Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
04. Oktober 2023

Wann muss ich einen Datenschutzbeauftragten benennen?

Wann muss ich einen Datenschutzbeauftragten benennen?
Bild: iStock.com / #Urban-Photographer
5,00 (5)
drucken
Inhalte in diesem Beitrag
Datenschutz organisieren
Wer muss nach DSGVO einen Datenschutzbeauftragen (DSB) benennen, wer nicht? Selbst wenn keine Pflicht zur Benennung besteht: Kann es trotzdem sinnvoll sein, einen DSB zu bestellen?

Wann ist nach DSGVO und BDSG die Benennung eines DSB nötig?

Die Pflicht zur Benennung eines oder einer Datenschutzbeauftragten (DSB) ergibt sich für Verantwortliche und für Auftragsverarbeiter aus der Datenschutz-Grundverordnung (DSGVO) bzw. aus dem sie ergänzenden Bundesdatenschutzgesetz (BDSG).

Jeder Verantwortliche bzw. Auftragsverarbeiter muss dabei eigenständig prüfen, ob für ihn eine solche Pflicht besteht.

Die DSGVO regelt in Artikel 37 (Benennung eines Datenschutzbeauftragten), wann ein oder eine DSB zu bestellen ist. Unternehmen müssen danach in jedem Fall einen oder eine DSB benennen, wenn

  • die Kerntätigkeit des Unternehmens in Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und / oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Unternehmens darin besteht, besondere Kategorien personenbezogener Daten umfangreich zu verarbeiten.

Für Deutschland macht das BDSG noch die Ergänzung, dass die Pflicht zur Benennung nur besteht, soweit sich in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Achtung
Nimmt das Unternehmen Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung (Artikel 35 DSGVO) unterliegen, oder verarbeitet es personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, muss es unabhängig von der Anzahl der Personen, die mit der Verarbeitung beschäftigt sind, eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten benennen (§ 38 BDSG).

Damit müssen also auch kleine Unternehmen einen oder eine DSB benennen, wenn sie entsprechende Verarbeitungen personenbezogener Daten vornehmen – unabhängig von der Zahl derjenigen, die in die Verarbeitung einbezogen sind.

Je wahrscheinlicher es ist, dass ein Unternehmen gegen die Vorgaben des Datenschutzes verstoßen könnte, desto wichtiger ist es, eine oder einen DSB für das Unternehmen zu haben. Dieser Gedanke hilft auch dabei, die Vorgaben für die Benennung eines Datenschutzbeauftragten besser zu verstehen.

Wichtig
Ob ein Datenschutzbeauftragter oder eine Datenschutzbeauftragte benannt werden muss oder nicht, entbindet nicht von der Pflicht zur Einhaltung des Datenschutzes. Der Verantwortliche bleibt in dem Fall für den Datenschutz „verantwortlich“!

Kurz zusammengefasst: Wie kann ich prüfen, ob die Kriterien für eine Pflicht, einen DSB zu benennen, vorliegen?

Unternehmen müssen für sich prüfen, ob sie die in der DSGVO und im BDSG genannten Kriterien erfüllen, ob sie also verpflichtet sind, einen oder eine DSB zu benennen oder nicht.

Hierzu haben die Aufsichtsbehörden hilfreiche Hinweise gegeben (Kurzpapier Nr. 12 der DSK – PDF):

