Datenschutzbeauftragte

Wann ist ein Unternehmen verpflichtet, einen Datenschutzbeauftragten zu benennen?

Die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) knüpfen eine Benennungspflicht an verschiedene Voraussetzungen. Die gesetzliche Schwelle für Unternehmen, einen internen oder externen Datenschutzbeauftragten (DSB) zu benennen, ist jedoch niedrig.

Benennungspflicht nach der DSGVO

Gemäß Artikel 37 Absatz 1 DSGVO ist ein Unternehmen zur Benennung eines DSB in den folgenden Fällen verpflichtet:

Der Begriff der Kerntätigkeit bezieht sich dabei auf die Haupttätigkeit des Unternehmens. Gemeint sind Geschäftsbereiche, welche für die Umsetzung der Unternehmensstrategie maßgebend sind und nicht lediglich routinemäßige Verwaltungsaufgaben darstellen. Keine Kerntätigkeit liegt bspw. bei der Verarbeitung von Mitarbeiterdaten vor, da dies in der Regel nur ein Unterstützungsprozess ist und deshalb nicht zur Haupttätigkeit des Unternehmens gehört.

Die Verarbeitungsvorgänge müssen eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Dies ist etwa der Fall, wenn die Internetaktivitäten der betroffenen Personen nachvollzogen und zur Profilbildung verwendet werden.

Eine umfangreiche Verarbeitung besonderer Kategorien von Daten liegt bspw. vor, wenn die Haupttätigkeit des Unternehmens in der Verarbeitung solcher Daten besteht, aus welchen die rassische und ethnische Herkunft, politische Meinungen oder religiöse bzw. weltanschauliche Überzeugungen hervorgehen. Umfangreiche Verarbeitung von genetischen Daten, biometrischen Daten sowie Gesundheitsdaten fällt ebenfalls hierunter.

Benennungspflicht nach dem BDSG

Das neue BDSG regelt ferner in § 38 Absatz Satz 1, dass die Benennung des DSB obligatorisch ist, soweit mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unerheblich ist hierbei, ob es sich um Vollzeit- oder Teilzeitbeschäftigte handelt. Mit einzubeziehen sind auch freie Mitarbeiter oder Leiharbeitnehmer, ebenso wie Auszubildende und Praktikanten.

Entscheidend ist, dass die betreffenden Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Dies ist in der Regel
bereits bei einfacher E-Mail-Kommunikation der Fall. Betroffen sind typischerweise Vertriebsmitarbeiter, Mitarbeiter der IT-Abteilung, Sachbearbeiter sowie die Personal- und Finanzabteilungen.

Unabhängig von der Zahl der Mitarbeiter besteht gemäß § 38 Absatz 1 Satz 2 BDSG eine Pflicht zur Benennung, wenn in dem Unternehmen Verarbeitungen vorgenommen werden, die einer Datenschutzfolgenabschätzung nach Artikel 35 DSGVO unterliegen oder die verantwortliche Stelle personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet.

Die Benennung sollte aus Beweisgründen in Schriftform erfolgen.

Wer kann als Datenschutzbeauftragter benannt werden?

Grundsätzlich kann ein interner oder ein externer Datenschutzbeauftragter (DSB) benannt werden.

In beiden Fällen muss gemäß Art. 37 DSGVO der DSB benannt und der Aufsichtsbehörde gemeldet werden. Sollte dies nicht rechtmäßig getätigt werden, kann ein
Bußgeld bis zu 10.000.000€ oder 2% des Jahresumsatzes die Folge sein (Art. 83 Abs. 4 DSGVO).

Ein DSB kann sowohl intern in Person eines bereits angestellten Mitarbeiters als auch extern in Form eines Dienstleisters benannt werden. Ausschlaggebende Kriterien sollten dabei an erster Stelle die notwendige berufliche Qualifikation, insbesondere
das Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie die Fähigkeit sein, die ein DSB benötigt, um die notwendigen Aufgaben im Unternehmen ordnungsgemäß erfüllen zu können.

Hinsichtlich der Kompetenz muss sich ein interner DSB zunächst zeitintensiven und aufwendigen Weiterbildungsmaßnahmen zur Erlangung der notwendigen Fachkunde unterziehen, während ein externer DSB bereits bei Beginn der vertraglichen Kooperation zertifizierte und sofort bereitstehende Expertise vorweisen kann. Im Gegensatz dazu hat jedoch der interne DSB Vorteile bei der Einarbeitung, da ihm die internen Betriebsabläufe bereits bekannt sind, während sich ein externer DSB zunächst mit den betrieblichen Prozessen vertraut machen muss.

Bei der Benennung eines betrieblichen DSB ist auch stets dessen Haftung zu bedenken. Wenn es zu folgenschweren Fehlern auf Basis seiner Beratung kommt, wie beispielsweise Datenmissbrauch von Kundendaten, haftet ein interner DSB mit der beschränkten Arbeitnehmerhaftung. Das bedeutet, dass der Arbeitnehmer lediglich bei Vorsatz und grober Fahrlässigkeit in vollem Umfang haftet. Bei leichtester Fahrlässigkeit scheidet eine Haftung des internen DSB aus. Im Gegensatz dazu haftet ein
externer DSB für seine Beratung auch bei leichter Fahrlässigkeit in voller Höhe. Dies führt zu einer Risikominimierung für das Unternehmen.