Wissen Sie ob sie laut Gesetz einen Datenschutzbeauftragten in ihrem Unternehmen oder ihren Verein installieren müssen oder welche Voraussetzungen die DSGVO und das BDSG hierfür vorsehen?
Dieser Artikel behandelt dieses Thema, allerdings ohne die Berücksichtigung der öffentlichen Stellen, weil die Vorgaben bei öffentlichen Stellen anders sind als bei nicht öffentlichen Stellen.
Zu dieser Frage gibt es europaweit aus unserer Sicht keine eindeutige Antwort. Woran liegt das? Zum einen daran das sowohl die DSGVO eine Aussage dazu macht als auch das BDSG diese Vorgabe noch ergänzt.
Laut der deutschen Fassung der DSGVO müssen sie, einfach ausgedrückt, für die Pflichtbestellung eines DSB:
Art. 37 Abs. 1 Buchst. b) DS-GVO
a) Eine Kerntätigkeit ausführen, bei der eine umfangreiche und regelmäßige Überwachung von betroffenen Personen durchgeführt wird oder
Art. 37 Abs. 1 Buchst. c) DS-GVO
b) Wenn die Kerntätigkeit in der Verarbeitung besondere personenbezogene Daten besteht einen DSB bestellen.
Das sind laut der GDD-Praxishilfe, DS-GVO I „Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung“ unter anderem folgende Unternehmungen:
laut a) Auskunfteien; Detekteien; Versicherungsunternehmen (Risikomanagement oder individualisierte Tarife wie „Pay as you drive“); Marketing auf Basis detaillierter Kunden- und Interessentenprofile.
Und diese Unternehmen:
laut b) Gesundheitseinrichtungen, wie z.B. Krankenhäuser; mit genetischen Untersuchungen befasste Labors; Beratungsstellen wie Pro Familia; Dienstleister im biometrischen ID-Management oder Anbieter von Erotikartikeln.
Da die überwiegende Zahl der deutschen Unternehmen, laut der deutschen Fassung der DSGVO sicher nicht die Überwachung personenbezogener Daten (pbD) als Kerntätigkeit haben und auch i. d. R. keine besonderen pbD verarbeiten muss man bei diesen Firmen keinen DSB benennen.
Wenn man die Originalfassung der DSGVO zugrunde legt, dann kann es sich aber auch um mehrere Kerntätigkeiten handeln, weil dort die Rede von „core activities“ ist und dann könnte man alle betrieblichen Aktivitäten die der Kerntätigkeit zuzuordnen sind einschließen, wie z.B. die Marketingaktivitäten, die letztendlich das Hauptgeschäftsfeld unterstützen können und in dem ggf. regelmäßig umfassend Daten von betroffenen Personen verarbeitet werden könnten, einschließlich einer Überwachung von betroffene Personen, was wir aber auch nicht unbedingt für relevant ansehen, da das Marketing eher Firmen, als Personen überwacht, das wäre dann im Einzelfall zu prüfen.
Das deutsche Recht macht außerdem weitere Vorgaben, hier müssen sie laut § 38 BDSG ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 prüfen
- Ob sie in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung pbD beschäftigen.
- Außerdem müssen Sie immer dann, wenn sie eine Datenschutzfolgenabschätzung (DSFA) durchführen einen DSB zu rate ziehen.
- Und, wenn sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten, benötigen sie auch einen DSB. (z. B. Adresshändler oder Meinungsforschungsinstitute)
Also, wenn eine Person in der EU eine Detektei hat und “regelmäßig” und “umfangreich” pbD durch die Überwachung betroffener Personen verarbeitet, dann ist die Bestellung eines DSB Pflicht, unabhängig davon wie viele Personen dort arbeiten, und die Überwachungstätigkeit ausführen. Eine Detektei überwacht aber auch nicht regelmäßig, umfangreich Personen, die haben bestimmt manchmal auch andere Aufgaben. Genauso verhält es sich mit Krankenhäusern oder Laboren in denen überwiegend besondere Kategorien von pbD verarbeitet werden aber bei Ärzten besteht durch die Aufsichtsbehörden die Ansicht, dass die nicht Ihre Kerntätigkeit in der Verarbeitung pbD haben, sondern in der Behandlung der betroffenen Personen. Also bezieht sich das bei Krankenhäusern worauf? Weil seien wir mal ehrlich die wollen die Daten auch nicht alle verarbeiten die müssen das um den Patienten zuordnen zu können und ihn wieder gesund zu bekommen. So ganz einfach ist das hier also auch nicht. Sie sollten in jedem Fall genau und separat prüfen was zutrifft und was nicht.
Deutsche Firmen müssen dagegen, unabhängig von der Kerntätigkeit auch prüfen ob 10 Personen ständig automatisiert pbD verarbeiten, die anderen Vorgaben (also b und c) lassen wir hier erst mal außen vor, weil die aus meiner Sicht relativ eindeutig sind.