  • „Kerntätigkeit“ ist die Haupttätigkeit eines Unternehmens, die es untrennbar prägt.
  • Ob eine Verarbeitung „umfangreich“ ist, hängt von den folgenden Faktoren ab: Menge der verarbeiteten personenbezogenen Daten (Volumen), Verarbeitung auf regionaler, nationaler oder supranationaler Ebene (geografischer Aspekt), Anzahl der betroffenen Personen (absolute Zahl oder in Prozent zur relevanten Bezugsgröße) und Dauer der Verarbeitung (zeitlicher Aspekt).
  • „Regelmäßig“ lässt sich interpretieren als fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums vorkommend, immer wieder oder wiederholt zu bestimmten Zeitpunkten auftretend, ständig oder regelmäßig stattfindend.
  • Der Begriff „systematisch“ lässt sich verstehen als systematisch vorkommend, vereinbart, organisiert oder methodisch, im Rahmen eines allgemeinen Datenerfassungsplans erfolgend oder im Rahmen einer Strategie erfolgend.
  • „Ständig“ soll klarstellen, dass Personen, die nur gelegentlich, etwa als Urlaubsvertretung, mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, nicht mitgezählt werden.
  • „In der Regel“ soll unterstreichen, dass gewisse Schwankungen in der Anzahl der Personen, die automatisiert Daten verarbeiten, nicht beachtet werden, wenn „in der Regel“ die Anzahl unter 20 Personen bleibt.

Der oder die DSB wird auf der Grundlage der beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er oder sie auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage der Fähigkeit, diese Aufgaben zu erfüllen.

Der oder die Datenschutzbeauftragte kann bei dem Unternehmens beschäftigt sein oder die Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen (Stichwort: externer oder externe DSB).

Das Unternehmen veröffentlicht die Kontaktdaten des oder der Datenschutzbeauftragten und teilt diese Daten der zuständigen Aufsichtsbehörde mit.

Soweit eine Zusammenfassung der wichtigsten Punkte – was im Detail gilt, erfahren Sie in den folgenden Abschnitten.

6 Fälle: Wer muss immer einen DSB benennen?

Aufgrund der Regelungen von Art. 31 Abs. 1 DSGVO und § 38 BDSG lassen sich folgende sechs Fälle identifizieren, in denen immer ein behördlicher oder betrieblicher Datenschutzbeauftragter zu benennen ist:

  1. Eine öffentliche Stelle oder Behörde ist Verantwortlicher (Art. 37 Abs. 1 Buchstabe a DSGVO).
  2. Der Verantwortliche oder Auftragsverarbeiter führt als Kerntätigkeit Verarbeitungen durch, die im Wesentlichen die umfangreiche und systematische Überwachung der betroffenen Personen zum Gegenstand haben (Art. 37 Abs. 1 Buchstabe b DSGVO).
  3. Der Verantwortliche oder Auftragsverarbeiter führt als Kerntätigkeit Verarbeitungen durch, die im Wesentlichen die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder strafrechtlicher Verurteilungen der betroffenen Personen zum Gegenstand haben (Art. 37 Abs. 1 Buchstabe c DSGVO).
  4. Mindestens zwanzig Personen sind regelmäßig bei dem Verantwortlichen oder dem Auftragsverarbeiter mit der automatisierten Verarbeitung personenbezogener Daten befasst (§ 38 Abs. 1 Satz 1 BDSG).
  5. Die vom Verantwortlichen oder Auftragsverarbeiter durchgeführten Verarbeitungen unterliegen einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO (Art. 38 Abs. 1 Satz 2, 1. Halbsatz BDSG).
  6. Der Verantwortliche oder Auftragsverarbeiter verarbeitet Daten geschäftsmäßig für Zwecke der Übermittlung, der anonymisierten Übermittlung oder der Marktforschung (§ 38 Abs. 1 Satz 2, 2. Halbsatz BDSG).
Datenschutz-Management kompakt online

Datenschutz-Management kompakt ist die umfassende Lösung für die effiziente und rechtssichere Umsetzung der gesetzlichen Datenschutz-Vorgaben.

Profitieren Sie von den Erläuterungen und Umsetzungstipps zahlreicher erfahrener Datenschutzbeauftragter und Fachanwälten zum Datenschutzrecht.

 

➜ Jetzt professionell Datenschutz managen!

1. DSB-Benennungspflicht für Behörden oder öffentliche Stellen

Behörden bzw. öffentliche Stellen sind nach Art. 37 Abs. 1 Buchstabe a DSGVO immer zur Benennung eines Datenschutzbeauftragten verpflichtet. Eine Ausnahme besteht für Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln.

Wer letztlich als „Behörde“ und „öffentliche Stelle“ einzuordnen ist, richtet sich nach deutschem Recht.

