Einen Datenschutzbeauftragten brauchen nur große Konzerne und Behörden? Falsch gedacht! Die Anforderungen sind viel geringer, als man landläufig meint. Der folgende Artikel beschäftigt sich daher umfassend mit der Benennungspflicht eines Datenschutzbeauftragten und zeigt auf, worauf Unternehmen besonders achten sollten.
Der Inhalt im Überblick
- Benennungspflicht für Unternehmen nach Art. 37 DSGVO
- Pflicht zur Benennung eines Datenschutzbeauftragten nach dem BDSG
- Freiwillig benannter DSB oder mit Datenschutz betrauter Mitarbeitende
- Was passiert, wenn man keinen Datenschutzbeauftragten hat?
- Vielzahl an Unternehmen zur Benennung eines Datenschutzbeauftragten verpflichtet
Benennungspflicht für Unternehmen nach Art. 37 DSGVO
Sowohl die DSGVO als auch das deutsche Bundesdatenschutzgesetz (BDSG) enthalten Regelungen bzgl. der Benennungspflicht eines Datenschutzbeauftragten. Die DSGVO nennt im Kern drei Fallgruppen, in denen ein Datenschutzbeauftragter benannt werden muss:
Behörden und öffentliche Stellen
Zunächst besteht eine Pflicht für Behörden und öffentliche Stellen gemäß Art. 37 Abs. 1 lit. a) DSGVO – mit Ausnahme von Gerichten, sofern sie im Rahmen ihrer justiziellen Tätigkeit handeln. Hierzu zählen beispielsweise das Finanzamt, das Jobcenter oder auch die Baubehörde.
Umfangreiche regelmäßige und systematische Überwachung von Personen als Kerntätigkeit
Die Variante von lit. b) schreibt eine Benennungspflicht vor, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen liegt, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von Personen erforderlich machen.
In Erwägungsgrund 97 wird erläutert, dass sich die Kerntätigkeit eines Verantwortlichen auf „seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit“ bezieht. Dabei lassen sich als „Kerntätigkeit“ die wichtigsten Arbeitsabläufe betrachten, die zur Erreichung der Ziele des Verantwortlichen oder des Auftragsverarbeiters erforderlich sind.
Regelmäßigkeit liegt vor, wenn die Überwachung fortlaufend oder periodisch stattfindet. Systematisch ist die Überwachung, wenn sie einem methodischen oder organisierten Ansatz folgt oder Teil einer umfassenderen Strategie ist.
Beispiele für derartige Branchen sind Auskunfteien, Detekteien oder auch Apps, deren Kernfunktionalität die Analyse von Standortdaten erfordert (Sport- oder Navigations-Apps).
Kerntätigkeit ist umfangreiche Verarbeitung von Daten nach Art. 9 oder Art. 10 DSGVO
Eine Pflicht zur Benennung besteht nach lit. c) auch in solchen Fällen, in denen die Kerntätigkeit des Verantwortlichen / Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht.
Ob eine Verarbeitung auch umfangreich im Sinne dieser Norm ist, ist im Einzelfall zu bestimmen. Beispielsweise verarbeiten Einzel-Arzt-Praxen Gesundheitsdaten gemäß Art. 9 DSGVO und das gewiss auch in einer größeren Zahl. Dies dürfte jedoch noch keine Benennungspflicht auslösen. Anders dürfte es sich verhalten, wenn es um größere Praxen mit vielen Ärztinnen und Ärzten oder auch um medizinische Labore geht.
Pflicht zur Benennung eines Datenschutzbeauftragten nach dem BDSG
Aber nicht nur die DSGVO macht konkrete Vorgaben, sondern auch das deutsche Bundesdatenschutzgesetz (BDSG) gibt Fallgruppen vor, in denen ein Datenschutzbeauftragter zwingend benannt werden muss. Die wohl wichtigste ist die Anknüpfung an die Anzahl der Mitarbeitenden.
Mindestens 20 Personen
Eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht, wenn mindestens 20 Mitarbeitende ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. § 38 Abs. 1 Satz 1 BDSG ergänzt damit die Vorgaben der DSGVO.
Hinweis:
Tatsächlich lag die Grenze früher bei 10 Personen. Dies hat sich mit der Novellierung des BDSG im Jahre 2017 geändert (Art. 12 Nr. 9 des 2. DSAnpUG-EU).
Aber was bedeutet „in der Regel ständig mit automatisierter Verarbeitung beschäftigt“?
„Mit der automatisierten Verarbeitung beschäftigt“ meint, dass Personen unter Nutzung von IT-Systemen (Bildschirmarbeitsplätze, Smartphones, Tablets etc.) personenbezogene Daten verarbeiten.
Was konkret unter den unbestimmten Rechtsbegriffen „in der Regel“ und „ständig“ zu verstehen ist, nennt das Gesetz nicht explizit. In der Wissenschaft durchgesetzt hat sich jedoch eine weite Auslegung dieser Begriffe. Es kommt daher nicht darauf an, ob die Personen in Voll- oder Teilzeit beschäftigt sind. Ebenso marginal ist der faktische Anteil der Arbeitszeit, der auf die Verarbeitung verwendet wird. Das bedeutet im Einzelfall, dass auch schon ein Teil der regelmäßigen Arbeitszeit ausreichen kann, um als Person im Sinne des § 38 Abs. 1 Satz 1 BDSG klassifiziert zu werden. Entsprechend schnell ist die Schwelle von 20 Personen überschritten. Hierauf sollten Unternehmen besonders achten!
