Loading

BAT Blog

Der Datenschutzbeauftragte nach § 38 BDSG-neu

Seit dem 25. Mai 2018 gilt in Deutschland ein neues Daten­schutz­gesetz. Das brachte nicht nur einige gravie­rende Neuerungen mit sich, sondern es sorgt auch immer noch Verun­si­cherung bei kleinen bis mittleren Unter­nehmen, vor allem was eine unter Umständen bestehende Pflicht zur Einsetzung eines Daten­schutz­be­auf­tragten angeht.

Grundsätzliches

Ausgangs­punkt waren Art. 8 Abs. 1 der Grund­rechte-Charta der Europäi­schen Union sowie Art. 16 Abs. 1 des Vertrages über die Arbeits­weise der Europäi­schen Union, wonach jede Person das Recht auf Schutz der sie betreffenden perso­nen­be­zo­genen Daten hat.

In der vom Europa­par­lament erlas­senen Daten­schutz­grund­ver­ordnung (DSGVO) wurde der dafür erfor­der­liche verein­heit­lichte Rechts­rahmen geschaffen, der aber qua sogenannter Öffnungs­klauseln“ den Mitglieds­staaten die Möglichkeit gab, durch eigene Gesetz­gebung die DSVGO zu ergänzen oder zu konkretisieren.

Dies hat der Bundes­ge­setz­geber mit der Neufassung des Bundes­da­ten­schutz­ge­setzes (BDSG) getan. Er übernahm dabei nicht nur die Unter­scheidung der DSVGO zwischen öffent­lichen und nicht-öffent­lichen Stellen, sondern regelte gleich die Stellung und die Aufgaben des Daten­schutz­be­auf­tragten für öffent­liche Stellen des Bundes komplett neu. Für uns inter­essant ist die Frage, in welchen Fällen nicht-öffent­liche Stellen, also im Wesent­lichen Unter­nehmen, zur Benennung eines Daten­schutz­be­auf­tragten verpflichtet sind.

Inkurs: Die DSVGO spricht nunmehr von der Benennung eines Daten­schutz­be­auf­tragten. Hieraus könnte man ableiten, dass eine Bestellung mittels schrift­lichem Vertrag nicht mehr erfor­derlich ist. Hiervon ist aber schon aus Beweis­si­che­rungs­gründen abzuraten. Zudem werden zwischen Unter­nehmen und externen Beratern immer auch Dienst­leis­tungs­ver­träge bestehen. Neu ist nach Art. 37 Abs. 7 DSGVO auch die Verpflichtung, den einge­setzten Daten­schutz­be­auf­tragten der Aufsichts­be­hörde zu melden. Eine unter­lassene Meldung stellt daher einen Rechts­verstoß da und macht die Klärung der Frage, ob ein Daten­schutz­be­auf­tragter zu benennen ist, umso dringlicher.

Neue Kriterien

Kriterien der DSVGO, nach denen auch nicht-öffent­liche Stellen einen Daten­schutz­be­auf­tragten benennen müssen, sind:

  • wenn die Kerntä­tigkeit des Verant­wort­lichen oder des Auftrags­ver­ar­beiters in der Durch­führung von Verar­bei­tungs­vor­gängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/​oder ihrer Zwecke eine umfang­reiche regel­mäßige und syste­ma­tische Überwa­chung von betroffenen Personen erfor­derlich machen, oder
  • die Kerntä­tigkeit des Verant­wort­lichen oder des Auftrags­ver­ar­beiters in der umfang­reichen Verar­beitung beson­derer Kategorien von Daten gemäß Artikel 9 oder von perso­nen­be­zo­genen Daten über straf­recht­liche Verur­tei­lungen und Straf­taten gemäß Artikel 10

Das BDSG-neu formu­liert unter Nutzung der bereits erwähnten Öffnungs­klauseln zwei weitere Kriterien, die aller­dings schon im alten Bundes­da­ten­schutz­gesetz zu finden waren. Eine Benennung ist demnach ebenfalls erforderlich,