Hier ist auf Ebene des Bundes regelmäßig Bundesrecht und auf Ebene der Länder das jeweilige Landesrecht maßgeblich.

Üblicherweise wird eine „öffentliche Stelle“ wie folgt definiert: Öffentliche Stellen sind Behörden, Einrichtungen oder sonstige Stellen des Landes, der Gemeinden und Gemeindeverbände bzw. sonstige der Aufsicht des Landes unterstehende juristische Personen des öffentlichen Rechts sowie deren Vereinigungen – unabhängig von deren Rechtsform (siehe dazu insbesondere § 2 BDSG).

Damit lassen sich auch juristische Personen, an denen z.B. eine Stadt oder Gemeinde mehrheitlich beteiligt ist und die hoheitliche Aufgaben der öffentlichen Verwaltung wahrnimmt (z.B. Verkehrsbetriebe, öffentlich-rechtlicher Rundfunk oder Energieversorger) als öffentliche Stellen, die dem Landesrecht unterliegen, einordnen.

Nehmen die öffentlichen Stellen hingegen als Unternehmen mit eigener Rechtspersönlichkeit am Wettbewerb teil, gelten für sie üblicherweise die Regelungen für nicht-öffentliche Unternehmen (Ausnahme ggf. Zweckverbände).

Klarstellend sieht § 5 BDSG vor, dass für die öffentlichen Stellen, für die das BDSG gilt (z.B. Bundesbehörden, siehe § 1 BDSG), die Pflicht besteht, einen Datenschutzbeauftragten zu benennen. Zudem dürfen diese – entsprechend DSGVO – einen gemeinsamen Datenschutzbeauftragten bestellen. Nach § 5 in Verbindung mit § 2 Abs. 5 BDSG gilt die Pflicht auch für öffentliche Stellen, die am Wettbewerb teilnehmen.

Gleiches ergibt sich aus den jeweiligen Landesrechten.

2. DSB-Benennungspflicht aufgrund der Kerntätigkeit „umfangreiche und systematische Überwachung“

Im nicht-öffentlichen Bereich sind üblicherweise folgende natürliche und juristische Personen zu einer DSB-Benennung verpflichtet:

  • natürliche Personen, die als freie Unternehmer, Handwerker und Kaufleute bzw. als Selbständige tätig sind (z.B. Handelsunternehmen, Rechtsanwälte, Steuerberater, Ärzte, Apotheker, Handwerks- oder Industriebetriebe)
  • juristische Personen, etwa GmbHs, Kommanditgesellschaften, Aktiengesellschaften, eingetragene Vereine, rechtsfähige Stiftungen des bürgerlichen Rechts
  • Personengesellschaften, beispielsweise eine Offene Handelsgesellschaft, Kanzleien, die als Partnerschaftsgesellschaften firmieren, oder Gesellschaften des bürgerlichen Rechts
  • nicht rechtsfähige Vereinigungen (Parteien, Vereine, Gewerkschaften oder Berufsverbände)

Die Pflicht, einen Datenschutzbeauftragten zu benennen, hängt gemäß Art. 37 Abs. 1 Buchstabe b und c DSGVO von den Kerntätigkeiten des Unternehmens ab (siehe dazu auch erläuternd das WP 243 der Art. 29 Working Group). Dabei ist es unerheblich, ob es sich um einen Verantwortlichen oder um einen Auftragsverarbeiter handelt.

Wenn das Unternehmen als Kerntätigkeit

  • betroffene Personen umfangreich und regelmäßig überwacht oder
  • umfangreiche Mengen besonderer personenbezogener Daten bzw. von Daten über strafrechtliche Verurteilungen oder Straftaten verarbeitet,

ist in der Regel davon auszugehen, dass es einen Datenschutzbeauftragten benennen muss.

Was ist eine Kerntätigkeit?