Weitere Benennungspflichten
Daneben nennt das BDSG in § 38 Abs. 1 Satz 2 zwei weitere Szenarien, in denen Unternehmen einen Datenschutzbeauftragten benennen müssen. Einerseits in Fällen, in denen eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) notwendig ist und andererseits in Konstellationen, in denen sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.
Beispiel für den erstgenannten Fall ist ein Unternehmen, dass flächendeckend Fingerabdrucksensoren zur Zutrittskontrolle für bestimmte Bereiche einsetzt. Hierfür wäre im Zweifel eine Datenschutz-Folgenabschätzung notwendig und damit auch die Benennung eines Datenschutzbeauftragten nach § 38 Abs. 1 Satz. 2 Alt. 1 BDSG.
Beispielhaft für die zweite Konstellation sind Auskunfteien oder Bewertungsportale.
Freiwillig benannter DSB oder mit Datenschutz betrauter Mitarbeitende
Auch wenn Unternehmen keine Pflicht trifft, können sie trotzdem auf freiwilliger Basis einen Datenschutzbeauftragten benennen. Diese Möglichkeit ist in Art. 37 Abs. 4 DSGVO geregelt. Der freiwillig benannte Datenschutzbeauftragte hat dabei grundsätzlich dieselbe Stellung wie der verpflichtend benannte. Dies gilt auch für Regelungen des Zeugnisverweigerungsrechts nach (§ 38 Abs. 2 i.V.m § 6 Abs. 6 BDSG) oder die Verschwiegenheitsverpflichtung (§ 38 Abs. 2 i.V.m § 6 Abs. 5 Satz 2 BDSG), jedoch explizit nicht für die Abberufung oder Kündigung des Datenschutzbeauftragten (§ 38 Abs. 2 i.V.m. § 6 Abs. 4 BDSG).
Unternehmen, die weder verpflichtend einen Datenschutzbeauftragten benennen müssen, noch freiwillig einen Datenschutzbeauftragten benennen wollen, haben zudem die Möglichkeit, interne Mitarbeitende oder externe Berater mit bestimmten Datenschutzaufgaben zu betrauen. In solchen Fällen muss jedoch sichergestellt werden, dass sowohl den Parteien als auch etwaigen Kommunikationspartnern klar ist, dass es sich bei der tätigen Person nicht um einen Datenschutzbeauftragten handelt.
Was passiert, wenn man keinen Datenschutzbeauftragten hat?
Nun kann es jedoch auch vorkommen, dass eine gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten besteht, die jeweils verantwortliche Stelle dieser jedoch nicht nachkommt. Was passiert dann?
Ein solches Verhalten stellt grundsätzlich einen Verstoß gegen Art. 37 DSGVO dar. Im Falle von Verstößen gegen die DSGVO steht der Aufsichtsbehörde der vollständige Maßnahmen-Katalog des Art. 58 DSGVO zu Verfügung. Wohl am härtesten ist dabei die Verhängung eines Bußgelds nach Art. 83 DSGVO. Dieses kann gemäß Art. 83 Abs. 4 lit. a DSGVO bis zu 10.000.000 EUR oder im Fall eines Unternehmens bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen.
Erschwerend kommt in solchen Fällen häufig hinzu, dass die Aufsichtsbehörde vom Umstand des fehlenden Datenschutzbeauftragten regelmäßig erst dann Kenntnis erlangen, wenn sie bereits wegen eines (möglichen) anderweitigen Verstoßes gegen die verantwortliche Stelle ermittelt. Ein solches Zusammentreffen von DSGVO-Verstößen wiegt erfahrungsgemäß schwerer als der singuläre Verstoß allein. Damit ist gemeint, dass ein Verstoß gegen die Benennungspflicht nach Art. 37 DSGVO in den meisten Fällen weniger hart sanktioniert wird, wenn dies den einzigen Verstoß darstellt.
Beispielhaft kann hier die Entscheidung des Bundesverwaltungsgerichts der Republik Österreich genannt werden, in dem die Österreichische Aufsichtsbehörde ein Bußgeld gegen ein Unternehmen verhängte, das neben einem DSGVO-Verstoß auch keinen Datenschutzbeauftragten benannt hatte. Dies nahm die Behörde zum Anlass, das ursprünglich anvisierte Bußgeld zu erhöhen.
Weitere Bußgelder wurden wie folgt verhängt:
- 51.000 EUR gegen die Facebook Germany GmbH (Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, 2019, S. 105f.)
