Das größere Unternehmen in der Regel dazu verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, ist bekannt. Dem Gesetz nach kann auch unabhängig von der Unternehmensgröße eine solche Verpflichtung bestehen, wenn sensible Daten verarbeitet werden. Aber sind davon auch kleine Familienbetriebe (z.B. Hotel) betroffen?
Der Inhalt im Überblick
Konkreter Sachverhalt
Zur Diskussion steht, ob auch ein kleinen Hotelbetrieb mit weniger als 10 Mitarbeitern einen Datenschutzbeauftragten zu bestellen hat. Problematisch ist, dass im Zusammenhang mit Hotelbuchungen auch Informationen zu
- Allergien,
- Unverträglichkeiten und
- speziellen Kissen-und Matratzenwünsche
der Gäste in der Hotelsoftware hinterlegt werden.
Sinn und Zweck des Datenschutzbeauftragten
Dafür ist es zunächst sinnvoll, sich die Funktion des Datenschutzbeauftragten vor Augen zu führen. Der Datenschutzbeauftragte im Unternehmen ist als interne Kontrollinstanz gedacht. Er soll dafür Sorge tragen, dass beim Umgang mit personenbezogenen Daten das Bundesdatenschutzgesetz eingehalten wird. Das dient Unternehmen und Behörde, da durch die Selbstregulierung eine dauerhafte Überwachung durch die Aufsichtsbehörden vermieden wird.
Der Datenschutzbeauftragte ist dem Gesetz nach unabhängig gegenüber seinem Arbeitgeber. Das macht ihn zugleich zur Anlaufstelle für Betroffene, seien es Mitarbeiter oder Kunden. Entsprechend dieser Zwecksetzung knüpft das Gesetz die Bestellpflicht bei nicht-öffentlichen Stellen daran, ob aufgrund der Unternehmensgröße und des damit verbundenen Datenumfangs ein gewisses Gefährdungspotential besteht. Ergibt sich das Gefährdungspotential nicht bereits aus der Unternehmensgröße, kann die Art der verarbeiteten Daten (sensible Daten i.S.d. § 3 Abs.9 BDSG) maßgeblich für eine Bestellpflicht sein.
Hier können Sie weitere Informationen zu Anforderungen und Aufgaben des Datenschutzbeauftragten nachlesen.
Die gesetzliche Bestellpflicht nach § 4f Bundesdatenschutzgesetz
Ausgangspunkt unserer Prüfung ist demnach § 4f Absatz 1 BDSG, der primär die Pflicht zur Bestellung eines Datenschutzbeauftragten regelt. Danach muss eine nicht-öffentliche Stelle einen Datenschutzbeauftragter bestellen, wenn:
- mindestens 10 Personen mit der automatisierten Verarbeitung von Daten befasst sind
- mindestens 20 Personen in einem Betrieb arbeiten
- automatisiert Daten verarbeitet werden, die einer Vorabkontrolle unterliegen oder die zum Zwecke der (anonymisierten) Übermittlung, sowie zur Markt-und Meinungsforschung verarbeitet werden (§ 4 Abs.1 S.6 BDSG).
Da es sich in unserem Fall um ein kleines Hotel handelt, das aufgrund seiner Größe noch keines Datenschutzbeauftragten bedarf, orientiert sich die Prüfung an § 4 Abs. 1 S.6 BDSG.
Verständnis des § 4f Abs.1 S.6 BDSG
Dem Wortlaut nach heißt es hier:
„Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen (….), haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.“
Der § 4 Abs.1 S.6 BDSG sieht eine Bestellpflicht vor, wenn die automatisierte Verarbeitung der personenbezogenen Daten für den Betroffenen mit einem gewissen Risiko verbunden ist, also Daten verarbeitet werden, die in besonderen Maße das grundgesetzlich gewährleistetestes Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG berühren. Das ist z.B. stets der Fall, wenn mit Gesundheitsdaten gearbeitet wird, also Informationen, die in irgendeiner Art einen Rückschluss auf den Gesundheitszustand einer Person geben. Nun kann der § 4 Abs.1 S.6 BDSG jedoch verschieden interpretiert werden.