Der Begriff der Kerntätigkeit bezieht sich dabei auf die Haupttätigkeit des Unternehmens. Die Verarbeitung muss daher primärer Geschäftszweck des Unternehmens sein bzw. das Unternehmen kann den Geschäftszweck nicht ohne die Verarbeitung erreichen. Die Kerntätigkeit muss das Unternehmen quantitativ oder qualitativ prägen.

Bei der Beurteilung sollten Verantwortliche insbesondere prüfen, welche Tätigkeiten letztlich dem Erfolg, dem Geschäftszweck bzw. der Unternehmensstrategie dienen und diese prägen.

Erzielt ein Unternehmen mit der jeweiligen Tätigkeit einen wesentlichen Anteil am Unternehmenserfolg, gehört sie in der Regel zur Kerntätigkeit.

So wird ein Krankenhaus zwar in erster Linie Patienten zur Erfüllung der Aufgaben der Gesundheitsvorsorge behandeln, und das auch mit Gewinnerzielungsabsicht. Zwingend erforderlich ist dabei allerdings auch die Verarbeitung der Daten der Patienten, da es ansonsten keine Gesundheitsvorsorge leisten kann. Im Ergebnis sind daher z.B.

  • Krankenhäuser, die regelmäßig Patientendaten verarbeiten,
  • große Anwaltskanzleien,
  • Unternehmen, die die Internetaktivitäten von Nutzern im großen Stil tracken und Profile bilden, oder auch
  • private Sicherheitsunternehmen, die umfassende Videoüberwachungen in Shopping-Centern vornehmen,

zur Benennung verpflichtet.

Was heißt „umfangreiche regelmäßige und systematische Überwachung“?

Nach Erwägungsgrund 24 der DSGVO soll eine „Beobachtung des Verhaltens von betroffenen Personen“ jedenfalls dann vorliegen, wenn Personen im Internet verfolgt oder Profile im Sinn von Art. 22 DSGVO von ihnen erstellt werden. Damit sind Unternehmen, die Analyse- oder Trackingtools im Internet einsetzen oder damit E-Mail-Werbung auf Erfolg kontrollieren, regelmäßig als „Überwacher“ tätig.

Eine Überwachung ist jedoch nicht nur im Online-Bereich möglich. So werden Überwachungstätigkeiten durch das Unternehmen wie z.B. der Betrieb eines Telekommunikationsnetzes, die standortbasierte Überwachung, die Prüfung der Kreditwürdigkeit, die Verarbeitung von Daten mittels Treueprogrammen, der Einsatz von intelligenten Stromzählern, das Angebot von Fitnessarmbändern oder die Kontrolle der Tätigkeiten von Mitarbeitern an Maschinen regelmäßig als relevante Verarbeitungen zu erachten sein, die letztlich eine Benennungspflicht auslösen.

Kriterien für die „Regelmäßigkeit“

Laut WP 243 soll eine Regelmäßigkeit gegeben sein, wenn mindestens eines der folgenden Kriterien vorliegt:

  • Die Überwachung erfolgt fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums.
  • Sie erfolgt immer wieder bzw. wiederholt zu bestimmen Zeitpunkten.
  • Sie erfolgt ständig oder findet regelmäßig statt.

Kriterien für eine „systematische“ Überwachung

Eine systematische Überwachung soll dann vorliegen, wenn mindestens eines der folgenden Kriterien erfüllt ist:

  • Die Überwachung kommt systematisch vor.
  • Sie erfolgt vereinbart, organisiert oder methodisch.
  • Sie erfolgt im Rahmen eines festgelegten Prozesses, der exakt die Verarbeitung bzw. die Erhebung von Daten zum Gegenstand hat.
  • Ihr liegt eine bestimmte Strategie zugrunde.

Allgemeine Prüfkriterien für die „umfangreiche“ Verarbeitung

Der maßgebliche Umfang der Überwachung kann sich auch aus der schlichten Anzahl der betroffenen Personen, deren Daten genutzt werden, oder aus der Laufzeit der Überwachung ergeben.

