1.1 Bestellpflicht nach DSGVO und BDSG
1.1.1 Nach Art. 37 DSGVO
Gemäß der DSGVO besteht für nichtöffentliche Unternehmen in folgenden Fällen eine Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten:
Die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, die aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Beobachtung von betroffenen Personen in großem Umfang erforderlich machen (Art. 37 Abs. 1 lit. b DSGVO).
Die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO (Art. 37 Abs. 1 lit. c DSGVO).
Die Bestellpflicht entsteht unter je zwei Voraussetzungen:
Die eine Bestellpflicht auslösende Verarbeitung personenbezogener Daten muss zunächst zur Kerntätigkeit des Unternehmens oder auch des Auftragsverarbeiters gehören. Die Kerntätigkeit ist als jene Tätigkeit zu verstehen, die der Verwirklichung der Unternehmensziele, also regelmäßig dem Unternehmensgegenstand dient.
Darüber hinaus muss die Datenverarbeitung bestimmte inhaltliche Voraussetzungen erfüllen. Dies ist zum einen die systematische Beobachtung im Sinne von Art. 37 Abs. 1 lit. b DSGVO und zum anderen die umfangreiche Verarbeitung von besonderen Kategorien personenbezogener Daten (Art. 9 und 10 DSGVO) im Sinne von Art. 37 Abs. 1 lit. c DSGVO.
Als "systematische Beobachtung" in diesem Sinne ist eine regelmäßige und strukturierte Auswertung personenbezogener Daten, insbesondere die Bildung von Profilen, zu verstehen. Diese Form der Datenverarbeitung sollte für Unternehmen der Wohnungswirtschaft eher untypisch sein. Die Regelung betrifft vielmehr Wirtschaftsauskunfteien oder auch Versicherungsgesellschaften.
Wohnungsunternehmen
Wohnungsunternehmen werden ebenfalls kaum unter die Bestellpflicht nach Art. 37 Abs. 1 lit. c DSGVO fallen. Zwar können Wohnungsunternehmen vereinzelt besondere Kategorien personenbezogener Daten verarbeiten (z. B bei der Vermietung von Wohnungen, die Personen mit körperlichen Einschränkungen vorbehalten sind). Dies geschieht jedoch in der Regel nicht in einem umfangreichen Ausmaß. Die Bestellpflicht nach Art. 37 Abs. 1 lit. c DSGVO greift vor allem für Unternehmen aus dem Gesundheitssektor wie beispielsweise Krankenhäuser.
Für Wohnungsunternehmen wird sich die Pflicht zur Bestellung eines Datenschutzbeauftragten regelmäßig nicht direkt aus der DSGVO ergeben. Es gilt jedoch auch, die Regelungen des Bundesdatenschutzgesetzes zu beachten.
1.1.2 Nach § 38 BDSG
Auch im Hinblick auf die Bestellpflicht existiert eine Öffnungsklausel in Art. 37 Abs. 4 Satz 1 DSGVO, die dem nationalen Gesetzgeber das Recht auf weitergehende Regelungen einräumt. Die Öffnungsklausel beschränkt den Gesetzgeber jedoch auf die Formulierung zusätzlicher Voraussetzungen, unter denen ein Datenschutzbeauftragter zu bestellen ist. Eine von der DSGVO abweichende Aufgaben- oder Rechtsstellung kann von nationalen Gesetzgebern nicht formuliert werden.
Das Bundesdatenschutzgesetz ergänzt in § 38 die Regelungen der DSGVO zur Bestellpflicht. Die Benennung eines Datenschutzbeauftragten ist demnach auch in folgenden Fällen erforderlich:
Es werden in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
Es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen, oder es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.
Unter Erwähnung von Art. 37 Abs. 1 lit. b und c DSGVO bestimmt das BDSG, dass eine nichtöffentliche Stelle dann einen Datenschutzbeauftragten zu bestellen hat, wenn in der Regel mindestens 20 Personen ständig mit der automatischen Verarbeitung personenbezogener Daten beschäftigt sind. Dies gilt unabhängig von Umfang und Inhalt der Tätigkeit. Es zählt allein die Anzahl der mit der Datenverarbeitung beschäftigten Personen.
Sofern Unternehmen Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO bedürfen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder zur Markt- und Meinungsforschung verarbeiten, muss unabhängig von der Anzahl der Mitarbeiter ein Datenschutzbeauftragter bestellt werden. Dies ist bei Wohnungsunternehmen nicht der Fall.
Die Pflicht zur Bestellung eines Datenschutzbeauftragten wird sich für Wohnungsunternehmen in erster Linie aus der Anzahl der mit der Datenverarbeitung beschäftigten Personen ergeben. Die weiteren Voraussetzungen werden in der Regel nicht einschlägig sein.
Anzahl der mit der Datenverarbeitung beschäftigten Personen regelmäßig prüfen
Durch die Digitalisierung kann sich die Zahl der Personen, die mit der automatischen Verarbeitung personenbezogener Daten beschäftigt sind, erhöhen, z....