- Der § 4f Abs. 1 S.6 BDSG kann als direkter Verweis auf § 4d Abs. 5 BDSG gesehen werden. Dann wäre im Rahmen des § 4d Abs. 5 BDSG zu prüfen, ob eine Vorabkontrolle im konkreten Fall erforderlich ist, oder einer der hier genannten Ausnahmeregelungen greift. Eine Vorabkontrolle wäre demnach nicht verpflichtend, wenn eine Einwilligung oder eine gesetzliche Erlaubnis zur Datenverarbeitung besteht.
- Die Bestellpflicht kann stets für den Fall angenommen werden, dass sensible Daten verarbeitet werden, da das Gesetz hier grundsätzlich die Vorabkontrolle vorsieht.
Was bedeutet das nun für den Hotelbetrieb?
Zunächst gilt es also festzustellen, ob überhaupt sensible Daten verarbeitet werden. Die Angabe zu Matratzen-und Kissenwunsch liefern noch keinen unmittelbaren Rückschluss auf den Gesundheitszustand einer Person, sind also bereits keine Gesundheitsdaten. Diese Informationen lösen folglich noch keine Bestellpflicht aus. Anders verhält es sich mit Allergien und Unverträglichkeiten. Hierbei dürfte es sich bereits um sensible Daten handeln.
Bestellpflicht immer beim Umgang mit sensiblen Daten
Der Gesetzeswortlaut spricht nur von Daten, die einer Vorabkontrolle unterliegen. Eine solche ist beim Umgang mit Gesundheitsdaten grundsätzlich vorgesehen. Für eine generelle Bestellpflicht im Umgang mit sensiblen Daten spricht auch der Sinn und Zweck der Norm; nämlich die Gewährleistung eines adäquaten Datenschutzes.
Bestellpflicht nur, wenn auch eine Vorabkontrolle erforderlich ist
Prüft man jedoch nun den kompletten § 4d Abs 5 BDSG, könnte man auch zu einem anderen Ergebnis kommen. Dann wäre danach zu fragen, ob die Vorabkontrolle im konkreten Fall ausgeschlossen ist, weil eine Einwilligung oder eine gesetzliche Erlaubnis vorliegt. Bei Gesundheitsdaten dürfte das allerdings nur im Zusammenhang mit § 28 Abs. 6 BDSG gesehen werden. In diesem Sinne hat die Datenschutzbehörde Baden-Württemberg in ihrem Tätigkeitsbericht für Arztpraxen klargestellt, dass sie die Bestellung eines Datenschutzbeauftragten erst ab einer Größe der Arztpraxis von mehr als 10 Mitarbeiter erforderlich sei. Das folge daraus, dass die Daten im Rahmen des Behandlungsvertrages erhoben werden, also der Erfüllung eines Geschäftszwecks dienen.
Ob dieser Grundsatz nun auch auf das Hotel übertragen werden kann, ist besonders in Hinblick auf § 28 Abs. 6 BDSG fragwürdig. Dennoch dürfte hier der Weg über eine Einwilligung möglich sein, denn die Auskunft über Allergien und Unverträglichkeiten wird in der Regel auf Nachfrage freiwillig erteilt. An dieser Stelle sei aber zugleich darauf hingewiesen, dass eine wirksame Einwilligung nur vorliegt, wenn der Betroffene zuvor ausdrücklich auf die besondere Sensibilität der Daten hingewiesen wurde (§ 4a Abs 3 BDSG).
Fazit: Datenschutzbeauftragter immer die besser Wahl
Das Gesetz verhält sich zu dieser Frage nicht eindeutig. Nach der Praxis der Datenschutzbehörde wäre es wohl auch beim Hotel möglich, auf die Bestellung zu verzichten. Dennoch ist festzuhalten, dass beim Umgang mit personenbezogenen Daten unabhängig von der Bestellpflicht das Bundesdatenschutzgesetz beachtet werden muss. Das gilt in besonderen Maße dann, wenn mit so empfindlichen Informationen wie Gesundheitsdaten gearbeitet wird. Hier sind die Anforderungen an einen adäquaten Datenschutz besonders hoch und mit weiteren Pflichten verbunden. Um den korrekten Umgang mit diesen Daten zu gewährleisten, ist grundsätzlich auch die freiwillige Bestellung eines Datenschutzbeauftragten zu empfehlen.