Eine permanente Überwachung von z.B. Nutzern öffentlicher Verkehrsmittel mittels Videokameras ist daher im Ergebnis anders zu beurteilen als eine kurzfristige Überwachung, die einmalig zur Aufklärung einer aktuellen Einbruchserie erfolgt (siehe für weitere Beispiele ausführlich das WP 243 der Art. 29 Working Group oder auch die Erwägungsgründe 97, 91 und 24 DSGVO).

Die Art. 29 Working Group empfiehlt folgende Kriterien für eine Prüfung, ob ein Datenschutzbeauftragter nach Art. 37 Abs. 1 Buchstabe b und c DSGVO aufgrund des Umfangs der Verarbeitung zu benennen ist (siehe auch Erwägungsgrund 91 DSGVO im Zusammenhang mit der Datenschutz-Folgenabschätzung):

  • Anzahl der betroffenen Personen
  • Menge der betroffenen Datensätze / Vielzahl der Datenverarbeitungsprozesse
  • Dauer oder Permanenz der Datenverarbeitung
  • geografische Reichweite der Datenverarbeitung (regional, national oder international)

Werden zwei oder mehr Punkte bejaht, soll eine umfangreiche Verarbeitung vorliegen. Hier sollten Verantwortliche im Einzelfall prüfen, ob die Vorgaben erfüllt sind. Mmangels Konkretisierung besteht hier ein gewisser Interpretationsspielraum.

3. DSB-Benennungspflicht aufgrund der Kerntätigkeit „Besondere personenbezogene Daten / strafrechtliche Verurteilung“

Nach Art. 37 Abs. 1 Buchstabe c DSGVO besteht eine Pflicht zur Benennung eines oder einer Datenschutzbeauftragten, wenn

  • als Kerntätigkeit
  • umfangreiche Mengen
  • besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO bzw. von Daten über strafrechtliche Verurteilungen oder Straftaten

verarbeitet werden.

„Kerntätigkeit“ als ein Kriterium

Gerade bei der Verarbeitung von Gesundheitsdaten besteht Unsicherheit, ob z.B. Optiker, Apotheker oder kleinere Arztpraxen ebenfalls zur Benennung eines Datenschutzbeauftragten verpflichtet sind.

Hier wird z.B. als Argument für eine Benennung angeführt, das sich jedenfalls dann, wenn eine rechtliche Pflicht zur Dokumentation der jeweiligen Daten besteht, von einer Kerntätigkeit ausgehen lässt. Diese besteht z.B. für Ärzte, Apotheken, Krankenhäuser, Physiotherapeuten, Betreiber von Senioren- und Pflegeheimen, Betreiber von medizinischen Laboren und Psychologen, aber nicht für Optiker, Fitness-Center, Hörgeräteakustiker oder Zahntechniker. Für letztere entfällt daher die Pflicht, Datenschutzbeauftragte zu benennen, auf Grundlage von Art. 31 Abs. 1 Buchstabe c DSGVO.

„Umfangreiche Mengen“ als weiteres Kriterium

Erwägungsgrund 91 DSGVO sieht im Zusammenhang mit der Datenschutz-Folgenabschätzung vor, dass z.B. die Verarbeitung von personenbezogenen Daten von betroffenen Personen durch nur einen Arzt oder nur einen Rechtsanwalt keine Datenschutz-Folgenabschätzung nach sich ziehen soll, da keine umfangreiche Verarbeitung von Daten vorliege.

Diese Bewertung lässt sich auch für die Beurteilung der umfangreichen Verarbeitung im Rahmen der Benennungspflicht heranziehen: Eine Verarbeitung von Patientendaten durch einen Arzt ist daher anders zu beurteilen als die Verarbeitung durch eine Großpraxis.

Während Letztere viele Patienten mit vielen Datensätzen betreut, ist das im ersten Fall nicht immer gegeben. Daher kann die Benennungspflicht für einen einzelnen Arzt entfallen. Das gilt entsprechend für Rechtsanwälte, siehe dazu insbesondere den Beschluss der Datenschutzkonferenz vom 26. April 2018, abrufbar u.a. unter https://www.datenschutz-bayern.de/dsbk-ent/DSK_95-DSB-Bestellpflicht.pdf.

