Im BDSG konvertiert sich die Frage „Ab wann wird ein Datenschutzbeauftragter benötigt?“ in „Ab wie viel Mitarbeiter ist er nötig?“ – zumindest teilweise. Als Grundregel ist hier festgelegt, dass ein Datenschutzbeauftragter für Unternehmen Pflicht ist, wenn sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Wie verhält sich die Anzahl der Datenschutzbeauftragte bei Unternehmensgruppen und verbundene Gesellschaften, sind mehrere Datenschutzbeauftragte erforderlich sind?
Wenn ein Unternehmen die Voraussetzungen der DSGVO oder des BDSG erfüllt, muss es einen Datenschutzbeauftragten bestellen. Ist bei Unternehmensgruppen für jedes Teilunternehmen ein eigener Datenschutzbeauftragter erforderlich oder genügt ein Konzerndatenschutzbeauftragter?
Die Antwort findet sich in Art. 37 Abs. 2 DSGVO. Ein gemeinsamer Datenschutzbeauftragter ist bei Unternehmensgruppen durchaus zulässig. Voraussetzung ist allerdings, dass dieser von jeder Niederlassung aus leicht erreichbar ist und keine Wissens- und Sprachbarrieren in den einzelnen Ländern bestehen. Der Datenschutzbeauftragte muss also in der Lage sein, die nationalen Gesetze gleichermaßen abzudecken und mit den Betroffenen zu kommunizieren.
Die DSGVO schreibt unabhängig von der Unternehmensgröße weitere Kriterien vor, die zur Bestellung eines Datenschutzbeauftragten führen können:
Benennung des Datenschutzbeauftragten
Ein Datenschutzbeauftragter muss gem. Art. 37 DSGVO, wie folgt, benannt werden:
- Die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird. Ausgenommen sind hiervon Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln.
- Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
- Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gem. Art. 9 DSGVO (sensitive Daten) besteht.
- Personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO verarbeitet werden
Unter besondere Kategorien von Daten gem. Art. 9 DSGVO fallen:
- Rassische und ethnische Herkunft (z.B. Bewerbungsfotos)
- Politische Meinung (z.B. Aktivitäten im Ehrenamt)
- Religiöse oder weltanschauliche Überzeugungen (z.B. Daten über Konfession)
- Gewerkschaftszugehörigkeit
- Genetische sowie biometrische Daten zur eindeutigen Identifikation (z.B. Fotos, Iris-Scan, Fingerabdruck-Scan)
- Gesundheitsdaten (z.B. Krankentage, Krankenscheine, BEM-Unterlagen, Ergebnis einer betriebsärztlichen Untersuchung)
Hinweis:
Was bedeutet umfangreich?
Die DSGVO selbst definiert nicht, was unter „umfangreich“ zu verstehen ist.
Zur Orientierung kann Erwägungsgrund 91 zur DSGVO herangezogen werden
- Verarbeitung großer Mengen von personenbezogener Daten
- Verarbeitung auf regionaler, nationaler oder supranationaler Ebene
- Bei der Verarbeitung großen Umfang neue Technologie einsetzt
- Anzahl der betroffenen Personen
- Hinzutreten kann als Aspekt die Dauer der Verarbeitung
Sind einzelne oder mehrere dieser Punkte hoch, so spricht dies für eine „umfangreiche" Überwachung bzw. Verarbeitung.
Was ist bedeutet Kerntätigkeit?
Erwägungsgrund 97 der DSGVO führt aus, dass sich die Kerntätigkeit eines Verantwortlichen im nicht-öffentlichen Bereich auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit bezieht.
Hinweis: Die Verarbeitung personenbezogener Daten gilt in der Regel dann nicht als umfangreich, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt (vgl. Erwägungsgrund 91 der DSGVO). In der Zusammenschau mit dem BDSG ist die Folge, dass keine Datenschutz-Folgenabschätzung benötigt wird bei einem Gesundheitsberuf, Arzt, Rechtsanwalt wenn weniger als 10 Personen beschäftigt werden. Denn diese verarbeiten personenbezogene Daten nicht als ihre Haupttätigkeit/Kerntätigkeit.
Zu beachten ist, dass § 38 Abs. 1 BDSG ergänzend zu der DSGVO die Benennung eines Datenschutzbeauftragten vorsieht, soweit:
- Mindestens 20 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt werden, § 38 Abs. 1 S. 1 BDSG
Unabhängig von der Zahl der zur Verarbeitung beschäftigten Personen:
- Soweit eine Pflicht zur Datenschutz-Folgenabschätzung besteht, § 38 Abs. 1 S. 2 BDSG
- Personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung, der anonymisierten Übermittlung, § 38 Abs. 1 S. 2 BDSG
- Personenbezogene Daten für Zwecke Markt – oder Meinungsforschung verarbeiten werden, § 38 Abs. 1 S. 2 BDSG
Datenschutzbeauftragter: Frist zur Benennung?
Grundsätzlich gibt es keine gesetzlich geregelte Frist, in der ein Datenschutzbeauftragter zu benennen ist. Dies führt aber dazu, dass dieser sofort benannt werden muss, wenn die Voraussetzungen erfüllt sind.
Bereits erfolgte Benennungen nach dem BDSG bleiben bestehen. Die Stellung und Aufgaben des Datenschutzbeauftragten sind nach dem Maßstab der DSGVO auszurichten.
Formvorschriften für die Benennung eines Datenschutzbeauftragten
Die Formvorschriften ergeben sich unmittelbar aus dem Gesetz. Da die DSGVO (Art. 37 DSGVO) und das BDSG (§ 38 Abs. 1 BDSG) lediglich von einer Bestellung des Datenschutzbeauftragten sprechen, ist keine Schriftform bzw. schriftliche Bestellung erforderlich - anders als früher bei der Bestellung eines Datenschutzbeauftragten nach § 4 f BDSG a.F.; hier verlangte das Gesetz ausdrücklich die Schriftform.
Praxistipp: Aus Beweisgründen und zur Rechtsklarheit ist eine schriftliche Bestellung des Datenschutzbeauftragten jedoch weiterhin zu empfehlen.
Muss eine Meldung des Datenschutzbeauftragten an die Aufsichtsbehörde erfolgen?
Eine Neuerung der DSGVO ist die Pflicht des Verantwortlichen oder Auftragsverarbeiter die Kontaktdaten ihres Datenschutzbeauftragten der zuständigen Aufsichtsbehörde zu melden, Art. 37 Abs. 7 DSGVO. Einige Landesdatenschutzbehörden bieten für die Meldung des Datenschutzbeauftragen eine Onlinemeldung an.
Muss der Datenschutzbeauftragte Schulungen einleiten?
Personenbezogene Daten sind ein kostbares Gut. Deshalb werden sie auch durch die Gesetzgebung besonders geschützt. Das bedeutet: Alle Mitarbeiter, die in Ihrem Unternehmen mit personenbezogenen Daten, beispielsweise von Kunden, Lieferanten, Kollegen oder Bewerbern arbeiten, haben die DSGVO sowie nationale Vorschriften, Gesetze und entsprechende Richtlinien und Regelungen des Unternehmens einzuhalten! Mit einem e-Training können Sie alle Mitarbeiter zu diesem sensiblen Thema schulen und so die korrekte Behandlung von persönlichen Daten in Ihrem Unternehmen sicherstellen.