarbeitung von Gesundheitsdaten in einem Krankenhaus oder bei der Verarbeitung von personenbezogenen Daten für Werbezwecke durch Suchmaschinen für verhaltensbedingte Werbevorschläge.

Was ist eine regelmäßige und systematische Überwachung?

Damit ist nur der einmalige Fall der Überwachung vom Anwendungsbereich ausgeschlossen. Unter Berücksichtigung von Erwägungsgrund 24 der DSGVO sind hierunter jedenfalls alle Arten des Internettrackings und -profilings zu verstehen.

Welche Sanktion sieht die DSGVO bei einem Verstoß gegen die Bestellungspflicht vor?

Nach Artikel 83 Absatz 4 DSGVO werden bei Verstößen gegen die Pflicht zur Bestellung eines Datenschutzbeauftragten gemäß Artikel 37 Geldbußen von bis zu 10 000 000 EUR oder im Fall von Unternehmen von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist.

Was gilt zukünftig in Deutschland?

Liegen die Voraussetzungen des Art. 37 Abs. 1 Buchst. b) DSGVO vor, muß bis spätestens 25. Mai 2018 einen Datenschutzbeauftragten bestellt werden.

Nach Artikel 37 Abs. 4 DSGVO können die einzelnen Mitgliedstaaten auch aus anderen Gründen, also zusätzlich die Bestellung eines Datenschutzbeauftragten vorschreiben. Deutschland hat hiervon Gebrauch gemacht und in Art. 38 BDSG (neu) geregelt: „Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“

Handlungsempfehlung

Unternehmen, Gewerbetreibende oder Freiberufler, die mindestens 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, sollten unverzüglich ihrer heute schon nach § 4f BDSG bestehenden Pflicht nachkommen und einen Datenschutzbeauftragten bestellen. Unternehmen, die einerseits dieses Kriterium nicht erfüllen, andererseits aber die Kriterien des Art. 37 Abs. 1 Buchst. b) DSGVO sollten freiwillig einen Datenschutzbeauftragten bestellen und müssen bis spätestens 25. Mai 2018 einen Datenschutzbeauftragten bestellt haben.