4. DSB-Benennungspflicht aufgrund der Mitarbeiterzahl

Mindestens 20 Mitarbeiterinnen und Mitarbeiter

Nach § 38 Abs. 1 Satz 1 BDSG sind Unternehmen, die in der Regel mindestens zwanzig Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen, zur Benennung eines oder einer Datenschutzbeauftragten verpflichtet.

Der Gesetzgeber hat mit der Erhöhung der Zahl im November 2019 von zehn auf zwanzig Mitarbeitenden den Bedenken kleinerer Vereine, Handwerksbetriebe etc. Rechnung getragen, die Erleichterungen, Kostenersparnisse und Abbau von Bürokratie erreichen wollten.

Gleichwohl müssen sie die Anforderungen der DSGVO umsetzen; damit bleiben die Risiken aus Verstößen gegen die DSGVO für diese Betriebe gleich hoch wie bisher bzw. sie müssen nun die Anforderungen lediglich ohne Unterstützung eines offiziell benannten Datenschutzbeauftragten umsetzen.

Bestimmung der Anzahl: Wer ist Mitarbeiter?

Bei der Bestimmung der Anzahl der Mitarbeiter ist zu berücksichtigen, dass hierunter auch Praktikanten, Leiharbeitnehmer, Auszubildende, freie Mitarbeiter und Teilzeitmitarbeiter fallen.

Bestimmung der Anzahl: Was bedeutet „in der Regel“ und „ständig“?

„In der Regel“ beschäftigt das Unternehmen ein gewisse Anzahl Mitarbeiter mit der Datenverarbeitung, wenn über eine gewisse Zeitdauer diese Anzahl erreicht wird. Hier sollen kurzfristige Schwankungen der Anzahl unberücksichtigt bleiben. Sobald die Anzahl im Jahresmittel / Durchschnitt die gesetzlich vorgegebene Regelzahl erreicht, ist die Benennung eines DSB erforderlich.

„Ständige“ Verarbeitung bedeutet, dass die Verarbeitung wesentlicher Gegenstand der Tätigkeit ist und dass nicht nur eine kurzfristige Übernahme einer solchen Tätigkeit (z.B. im Rahmen der Urlaubsvertretung) erfolgt.

In der Praxis verarbeitet fast jede Abteilung im Unternehmen personenbezogene Daten. Die Buchhaltung verarbeitet die Daten der Mitarbeiter oder auch der Rechnungsempfänger, die IT-Abteilung verarbeitet Daten bei Wartung der Systeme oder die Geschäftsführung die Daten der Kunden und Mitarbeiter.

Nur dann, wenn Beschäftigte z.B. ausschließlich handwerklich tätig sind und Daten nur (ungeordnet!) auf Papier erhalten, fallen sie aus dem Anwendungsbereich. Nutzt aber andererseits beispielsweise ein Monteur ein Smartphone oder Tablet, um Aufträge abzuwickeln, gilt er als Mitarbeiter, der automatisiert Daten verarbeitet. In diesem Fall ist er dazuzuzählen.

Da heute Daten überwiegend automatisiert verarbeitet werden, werden in fast jedem Unternehmen die Voraussetzungen vorliegen, um einen Datenschutzbeauftragten benennen zu müssen.

5. DSB-Benennungspflicht aufgrund der Notwendigkeit einer Datenschutz-Folgenabschätzung

Ist das Unternehmen verpflichtet, nach Art. 35 DSGVO eine Datenschutz-Folgenabschätzung durchzuführen, besteht automatisch eine Pflicht zur Benennung eines Datenschutzbeauftragten, § 38 Abs. 1 Satz 2, 1. Halbsatz BDSG.

Das ist insbesondere der Fall, wenn die Verarbeitung zu hohen Risiken für die Betroffenen führen kann, da bei ihr neue Technologien verwendet werden oder ihre Art, der Umfang, die Umstände oder der Zweck als kritisch zu erachten sind.