Das bedeutet, dass es für alle Europäer eine Regel gibt und für die Deutschen noch weitere Regeln, was ggf. zu einer Wettbewerbsverzerrung führen kann. Uns ist nicht bekannt ob andere europäische Länder ebenfalls weiterführende Vorgaben machen, aber das Land Niedersachen sagt das zumindest in einem Antrag, dort sagt der Antragsteller „…das unsere Regelung eine nationale Besonderheit darstellt, durch die deutsche Unternehmen einer höheren Bürokratiebelastung ausgesetzt werden.“
Hier können sie den Antrag des Landes Niedersachsen als PDF abrufen: (https://www.bundesrat.de/SharedDocs/drucksachen/2019/0101-0200/144-19.pdf?__blob=publicationFile&v=1)
Unter 3. In dem Antrag wird eine deutliche Entlastung von KMU´s, von zusätzlichen Bürokratiekosten, durch eine deutliche Anhebung der Mindestzahl, der mit der Verarbeitung pbD beschäftigten in einer Firma, gefordert. Ob das freilich die Problematik der Definition löst ist aus meiner Sicht fraglich. Aber ich wollte das hier zumindest erwähnen, dass sich auch andere Stellen hierzu schon Gedanken machen, wenn auch nicht unbedingt die Richtigen.
Eigentlich müssten sich die deutschen Datenschutzstellen und der Gesetzgeber Gedanken darüber machen welche Positionen/Abteilungen in einem Unternehmen/einer Firma überhaupt mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sein können. Also zu einer klareren Definition kommen bei der die 10 Personen und die ständige, automatisierte Verarbeitung pbD festgelegt wird. Also in welchen Abteilungen bzw. durch welche Tätigkeiten wird diese Vorgabe in der Praxis potenziell ausgeführt.
Das heutzutage die Personalabteilung pbD automatisiert verarbeitet ist in den meisten Fällen unstrittig. Und wie sieht es bei der Verwendung des CRM-Systems und der Mailaccounts aus, auf die viele Mitarbeiter, in den unterschiedlichen Abteilungen, von der Produktion über den Einkauf und den Vertrieb bis zu Buchhaltung zugreifen. Hier ist die automatisierte Verarbeitung pbD zwar vorhanden, aber das ist nicht die Haupttätigkeit der Mitarbeiter. Eine Möglichkeit wäre es, sich über die regionalen Aufsichtsbehörden direkt sagen zu lassen ob man im eigenen Unternehmen einen DSB installieren muss aber ich glaube auch das wird aufgrund der allg. Verunsicherung sicher nicht die Wahl der meisten Unternehmen sein.
Letztendlich gibt es noch den guten Rat: „Bestellt doch einfach freiwillig einen DSB“ aber das löst das Problem, das uns der Gesetzgeber bereitet hat, leider auch nicht, es wäre sicher gut gewesen, wenn sich die Gesetzgeber bei der Formulierung der DSGVO und dem BDSG mehr Fragen gestellt hätten bevor etwas geschrieben wird, was aus Praxissicht mehr Fragen aufwirft.
Und jetzt doch noch mal zur Beantwortung der Eingangsfrage, wann müssen sie einen DSB bestellen?
Wir gehen grundsätzlich so vor:
- Analog zur DSGVO prüfen ob es, bezogen auf die eigene (Kern-)Tätigkeit, einen Grund gibt einen DSB zu bestellen.
a) Also ist die Firma damit beschäftigt betroffene Personen zu überwachen oder
b) werden besondere pbD verarbeitet. - Dann prüfen wir wie viele Personen mit der Datenverarbeitung in der Personalabteilung, dem Marketing, der EDV (und ggf. der Buchhaltung) beschäftigt sind dabei lasse ich den Einkauf, Vertrieb und andere Abteilungen wie z. B. die Produktion bewusst außen vor, weil die eigentlich keine pbD verarbeiten, sondern innerhalb Ihres Aufgabengebietes dem Geschäftsfeld zuarbeiten, also deren Hauptaufgaben liegen i. d. R. nicht in der automatisierten Verarbeitung pbD.
- Die beiden anderen Dinge, also eine DSFA oder die geschäftsmäßige Übermittlung von pbD, prüfe ich parallel, aber hier sehe ich weniger offene Fragen bzw. eher einfach zu klärende Fragen.
In der Regel entsteht dann, bei einer deutschen Firma, erst dann die Pflicht zur Bestellung eines Datenschutzbeauftragten, abhängig davon ob die Regeln der DSGVO gelten, wenn eine gewisse Firmengröße und damit Mitarbeiterzahl vorhanden ist, bei der mehr als 10 Personen überhaupt ständig, automatisiert pbD verarbeiten können.