Datenschutzbeauftragter nach BDSG – Bestellpflicht
Nach derzeitigem Rechtsstand unter dem Bundesdatenschutzgesetz (BDSG) haben Unternehmen nach § 4f Abs. 1 BDSG einen betrieblichen Datenschutzbeauftragten zu bestellen, wenn das Unternehmen nicht „in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt“. Bedeutet: Wenn mindestens 10 Mitarbeiter im „Normalfall“ personenbezogene Daten per EDV verarbeiten, ist die Bestellung eines Datenschutzbeauftragten Pflicht; eine vorübergehende Überschreitung dieser Schwelle ist für die Bestellpflicht unschädlich. Die Schwelle liegt bei einer nicht-automatisierten Datenverarbeitung zwar bei 20 Mitarbeitern, allerdings wird es heute wohl kaum noch Unternehmen geben, welche keine IT einsetzen und damit automatisiert Daten verarbeiten.
Darüber hinaus sind Unternehmen auch unterhalb dieser Schwelle verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen, wenn diese „automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten“. Eine Vorabkontrollpflicht besteht nach § 4d Abs. 5 BDSG in der Regel immer dann, wenn die Datenverarbeitung schwerwiegend in die Persönlichkeitsrechte des Betroffenen eingreift („besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen“), etwa wenn besonders sensible Daten nach § 3 Abs. 9 BDSG (z.B. Gesundheitsdaten) verarbeitet werden oder Persönlichkeitsprofile erstellt werden.
Die Bestellung bei Unternehmen hat spätestens innerhalb eines Monats nach der Tätigkeit des Unternehmens zu erfolgen (§ 4f Abs. 1 S. 2 BDSG).
Datenschutzbeauftragter nach BDSG – Fachkunde und Zuverlässigkeit
Der betriebliche Datenschutzbeauftragte muss eine gewisse Fachkunde und Zuverlässigkeit mit sich bringen (§ 4f Abs. 2 BDSG). Nach dem Beschluss des Düsseldorfer Kreises (Zusammenschluss der Datenschutzaufsichtsbehörden Deutschlands) vom 24./25. November 2010 sind bei der Fachkunde hier unter anderem Grundkenntnisse zu Persönlichkeitsrechten, den Datenschutzgesetzen und zur Anwendung technischer Datensicherheitsvorgaben und je nach Einsatzgebiet gewisse branchenspezifisches Grundwissen erforderlich.
Im Rahmen der Zuverlässigkeit stellt der Düsseldorfer Kreis Anforderungen an die Unabhängigkeit des Datenschutzbeauftragten wie etwa ein direktes Vortragsrecht an die Geschäftsführung, die Verschwiegenheit und dass keine Interessenkonflikte mit einer etwa ausgeübten Tätigkeit im Unternehmen besteht (z.B. bei Stellung als Geschäftsführer, Personalleiter, IT-Leiter usw.).
Ein Verstoß gegen diese Pflichten ist mit bis zu 50.000 EUR bußgeldbewährt (§ 43 Abs. 1 Nr. 2 BDSG).
Diese Pflichten zur Bestellung eines Datenschutzbeauftragten bestehen derzeit nicht europaweit. Wie die Bundesrepublik Deutschland haben einige Mitgliedsstaaten die Funktion des betrieblichen Datenschutzbeauftragten im Rahmen der Umsetzung der Datenschutzrichtlinie 95/46/EG eingeführt, manche Mitgliedsstaaten kennen den Datenschutzbeauftragten nicht oder sehen eine Bestellung nur auf freiwilliger Basis vor.
Datenschutzbeauftragter nach DSGVO – Bestellpflicht
Wie sieht es mit der Bestellpflicht künftig unter der Datenschutzgrundverordnung (DSGVO) aus, welche ja im Mai 2018 Anwendung findet?