Hier muss das Unternehmen zunächst eine Risikoanalyse betreffend die Erforderlichkeit der Datenschutz-Folgenabschätzung durchführen, siehe dazu u.a. weiterführend z.B. die Leitlinien der Art. 29 Working Group.

Ist die Datenschutz-Folgenabschätzung erforderlich, muss auch ein Datenschutzbeauftragter benannt werden.

6. DSB-Benennungspflicht aufgrund einer geschäftsmäßigen Verarbeitung

Alle Stellen, die personenbezogene Daten geschäftsmäßig verarbeiten, z.B. Adresshändler, Wirtschaftsauskunfteien sowie Markt- und Meinungsforschungsinstitute, müssen per Gesetz, § 38 Abs. 1 Satz 2, 2. Halbsatz BDSG, einen Datenschutzbeauftragten benennen.

Freiwillige Benennung eines / einer Datenschutzbeauftragten

Verantwortliche oder Auftragsverarbeiter können Datenschutzbeauftragte auch freiwillig benennen. Die Aufsichtsbehörden stellen hierzu jedoch klar: Benennt ein Unternehmen einen oder eine DSB auf freiwilliger Basis, so unterliegen dessen oder deren Benennung, Stellung und Aufgabenbereich den gleichen Anforderungen wie bei einer obligatorischen Benennung.

Nach § 38 Abs. 2 BDSG finden bei einer freiwilligen Benennung allerdings für nicht-öffentliche Unternehmen die dort festgelegten Privilegien zum z.B. Abberufungsschutz keine Anwendung. Diese greifen nur bei der verpflichtenden Benennung.

Sofern die Parteien gleichwohl einen entsprechenden Schutz vereinbaren möchten, sollten sie das schriftlich in dem zwischen den Parteien im Rahmen der Benennung zu schließenden Vertrag (der sich in diesen Fällen noch mehr empfiehlt) dokumentieren.

Eine solche freiwillige Benennung empfiehlt sich daneben, um Risiken zu minimieren. Unternehmen müssen – auch wenn sie nicht verpflichtet sind, einen DSB zu benennen – gleichwohl die Regelungen der DSGVO einhalten.

In der Praxis zeigt sich häufig, dass nur dort, wo eine regelmäßige Prüfung der Einhaltung des Datenschutzes tatsächlich erfolgt bzw. ein kompetenter Ansprechpartner für alle Fragen in diesem Zusammenhang zur Verfügung steht und die Einhaltung des Datenschutzrechts vorantreibt, die datenschutzrechtliche Compliance auch wirksam umgesetzt bzw. eingehalten wird.

Auch in einem kleinen Unternehmen mit wenigen Beschäftigten, die Daten regelmäßig automatisiert verarbeiten, sollte ein Mindestmaß an Schutzstandards im Umgang mit Kunden- und Mitarbeiterdaten eingehalten werden. Insofern kann sich – wenn intern kein Beschäftigter zur Verfügung steht, der diese Aufgabe übernimmt – die Benennung eines externen Datenschutzbeauftragten empfehlen. Hier gibt es inzwischen vielfältige Angebote in den unterschiedlichsten Preisklassen.

Konzern-Datenschutzbeauftragter und gemeinsamer Datenschutzbeauftragter

Unternehmensgruppen bzw. Konzerne können nach DSGVO einen gemeinsamen Datenschutzbeauftragten ernennen, sofern er leicht erreichbar für die einzelnen Unternehmen bzw. Niederlassungen ist (Art. 37 Abs. 2 DSGVO). Laut Art. 4 Nr. 19 DSGVO ist eine Unternehmensgruppe „eine Gruppe, die aus einem herrschenden und den von diesem abhängigen Unternehmen“ besteht.

Leichte Erreichbarkeit wird wohl nicht so zu verstehen sein, dass er „per E-Mail“ aus allen EU-Mitgliedstaaten erreichbar ist, sondern tatsächlich persönlich als Anlaufstelle innerhalb kurzer Zeit zur Verfügung steht. Er muss zudem jedem Mitarbeiter bzw. Betroffenen im Konzern bekannt sein und eine leichte Kommunikationsmöglichkeit z.B. über eine Hotline anbieten.

