Oft besteht Unklarheit darüber, wann ein Unternehmen einen Datenschutzbeauftragten benennen muss. Wir erklären, ab wann die gesetzliche Pflicht zur Bestellung eines DSB besteht.
Die folgende Einordnung gilt für nicht öffentliche Stellen (private Unternehmen). Die Bestellung des Datenschutzbeauftragten bei öffentlichen Stellen wie z.B. in der Justiz wird hier nicht behandelt.
Die Bestellung eines Datenschutzbeauftragten wird durch die DSGVO in Verbindung mit dem BDSG_neu geregelt. Die Kriterien zur Bestellung werden in Art. 37 DSGVO und § 38 BDSG_neu beschrieben. Erfüllen Sie mindestens eines der folgenden Kriterien, ist ein DSB zu bestellen.
Verarbeitung personenbezogener Daten durch mehr als 20 Personen
Sind mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, ist ein Datenschutzbeauftragter gemäß § 38 BDSG_neu iVm Art. 37 DSGVO zu bestellen, wenn eine automatisierte Datenverarbeitung erfolgt. Dieser Richtwert besteht erst seit einer Änderung des BDSG_neu Ende 2019. Zuvor galt die Bestellpflicht bereits bei 10 Personen. Eine automatisierte Verarbeitung liegt in der Regel schon dann vor, wenn für die Verarbeitung IT-Systeme verwendet werden.
Wichtig hierbei ist, dass der Zweck Tätigkeit auf die Verarbeitung personenbezogener Daten abzielt. Der Handwerker, der auf die Baustelle fährt, wird hier nicht mitgezählt. Betroffen sind hiervon Tätigkeiten wie die Lohnbuchhaltung, Personaldisponenten und Mitarbeiter im Vertrieb.
Die Kerntätigkeit ist die Verarbeitung besonderer personenbezogener Daten
Ein Datenschutzbeauftragter ist auch zu bestellen, wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer personenbezogener Daten liegt oder Daten über Verurteilungen und Straftaten verarbeitet werden. Besondere personenbezogene Daten sind insbesondere Daten über die Gewerkschaftszugehörigkeit, ethnische Herkunft oder religiöse und politische Weltanschauungen.
Ist Ihr Kerngeschäft z.B. das Anbieten von Inkasso Dienstleistungen, Kundensupport oder der Betrieb von ERP Systemen, die personenbezogene Daten verarbeiten, ist ein Datenschutzbeauftragter zu bestellen.
Die Verarbeitung ist Kerngeschäft und es findet eine systematische und regelmäßige Bewertung der Kundenprofile statt
Die Bestellung eines DSB ist nach Art. 37 DSGVO auch notwendig,Die Bestellung eines DSB ist nach Art. 37 DSGVO notwendig, wenn es Kerngeschäft des Unternehmens ist, umfassende Profile von Betroffenen anzulegen und zu pflegen. Dies trifft z.B. auf Scoring Unternehmen und Marketingunternehmen zu, die Profile bilden. Die Pflicht zur Bestellung ist in diesem Fall unabhängig von der Anzahl der Mitarbeiter.
Verarbeitungen bei kritischen Vorgängen
In kritischen Verarbeitungsvorgängen, bei denen eine Datenschutzfolgenabschätzung gem. Art. 35 DSGVO vorgenommen werden muss, ist zwingend ein Datenschutzbeauftragter zu bestellen. Die Datenschutzfolgenabschätzung ist in Fällen durchzuführen, indem die Verarbeitung mit einem hohen Risiko für den Betroffenen einhergehen kann, z.B. bei Videoüberwachung, Scoringverfahren und Big Data Anwendungen.
Verarbeitung zu Zwecken der geschäftsmäßigen Übermittlung
Verdienen Sie mit der Übermittlung oder dem Handel von Daten Geld, besteht ebenfalls wie bei kritischen Vorgängen oder Profiling eine Bestellpflicht. Dies trifft zu, wenn Sie z.B. Daten zum Zweck des Direktmarketings weitergeben.
Weiterhin besteht die Bestellpflicht bei der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung.
Wie wird der Datenschutzbeauftragte bestellt?
Sie sollten die Datenschutzbeauftragten schriftlich bestellen, hierbei ist darauf zu achten, dass dieser die gesetzlich vorgeschriebene Fachkunde besitzt.
Ernennung juristischer Personen als (externe) Datenschutzbeauftragte
Die Frage, ob auch juristische Personen als (externe) Datenschutzbeauftragte ernannt werden können, ist in der Fachwelt nicht eindeutig geklärt.
Nach Ansicht des Europäischen Datenschutzausschusses, schließt der Wortlaut der DSGVO dies nicht aus. Die Anforderungen hieran wären aber recht hoch: Nicht nur müsste es trotzdem einen konkreten Ansprechpartner für die Datenschutzbehörden geben; jedes Mitglied des Unternehmens bzw. der Einrichtung müsste zudem die Funktion eines Datenschutzbeauftragten und damit sämtliche Aufgaben nach Artikel 39 DSGVO wahrnehmen können. [1] Diese Anforderungen müssten in jedem Fall erfüllt werden, sollte eine juristische Person als externer Datenschutzbeauftragter bestellt werden.
Andere Stimmen verneinen die Benennung juristischer Personen aufgrund einzelner Wortlaute innerhalb der (englischen) DSGVO gänzlich. So differenziere die DSGVO besonders in den Definitionen des Artikel 4 eindeutig zwischen natürlichen und juristischen Personen. [2]
Unstrittig ist in jedem Fall, dass die Vereinbarung direkt mit dem Unternehmen, das den externen Datenschutzbeauftragten stellt, geschlossen werden kann. [3]
Um Sicherheit zu haben, empfiehlt es sich, vor Benennung mit der zuständigen Datenschutzbehörde in Kontakt zu treten. [4]
[1] Art. 29- Datenschutzgruppe, WP 243 „Guidelines on Data Protection Officers (‘DPOs’)“, rev. 01, S. 14 f.
[2] Vgl. Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 37, Rn. 43; Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, 2. Auflage 2019, § 6 Rn. 18.
[3] Paal/Pauly/Paal DS-GVO Art. 37 Rn. 15a.
[4] Vgl. Hessische Datenschutzbeauftragte, Der behördliche und betriebliche Datenschutzbeauftragte nach neuem Recht, Stand: Juni 2017, S. 12. (zu finden unter: https://datenschutz.hessen.de/datenschutz/datenschutzbeauftragte/beh%C3%B6rdliche-und-betriebliche-datenschutzbeauftragte-nach-neuem)