Dr. Stefan Drewes, Sebastian Wilfling
Rz. 28
Vorab ist ein oft anzutreffendes Missverständnis im Zusammenhang mit der Pflicht zur Benennung eine Datenschutzbeauftragen aufzuklären. Diese Pflicht zur Bestellung eines Datenschutzbeauftragten besteht unabhängig von den Pflichten eines jeden Verantwortlichen zur Einhaltung aller datenschutzrechtlichen Bestimmungen bei der Verarbeitung personenbezogener Daten (Art. 5 Abs. 2 DSGVO). Ein Verantwortlicher, der gesetzlich nicht zur Benennung eines Datenschutzbeauftragten verpflichtet ist, muss die Einhaltung des Datenschutzrechts auf andere Weise organisieren.
Rz. 29
Eine Pflicht zur Benennung eines Datenschutzbeauftragten kann sich aus dem BDSG oder aus der DSGVO ergeben.
Rz. 30
Nach § 38 Abs. 1 BDSG müssen Unternehmen einen Datenschutzbeauftragten benennen, sofern mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Zudem besteht eine Verpflichtung zur Benennung eines Datenschutzbeauftragten, wenn in dem Unternehmen eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist. Dies ist dann der Fall, wenn mit einer Datenverarbeitung hohe Risiken für die Rechte und Freiheiten natürlicher Personen verbunden sind. Hierzu hat die Datenschutzkonferenz (DSK) eine sog. Übersicht erstellt, die aufzeigt, wann zwingend eine Datenschutzfolgenabschätzung erforderlich ist. Darüber hinaus besteht eine Benennungspflicht, wenn ein Unternehmen geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt und Meinungsforschung personenbezogene Daten verarbeitet. Dies gilt unabhängig von der Anzahl der mit der Verarbeitung personenbezogener Daten beschäftigten Personen.
Rz. 31
Außerdem kann sich eine Bestellpflicht aus Art. 37 DSGVO ergeben. Das ist der Fall, wenn nach Art. 37 Abs. 1 lit. b) DSGVO die Kerntätigkeit in der Durchführung von Datenverarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Zwei Faktoren sind somit wesentlich: Es muss eine Kerntätigkeit des Verantwortlichen betroffen sein und es muss sich um eine umfangreiche oder systematische Überwachung handeln. Eine regelmäßige und systematische Überwachung Betroffener kann auch bei Internet-Trackingprogrammen oder bei Datenverarbeitungen im Rahmen der verhaltensbasierten Werbung vorliegen. Weiterhin muss es sich um eine Kerntätigkeit des Unternehmens handeln. Diese ist abzugrenzen von einer reinen Neben- oder Hilfstätigkeit bzw. einer Datenverarbeitung im Rahmen reiner Verwaltungsaufgaben des Unternehmens. Die "Kerntätigkeit" betrifft somit die wichtigsten Arbeitsabläufe des Unternehmens, die zum Erreichen der Ziele des Unternehmens erforderlich sind. Diese Prozesse tragen maßgeblich zum Wertschöpfungsprozess des Unternehmens bei. Letztlich ist im Einzelfall zu bewerten, ob aufgrund der Kritikalität der Datenverarbeitung, die von Art. 37 DSGVO zugrunde gelegt wird, die Ernennung eines Datenschutzbeauftragten erforderlich ist.
Rz. 32
Außerdem besteht eine Pflicht zur Bestellung eines Datenschutzbeauftragten nach Art. 37 Abs. 1 lit. c) DSGVO, sofern die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht. Auch hier kommt es auf den Einzelfall an. Aufsichtsbehörden haben etwa eine Bestellpflicht nicht angenommen bei Ärzten, die zu mehreren in einer Praxisgemeinschaft zusammengeschlossen sind und ihrerseits weitere Ärzte beschäftigt haben. Es liege regelmäßig noch keine umfangreiche Verarbeitung besonders schutzbedürftiger Daten i.S.v. Art. 9 DSGVO vor. Eine Bestellpflicht liegt dagegen vor, wenn die sonstigen Voraussetzungen nach dem BDSG erfüllt werden, insbesondere die Grenze von 20 Beschäftigten überschritten bzw. eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich wird.