Das gilt auch hinsichtlich seiner Erreichbarkeit für die Datenschutz-Aufsichtsbehörden oder andere Dritte bzw. betroffene Personen. Hier fordern die Aufsichtsbehörden, dass er auch in den jeweiligen Landessprachen, die die Aufsichtsbehörden und die Betroffenen sprechen, kommunizieren kann (siehe dazu das WP 243 der Art. 29 Working Group). Ob damit die Benennung eines Englisch sprechenden Konzern-Datenschutzbeauftragten ausreichend sein wird, darf zumindest bezweifelt werden.

Zudem muss ein Konzern-Datenschutzbeauftragter genügend Zeit haben, um seine Aufgaben zu erfüllen. Damit wird diese Aufgabe wohl nur ein Vollzeit-Datenschutzbeauftragter übernehmen können.

Neben der Vollzeit-Tätigkeit wird sich auch aufgrund sprachlicher Grenzen und der von der DSGVO geforderten Fristen (z.B. Meldung von Datenschutzvorfällen innerhalb von 72 Stunden nach Kenntnisnahme) nicht vermeiden lassen, dass der Konzern-Datenschutzbeauftragte in den jeweiligen Ländern von Datenschutzkoordinatoren oder nationalen Datenschutzbeauftragten unterstützt wird: Sofern bei ihm europa- oder sogar weltweit alle Begehren zusammenlaufen, wird dies in der Praxis nur mit einem großen Mitarbeiterstab zu bewältigen sein.

Entsprechendes gilt für Behörden: Nach Art. 37 Abs. 3 DSGVO können sie auch einen gemeinsamen Datenschutzbeauftragten bestellen; dabei sind ihre Organisationsstruktur und ihre Größe zu berücksichtigen. Hier werden wohl grundsätzlich die gleichen Anforderungen wie beim nicht-behördlichen Konzern-Datenschutzbeauftragten zu erfüllen sein.

Oliver Schonschek

Oliver Schonschek
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
Verwandte Beiträge
01. November 2024
DP+
KI-Modelle und KI-Systeme: Eine Definition symbolisiert durch eine gezeichnete Frau, die auf einem Computer-Chip mit der Aufschrift AI sitzt
Bild: Khafizh Amrullah/iStock/Getty Images Plus

Definition und Klassifikation von KI-Modellen und -Systemen

Ratgeber
KI
01. November 2024
DP+
Die DSGVO sieht ein Verzeichnis der Verarbeitungstätigkeiten (VTT) vor. Dessen Aktualisierung ist jedoch nicht Aufgabe des DSB, sondern der jeweiligen Prozessverantwortlichen.
Bild: iStock.com/Galeanu Mihai

Verarbeitungsverzeichnis zeitgemäß neu denken

Praxisbericht
Cybersicherheit KI
01. November 2024
DP+
Mit einer neuen Verordnung hat die EU die Grundlage dafür geschaffen, eine digitale Brieftasche einzuführen. In dieser EU-ID-Wallet können Bürgerinnen und Bürger wichtige Daten und Dokumente speichern.
Bild: iStock.com/dem10

Einführung einer digitalen Brieftasche für EU-Bürger

Hintergrund
01. November 2024
DP+
Die KI-Verordnung (KI-VO) sieht verschiedene Rollen und damit einhergehend verschiedene Verantwortlichkeiten für den Datenschutz vor.
Bild: iStock.com/Atomic62 Studio

Verantwortlichkeiten und Rollen bei KI-Systemen

Ratgeber
KI
31. Oktober 2024
DP+
Terminbuchungstools und Datenschutz: Gemäß dem Need-to-know“-Prinzip dürfen nur die Beschäftigten Zugriff auf das Tool erhalten, für die dies erforderlich ist. Die zuständigen Beschäftigten müssen regelmäßig datenschutzrechtlich sensibilisiert und geschult werden.
Bild: iStock.com/AndreyPopov

Terminbuchungstools für Arztpraxen

Ratgeber
Drittland EuGH
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.