Wann muss ich einen Datenschutzbeauftragten benennen?
Mit den neuesten Gesetzesanpassungen haben sich die Vorgaben an die Mitarbeiterzahl geändert, ab wann ein Datenschutzbeauftragter (DSB) zu benennen ist. Doch die Zahl der Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist nicht das einzige Kriterium.
Das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) und die Änderung im Bundesdatenschutzgesetz (BDSG) haben dazu geführt, dass nun neue Vorgaben gelten, ab wann ein Datenschutzbeauftragter (DSB) zu benennen ist.
Statt wie bisher zehn Personen müssen sich in der Regel nun mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Es gibt allerdings weitere Kriterien, die eine Benennung erforderlich machen.
Warum einen Datenschutzbeauftragten benennen?
Die Pflicht, in bestimmten Fällen einen oder eine DSB zu benennen, wird nachvollziehbar, wenn man sich deutlich macht, welche Vorteile Unternehmen durch betriebliche Datenschutzbeauftragte haben.
So schreibt zum Beispiel die Berliner Beauftragte für den Datenschutz in ihrer Pressemeldung zum 2. DSAnpUG-EU: „Datenschutzbeauftragte sorgen für kompetente rechtliche und technische Beratung. Sie helfen, Verstöße im Vorfeld zu verhindern und das Risiko von Bußgeldern und folgenschweren Verwaltungsanordnungen gering zu halten. Sie wirken als Mittler zwischen Unternehmen und Aufsichtsbehörde und sind bei Pannen die erste Ansprechperson, damit schnell und richtig gehandelt werden kann.“
Je wahrscheinlicher es ist, dass ein Unternehmen gegen die Vorgaben des Datenschutzes verstoßen könnte, desto wichtiger ist es, eine oder einen DSB für das Unternehmen zu haben.
Dieser Gedanke hilft auch dabei, die Vorgaben für die Benennung eines Datenschutzbeauftragten besser zu verstehen.
Was sagen DSGVO und BDSG zur Benennung?
Die Datenschutz-Grundverordnung (DSGVO) regelt in Artikel 37 (Benennung eines Datenschutzbeauftragten), wann ein DSB zu bestellen ist. Für Unternehmen lässt es sich so zusammenfassen:
|
Unternehmen müssen in jedem Fall einen DSB benennen, wenn
|
Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern sich von jeder Niederlassung aus der DSB leicht erreichen lässt.
Der DSB wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit, seine Aufgaben zu erfüllen.
Der Datenschutzbeauftragte kann Beschäftigter des Unternehmens sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen (Stichwort: externer DSB).
Das Unternehmen veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der zuständigen Aufsichtsbehörde mit.
Für Deutschland macht das mit dem 2. DSAnpUG-EU geänderte Bundesdatenschutzgesetz (BDSG) noch die Ergänzung, dass die Pflicht zur Benennung nur besteht, soweit sich in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Nimmt das Unternehmen Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung (Artikel 35 DSGVO) unterliegen, oder verarbeitet es personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, muss es unabhängig von der Anzahl der Personen, die mit der Verarbeitung beschäftigt sind, eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten benennen (§ 38 BDSG).
|
Damit müssen also auch kleine Unternehmen einen oder eine DSB benennen, wenn sie entsprechende Verarbeitungen personenbezogener Daten vornehmen – unabhängig von der Zahl derjenigen, die in die Verarbeitung einbezogen sind.
|
Wie kann ich prüfen, ob die Kriterien vorliegen?
Unternehmen müssen für sich prüfen, ob sie die genannten Kriterien erfüllen, ob sie also verpflichtet sind, einen DSB zu benennen oder nicht.
Hierzu haben die Aufsichtsbehörden hilfreiche Hinweise gegeben (Kurzpapier Nr. 12 der DSK – PDF):
- „Kerntätigkeit“ ist die Haupttätigkeit eines Unternehmens, die es untrennbar prägt.
- Ob eine Verarbeitung „umfangreich“ ist, hängt von den folgenden Faktoren ab: Menge der verarbeiteten personenbezogenen Daten (Volumen), Verarbeitung auf regionaler, nationaler oder supranationaler Ebene (geografischer Aspekt), Anzahl der betroffenen Personen (absolute Zahl oder in Prozent zur relevanten Bezugsgröße) und Dauer der Verarbeitung (zeitlicher Aspekt).
- „Regelmäßig“ lässt sich interpretieren als fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums vorkommend, immer wieder oder wiederholt zu bestimmten Zeitpunkten auftretend, ständig oder regelmäßig stattfindend.
- Der Begriff „systematisch“ lässt sich verstehen als systematisch vorkommend, vereinbart, organisiert oder methodisch, im Rahmen eines allgemeinen Datenerfassungsplans erfolgend oder im Rahmen einer Strategie erfolgend.
- „Ständig“ soll klarstellen, dass Personen, die nur gelegentlich, etwa als Urlaubsvertretung, mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, nicht mitgezählt werden.
- „In der Regel“ soll unterstreichen, dass gewisse Schwankungen in der Anzahl der Personen, die automatisiert Daten verarbeiten, nicht beachtet werden, wenn „in der Regel“ die Anzahl unter 20 Personen bleibt.
Ist eine freiwillige Benennung möglich?
Unabhängig von der Pflicht, einen oder eine DSB zu benennen, können Unternehmen freiwillig eine solche Benennung vornehmen.
Die Aufsichtsbehörden stellen hierzu jedoch klar: Benennt ein Unternehmen einen DSB auf freiwilliger Basis, so unterliegen dessen Benennung, Stellung und Aufgabenbereich den gleichen Anforderungen wie bei einer obligatorischen Benennung.