- 75.000 EUR gegen das griechische Tourismusministerium wegen verspäteter Benennung eines Datenschutzbeauftragten (Datenschutzaufsichtsbehörde Griechenland)
- 64.000 EUR gegen „Mr. Wash“, wovon 10.000 EUR alleine für die Nichtbenennung eines Datenschutzbeauftragten (Landesbeauftragter für Datenschutz und Informationsfreiheit (LDI) Nordrhein-Westfalen)
Vielzahl an Unternehmen zur Benennung eines Datenschutzbeauftragten verpflichtet
Schlussendlich sollte sich jedes Unternehmen und jede sonstige Stelle, die personenbezogene Daten verarbeitet, regelmäßig fragen, ob die oben genannten Kriterien auf sie zutreffen und auch entsprechend handeln und eine/n Datenschutzbeauftragte/n benennen. Dabei sollten sie insbesondere das BDSG beachten, da bereits bei 20 Mitarbeitenden eine Pflicht zur Benennung eines Datenschutzbeauftragten vorliegen kann. Dies ist schnell erreicht!
Die aufgezeigten Bußgelder verdeutlichen zudem, dass Verstöße gegen die Benennungspflicht teuer werden können – insbesondere in Kombination mit anderen Datenschutzverstößen! Dabei darf auch nicht vergessen werden, dass ein benannter und ausreichend ausgestatteter Datenschutzbeauftragter die Grundlage dafür legt, insgesamt datenschutzrechtlich zulässig aufgestellt zu sein. Hierdurch können DSGVO-Verstöße und Verfahren vor den Aufsichtsbehörden schon im Ansatz verhindert werden.
Hallo zusammen. Eine sehr interessante Zusammenfassung bzgl. der Pflicht zur Benennung eines Datenschutzbeauftragten. Konnte in diesem Zusammenhang auch der Umstand beleuchtet/bewertet werden, inwieweit die wiederholt befristete Benennung (jeweils für zwei Jahre) eines internen Datenschutzbeauftragten erlaubt ist? Gruß T.D.
Ein Urteil des VG Stuttagrt zu der Thematik und unsere Meinung zu befristeten Kettenverträgen finden Sie im Beitrag Die Unabhängigkeit des Datenschutzbeauftragten.
Ich wünsche einen schönen guten Tag, zählen Verbände, welche Gelder vom Ministerium erhalten, jedoch unabhängig agieren, zu öffentlichen Stellen? Die Mitarbeitenden werden nach TVöD bezahlt.
Eine gute und spannende Frage!
Ich gehe mal davon aus, dass Ihr Kommentar implizit die Frage aufwirft, ob Verbände eine Pflicht zur Benennung eines Datenschutzbeauftragten trifft.
Dies ist durchaus denkbar. Explizit erwähnt werden Verbände in Art. 37 Abs. 4 DSGVO. Dort ist eine freiwillige Benennung eines DSB geregelt.
Ob solche Verbände, wie von Ihnen skizziert, auch eine rechtliche Verpflichtung zur Benennung im Sinne des Art. 37. Abs. 1 DSGVO haben, ist nicht eindeutig zu beantworten. Gegen eine Pflicht spricht die Systematik des Art. 37 DSGVO. Der Absatz 4 regelt explizit die Handhabe von Verbänden, ist somit spezieller als die Pflichtbestimmung aus Absatz 1 und damit für Verbände vorrangig anzuwenden. Andererseits leitet Absatz 4 ein mit „anderen als den in Absatz 1 genannten Fällen“. Somit gelangen wir erst gar nicht in den Absatz 4 (freiwillige Benennung), wenn ein Verband bereits eine öffentliche Stelle nach Absatz 1 ist und damit auch zur Benennung verpflichtet ist.
In Ihrem Beispielsfall würde ich eine Kategorisierung als öffentliche Stelle jedoch ablehnen.
Was als „öffentliche Stelle“ zählt, ist dem nationalen Gesetzgeber überlassen. Somit dürfte es primär auf § 2 Bundesdatenschutzgesetz (BDSG) ankommen. Nach § 2 Abs. 4 Satz 1 BDSG sind nichtöffentliche Stellen natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, die nicht unter die Absätze 1-3 fallen. Grundsätzlich dürften Verbände eher dem Privatrecht zuzuordnen zu sein und damit als nichtöffentliche Stelle gelten – und damit auch der von Ihnen skizzierte Verband.
Nur weil der von Ihnen genannte Verband Mittel von einem Ministerium erhält, wird aus ihm nicht automatisch eine öffentliche Stelle. Vielmehr kommt es auf den Einzelfall an, also auf den Zweck des Verbandes, auf Übertragungen von Aufgaben der öffentlichen Hand auf den Verband oder auf die sonstige Wahrnehmung öffentlicher Aufgaben. Und selbst dann findet sich in der Wissenschaft eine gewisse Zurückhaltung, was die Klassifizierung von privatrechtlichen Personenvereinigungen als öffentliche Stelle angeht.
Zusammenfassend dürfte in Ihrem kurzen Beispielsfall keine Benennungspflicht bestehen. Dennoch ist eine Klassifizierung als öffentliche Stelle im Sinne des Art. 37 Abs. 1 DSGVO nicht völlig fernliegend – gerade auch unter dem Aspekt der fehlenden Trennschärfe der Begriffe.