_________________________ (Adresse)
Sehr geehrte/r Herr/Frau _________________________,
gerne unterstützen wir Sie bei der Frage, ob für die _________________________ GmbH eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter zu bestellen ist.
Sowohl die Datenschutz-Grundverordnung (DSGVO), als auch das Bundesdatenschutzgesetz (BDSG) regeln Voraussetzungen, wann Datenschutzbeauftragte zwingend zu bestellen sind. Während die DSGVO auf die Qualität der Datenverarbeitung abstellt, greift das BDSG auch auf einen Schwellenwert an Beschäftigten zurück.
1. Bestellungskriterien der DSGVO
Die Voraussetzungen für Unternehmen aus dem privaten Sektor sind nach Art. 37 Abs. 1 DSGVO recht eng gezogen. Eine Pflicht zur Bestellung besteht demnach nur, wenn die Kerntätigkeit Ihres Unternehmens – kurz gesagt – eine umfangreiche regelmäßige und systematische Überwachung von Personen erforderlich macht, oder wenn Sie sog. "besondere Kategorien personenbezogener Daten" (das sind z.B. Gesundheitsdaten, genetische Daten oder Daten über die religiöse oder sexuelle Orientierung) oder von Straftaten und strafrechtlichen Verurteilungen verarbeiten. Diese Verarbeitungstätigkeiten kann man als "risikogeneigt" zusammenfassen. Bei der Beurteilung sollten die Ansichten der europäischen und nationalen Datenschutzbehörden nicht außer Acht gelassen werden, da ein Abweichen hiervon Anlass zu einer behördlichen Prüfung bieten kann, sollte die zuständige Behörde hiervon Kenntnis erlangen. Risikogeneigt sind z.B. Tätigkeiten, die im Zusammenhang mit Scoring, der Standortverfolgung (auch von Beschäftigten) oder sog. "targeted advertising" stehen.
[Alternative 1 – Voraussetzungen aus Art. 37 DSGVO sind aus Sicht des Anwalts fernliegend: Das dürfte für Ihr Unternehmen aus meiner Sicht ausscheiden, über die Voraussetzungen im Einzelnen können wir aber gern noch einmal sprechen.]
[Alternative 2 – Voraussetzungen aus Art. 37 DSGVO sind aus Sicht des Anwalts naheliegend: Nach den ersten Informationen, die Sie uns mitgeteilt haben, liegt dies nahe. Wir sollen uns daher noch einmal im Detail über die Verarbeitungsvorgänge in Ihrem Unternehmen austauschen, damit wir uns für die finale Bewertung ein besseres Bild machen können.]
2. Kriterien nach dem BDSG
Das BDSG stellt zusätzliche Kriterien auf, nach denen ein/e Datenschutzbeauftragte/r zu benennen ist. Für die meisten Unternehmen spielen hierbei vor allem zwei Kriterien eine Rolle:
Zum einen wird die Bestellungspflicht ausgelöst, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Das bedeutet zwar nicht, dass jedes Unternehmen mit mindestens 20 Beschäftigten zwingend eine/n Datenschutzbeauftragte/n bestellen muss. Die inhaltlichen Voraussetzungen werden dabei weit verstanden. Teils wird ein eigenes E-Mail-Postfach der/des Beschäftigten bereits als ausreichend angesehen und nur solche Personen werden von der Zählung ausgenommen, die keinerlei Zugang zu irgendwelchen Datenverarbeitungsanlagen (also v.a. Computern) haben. Aufgrund dieser Unsicherheiten ist eine frühzeitige Bestellung einer/eines Datenschutzbeauftragten empfehlenswert, um Risiken durch Aufsichtsmaßnahmen oder Bußgelder zu vermeiden. Bei der Beschäftigtenanzahl kommt es auf die Kopfzahl an, nicht auf Vollzeitäquivalente. Irrelevant ist auch, ob es sich um festangestelltes Personal handelt oder um externe Mitarbeiter.
Zum anderen muss nach deutschem Recht ein Datenschutzbeauftragter bestellt werden, wenn der Verantwortliche (d.h. in der Regel das Unternehmen) Verarbeitungstätigkeiten vornimmt, für die eine Datenschutz-Folgenabschätzung durchgeführt werden muss. Häufigster Anwendungsfall ist die Videoüberwachung des Betriebsgeländes, wobei es hierbei stark auf Art und Umfang der Überwachung und der dafür verwendeten Systeme ankommt.
3. Weiteres Vorgehen bei Bestellungspflicht
Sollten wir am Ende zu dem Ergebnis gelangen, dass Sie zur Bestellung einer/eines Datenschutzbeauftragten verpflichtet sind, steht Ihnen sowohl die Benennung einer/eines internen Beschäftigten als auch eines externen Dienstleisters offen. Wichtig ist, dass die Person hinreichend qualifiziert ist, was z.B. durch entsprechende Lehrgänge sichergestellt werden kann. Datenschutzbeauftragte müssen weisungsfrei tätig sein können und müssen in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden werden (Art. 38 Abs. 1 DSGVO). Besonders die Benennung interner Beschäftigter muss sorgfältig abgewogen werden, da ein Benachteiligungsverbot und ein besonderer Kündigungsschutz greift. Datenschutzbeauftragte dürfen demgegenüber nicht zur Leitungsebene des Unternehmens gehören. Welchen Anteil die Tätigkeit als Datenschutzbeauftragte/r einnehmen darf und muss, hängt von den Umständen des Einzelfalls ab, insbesondere von dem Umfang der Datenv...