  • wenn in der Regel mindestens 10 Personen ständig mit der automa­ti­sierten Verar­beitung perso­nen­be­zo­gener Daten beschäftigt sind (§ 38 Absatz 1 Satz 1 BDSG-neu), oder
  • perso­nen­be­zogene Daten geschäfts­mäßig zum Zweck der Übermittlung, der anony­mi­sierten Übermittlung oder für Zwecke der Markt- oder Meinungs­for­schung verarbeitet

Gleichsam neu ist ein fünftes Kriterium, nämlich:

  • wenn Verar­bei­tungen vorge­nommen werden, die einer Daten­schutz-Folgen­ab­schätzung nach 35 DSGVO unter­liegen (im Gegensatz zur Vorab­kon­trolle nach altem Recht)

Die Erfor­der­lichkeit einer Daten­schutz-Folgen­ab­schätzung ergibt sich, verein­facht gesagt, vor allem bei Vorliegen der zwei erstge­nannten Kriterien. Zugleich handelt es sich bei diesen Kriterien auch um die ausle­gungs­be­dürf­tigsten aller Benennungsvoraussetzungen.

Folgen für die Praxis

Relativ unpro­ble­ma­tisch lassen sich demnach Benen­nungs­pflichten für folgende Branchen bzw. Unter­nehmen feststellen (keine abschlie­ßende Aufstellung):

  • Unter­nehmen, die Scoring- oder Profiling-Maßnahmen anbieten
  • Markt- und Meinungsforschungsunternehmen
  • Sicher­heits- und Überwachungsunternehmen
  • Social-Media-Anbieter
  • Versi­che­rungs­un­ter­nehmen

Bezogen auf besondere Kategorien von Daten sind auch

  • Arztpraxen
  • Labore
  • Kranken­häuser
  • und unter Umständen auch Rechtsanwälte

mögli­cher­weise von einer Benen­nungs­pflicht erfasst.

Gerade die letzten Beispiele zeigen jedoch, wie schwierig hier eine pauschale Einschätzung ist. Für eine kleine Arztpraxis mit wenigen Beschäf­tigten sollte man schwerlich eine Verpflichtung annehmen können, einen Daten­schutz­be­auf­tragten einzu­setzen. Für eine Arzt- oder Praxis­ge­mein­schaft oder gar eine Medizi­ni­sches Versor­gungs­zentrum hingegen mögli­cher­weise schon.

Aber auch die Frage, was die Aufsichts­be­hörden als Kerntä­tigkeit einschätzen und was nicht, lässt sich nur unter Berück­sich­tigung des konkreten Einzel­falls entscheiden. Auch die teilweise schon vorge­legten Listen der Aufsichts­be­hörden der Länder, aus denen die Verar­bei­tungs­vor­gänge hervor­gehen, für die eine Daten­schutz-Folgen­ab­schätzung durch­zu­führen ist, geben keine letzte Sicherheit. Zum Einen betrachten die Aufsichts­be­hörden die Listen ausdrücklich als nicht abschließend. Zum Anderen wird betont, dass die Listen sich im Hinblick auf die Schnel­ligkeit digitaler Entwick­lungen auch inhaltlich unter Vorbehalt stehen.

Für eine Prüfung der Frage, ob in Ihrem Unter­nehmen ein Daten­schutz­be­auf­tragter zu benennen ist, stehen wir Ihnen gerne als Ansprech­partner zur Verfügung

Wir stehen Ihnen gern als Ansprechpartner zur Verfügung.

Bitte beachten Sie, dass die vorliegende Mitteilung lediglich zur allgemeinen Information dient.

Weder erhebt sie den Anspruch umfassend zu sein, noch kann sie eine professionelle Rechtsberatung ersetzen.

Trotz sorgfältiger Recherche können wir daher für die Vollständigkeit und Richtigkeit der Angaben auch keine Haftung übernehmen.