Art. 37 der DS-GVO regelt eine einheitliche europaweite Bestellpflicht für Unternehmen, wenn als deren Kerntätigkeit
- eine „umfangreiche regelmäßige und systematische Überwachung“ der Betroffenen durchgeführt wird (Art. 37 Abs. 1b DSGVO: „die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen“, oder
- eine „umfangreiche Verarbeitung“ sensibler Daten (Art. 37 Abs. 1c DSGVO: „die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10“) vorsieht.
Das wird nur auf die wenigsten Unternehmen zutreffen, da diese Verarbeitung ja deren „Kernbereich“ oder „Kerntätigkeit“ betreffen muss. Erhebt ein Unternehmen etwa umfangreiche Daten im Rahmen des Webtrackings (etwa per google analytics) oder hält eine Kundendatenbank vor, dürften diese Kriterien nicht erfüllt sein.
In Art. 37 Abs. 4 DSGVO sieht eine Öffnungsklausel allerdings vor, dass die Mitgliedsstaaten die Pflicht zur Bestellung eines Datenschutzbeauftragten ergänzend zu den oben genannten Fallkonstellationen auch weitgehender regeln können. Von dieser Befugnis wird die Bundesrepublik Deutschland voraussichtlich Gebrauch machen. Die beiden bisher bekannten Entwürfe des Bundesministeriums des Inneren für ein neues BDSG sehen eine Bestellpflicht ähnlich wie beim jetzigen § 4f BDSG vor.
Der Referentenentwurf vom 11.11.2016 etwa bestimmt in § 36 Abs. 1 BDSG-neu, dass ein Datenschutzbeauftragter von Unternehmen zu bestellen sei, „soweit sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgeabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegt oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu bestellen.“
Die Bestellpflicht wird danach auch unter der Datenschutzgrundverordnung in Deutschland weitgehend wie nach der jetzigen Rechtslage bestehen, wobei eine Differenzierung zwischen automatisierter und nicht-automatisierter Datenverarbeitung nicht mehr vorgenommen wird (wohl weil wie bereits erwähnt eine Datenverarbeitung ohne IT in der heutigen Zeit kaum noch praxisrelevant sein dürfte).
Datenschutzbeauftragter nach DSGVO – Fachkunde und Zuverlässigkeit
Anforderungen an Fachkunde und Zuverlässigkeit werden auch unter der Datenschutzgrundverordnung ähnlich wie bereits jetzt unter dem Bundesdatenschutzgesetz fortbestehen. Nach Art. 37 DSGVO wird der Datenschutzbeauftragte „auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“ Zum Fachwissen ergänzt Erwägungsgrund 97 der DSGVO, dass sich das „erforderliche Niveau des Fachwissens […] insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten“ sollte.
Ferner wird auch wie bisher zur Zuverlässigkeit des Datenschutzbeauftragten erforderlich sein, dass der Datenschutzbeauftragte unmittelbar der Geschäftsführung unterstellt ist und dieser direkt berichtet (Art. 38 Abs. 3 DSGVO: „Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.“).
Auch darf die Stellung des Datenschutzbeauftragten in einem Unternehmen gem. Art. 38 Abs. 6 DSGVO „nicht zu einem Interessenkonflikt“ mit dessen sonstigen Aufgaben im Unternehmen führen.
Wie auch unter dem Bundesdatenschutzgesetz werden nach der Datenschutzgrundverordnung die Funktion des Datenschutzbeauftragten sowohl Mitarbeiter des Unternehmens oder auch externe Dienstleister als sog. externe Datenschutzbeauftragte wahrnehmen dürfen (Art. 37 Abs. 6 DSGVO: „Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.“)
Verstöße gegen die Pflicht zur Bestellung eines Datenschutzbeauftragten sind gem. Art. 83 Abs. 4a DSGVO auch unter der Datenschutzgrundverordnung bußgeldbewährt („Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs […], je nachdem, welcher der Beträge höher ist“).
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe