Datenschutz ist längst kein Thema mehr, dem sich ein Unternehmen/Verein/Selbstständiger einfach entziehen oder es ignorieren kann. Spätestens ab dem 25. Mai 2018, wenn die EU-Datenschutz-Grundverordnung (DSGVO) ihre Geltung erlangt, sollte sich jeder Verantwortliche darüber im Klaren sein, dass  die anfallenden Bußgelder bei Datenschutzverstößen von maximal 300.000€ auf bis zu 20.000.000€ oder 4% des weltweiten Jahresumsatzes eines Unternehmens, je nachdem welcher Wert höher ist, ansteigen. Außerdem sieht die EU-Datenschutz-Grundverordnung ausdrücklich vor, dass die verhängten Geldbußen wirksam, verhältnismäßig und abschreckend zu erteilen sind (Art. 83 Abs. 1 DSGVO). Wie genau diese „abschreckende“ Umsetzung aussehen wird, werden die ersten Urteile nach Inkrafttreten zeigen.

Häufiger Datenschutzverstoß ist das Fehlen eines Datenschutzbeauftragten.

Deshalb möchten wir uns im Folgenden der Frage annehmen, wer genau eigentlich einen Datenschutzbeauftragten bestellen muss.

Die Voraussetzungen zur Bestellpflicht eines Datenschutzbeauftragten sind nach aktueller Rechtslage in § 4f Bundesdatenschutzgesetz (BDSG) festgelegt. Dieser besagt, dass nicht-öffentlich Stellen (Unternehmen/Vereine/Selbstständige, …), die personenbezogene Daten automatisiert verarbeiten, genau dann einen Datenschutzbeauftragten bestellen müssen, wenn

  • in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind,
  • automatisierte Verarbeitungen vorgenommen werden, die einer Vorabkontrolle unterliegen, oder
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeitet werden.

Öffentliche Stellen haben einen Datenschutzbeauftragten zu bestellen, sobald sie personenbezogene Daten automatisiert verarbeiten.

DSGVO ersetzt BDSG ab dem 25.05.2018

Ab dem 25. Mai 2018 wird das Bundesdatenschutzgesetz in Deutschland kein geltendes Recht mehr sein. Es wird durch die EU-Datenschutz-Grundverordnung (DSGVO), und wenn diese es durch geeignete Öffnungsklauseln zulässt, das neue Bundesdatenschutzgesetz (BDSG-neu), abgelöst.

Die ab diesem Zeitpunkt geltenden Voraussetzungen zur Bestellung eines Datenschutzbeauftragten sind in Artikel 37 DSGVO und § 38 BDSG-neu festgelegt. Die EU-Datenschutz-Grundverordnung (DSGVO) sieht es vor, dass jeder Verantwortliche und Auftragsverarbeiter einen Datenschutzbeauftragten benennt, wenn

  • die Verarbeitung der personenbezogenen Daten von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
  • die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten (Gesundheitsdaten, biometrische Daten, …) besteht.

Diese Voraussetzungen werden durch das neue Bundesdatenschutzgesetz (BDSG-neu) weiter verschärft. Hier ist festgelegt, dass für nicht-öffentliche Stellen (Unternehmen/Vereine/Selbstständige, …) ein Datenschutzbeauftragter zu bestellen ist, wenn bei dem Verantwortlichen oder Auftragsverarbeiter

  • in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind,
  • Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung (DSFA) unterliegen, oder
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

BDSG – DSGVO: Die Unterschiede

Schlussendlich ist festzuhalten, dass das Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) und des neuen Bundesdatenschutzgesetzes (BDSG-neu) keine gravierenden Unterschiede zur Bestellpflicht eines Datenschutzbeauftragten mit sich bringt, da die Durchführungspflicht einer Vorabkontrolle nach § 4d BDSG vergleichbar mit der Durchführungspflicht einer Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO ist.

Um sicher zu gehen, wann genau eine Datenschutz-Folgenabschätzung durchzuführen ist, wird die Aufsichtsbehörde, nach Art. 35 Abs. 4 DSGVO, eine Liste der betreffenden Verarbeitungsvorgängen veröffentlichen.

Lediglich die zu verhängenden Bußgelder bei Verstößen gegen die DSGVO bzw. fehlendem Datenschutzbeauftragten sind erheblich, wie bereits erwähnt, von bis zu 300.000€ auf maximal 20.000.000€ oder 4% des weltweiten Jahresumsatzes eines Unternehmens, je nachdem welcher Wert höher ist, gestiegen. Daher sollte es als Verantwortlicher einer öffentlichen- oder nicht-öffentlichen Stelle gut überlegt sein, ob man trotz Pflicht zur Benennung eines Datenschutzbeauftragten, darauf verzichtet.

Wir halten es, angesichts der Risiken, für sinnvoll einen Datenschutzbeauftragten zu benennen. Sollten Sie sich für einen internen betrieblichen Datenschutzbeauftragten entscheiden, ist darauf zu achten, dass dieser auch entsprechend ausgebildet und in der Lage ist, seine Pflichten als Datenschutzbeauftragter wahrnehmen und erfüllen zu können.
Einfacher und kostengünstiger dagegen ist es in den meisten Fällen, einen externen Datenschutzbeauftragten zu bestellen. Ein weiterer Vorteil hierbei ist die Haftungsauslagerung an den externen Datenschutzbeauftragten.

Im Übrigen:
Auch Unternehmen, die nicht verpflichtet sind einen Datenschutzbeauftragten zu bestellen, müssen dennoch die meisten Anforderungen der DSGVO, beispielsweise die Erstellung  einer Übersicht der Verarbeitungstätigkeiten, einhalten.

Wir beraten Sie gern!

Wenn Sie nun festgestellt haben, dass Ihr  Unternehmen in der Pflicht ist einen Datenschutzbeauftragten zu benennen oder schlicht eine Beratung benötigen, wie Sie die neuen Anforderungen der DSGVO in Ihrem Unternehmen umsetzen können, stehen wir Ihnen gern zur Verfügung. Rufen Sie uns an oder kontaktieren uns über das Kontaktformular, um einen ersten Kennenlern- und Beratungstermin zu vereinbaren.
Gern können Sie auch über die sozialen Netzwerke oder per E-Mail mit uns Kontakt aufnehmen.

Ihr Name

Ihre E-Mail-Adresse (Pflichtfeld)

Betreff

Ihre Nachricht

Mit der Nutzung dieses Formulars erklären Sie sich mit der Speicherung und Verarbeitung Ihrer Daten durch diese Website einverstanden.