Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier

Benennung eines Datenschutzbeauftragten

Wer muss einen Datenschutzbeauftragen (DSB) benennen, wer nicht? Selbst wenn keine Pflicht zur Benennung besteht: Kann es trotzdem sinnvoll sein, einen DSB zu berufen?

Datenschutzbeauftragter: Pflicht zur Benennung

Die Pflicht zur Benennung eines oder einer Datenschutzbeauftragten (DSB) ergibt sich für Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO und für Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO aus der Datenschutz-Grundverordnung (DSGVO) bzw. aus dem sie ergänzenden Bundesdatenschutzgesetz (BDSG).

Jeder Verantwortliche bzw. Auftragsverarbeiter muss dabei eigenständig prüfen, ob für ihn eine solche Pflicht besteht.

➜ Einen Datenschutzbeauftragten benennen

Gratis
Wann muss ich einen Datenschutzbeauftragten benennen?
Bild: iStock.com / #Urban-Photographer
Datenschutz organisieren

Mit den neuesten Gesetzesanpassungen haben sich die Vorgaben an die Mitarbeiterzahl geändert, ab wann ein Datenschutzbeauftragter (DSB) zu benennen ist. Doch die Zahl der Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist nicht das einzige Kriterium.

Benennung des Datenschutzbeauftragten

Vor einem Jahr erhöhte der Gesetzgeber im Bundesdatenschutzgesetz (BDSG) die Zahl der Mitarbeitenden, ab der Unternehmen einen Datenschutzbeauftragten benennen müssen. Die Ruhr-Universität Bochum untersuchte im Rahmen einer Umfrage und im Auftrag des BvD und der Zeitschrift Datenschutz PRAXIS die Folgen. Hier die Ergebnisse.

Gratis
Umfrage: Folgen der geänderten Benennungspflicht
Bild: iStock.com / Urban Photographer
BDSG 2019

Bürokratie-Abbau oder Abbau von Sachverstand? Die Anhebung der Mitarbeiter-Zahl, ab der Unternehmen einen Datenschutzbeauftragten benennen müssen, hat für Diskussionen gesorgt. Welche Auswirkungen hat das 2019 geänderte BDSG? Das möchten BvD und Datenschutz PRAXIS in einer gemeinsamen, anonymen Umfrage herausfinden.

Die DSGVO bringt einige Änderungen auch in puncto Datenschutzbeauftragter. Was ist nun inhaltlich zu beachten? Das Muster zeigt eine mögliche Form der Bestellung.

Gratis
Einen DSB benennen und melden – was gilt es zu beachten?
Bild: iStock.com / #Urban-Photographer
Stellung des DSB

Wenn es darum geht, eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen und der Aufsicht zu melden, ist mitnichten alles klar. Wir beantworten einige offene Fragen.

DP+
Neu als DSB –  Auftakt und erste Schritte
Bild: iStock.com / PonyWang
Ihr Fahrplan für die ersten Wochen

„Herzlichen Glückwunsch! Sie sind der/die neue Datenschutzbeauftragte der abc-GmbH! Wann können Sie loslegen, und womit beginnen wir?“ Hören Sie das, haben Sie den interessantesten Job der Welt angetreten ...

DP+
Gemeinsamer DSB im öffentlichen Bereich
Bild: iStock.com / #Urban-Photographer
Ein erfolgreiches Modell

Die DSGVO brachte viele kleinere und mittlere Kommunen in Unruhe: Wieder eine neue Last, die Brüssel auf ihre Schultern legt. Jetzt benötigt auch die kleinste Verwaltung einen Datenschutzbeauftragten. Zwingend! Ohne Ausnahme! Die Lösung: ein gemeinsamer DSB.

Was ist genau zu tun?

Mit der DSGVO müssen mehr Unternehmen einen DSB benennen, der u.a. die Datenverarbeitungsprozesse überwacht. Doch mit der bloßen Benennung im „Verborgenen“ ist es nicht ganz getan.

Gratis
Die Bestellung zum Datenschutzbeauftragten
Bild: SvetaZi / iStock / Thinkstock
Fallstricke der Vertragsgestaltung

Wie hat zukünftig nach DSGVO eine Benennung zum DSB formal korrekt abzulaufen, und was ist inhaltlich zu beachten? Der Beitrag zeigt dies am Beispiel eines DSB, der als Arbeitnehmer beschäftigt ist und neben der Tätigkeit als DSB andere Arbeiten zu verrichten hat.

1 von 1

Wer muss im nicht-öffentlichen Bereich Datenschutzbeauftragte benennen?

Im nicht-öffentlichen Bereich sind üblicherweise folgende natürliche und juristische Personen zu einer DSB-Benennung verpflichtet:

  • natürliche Personen, die als freie Unternehmer, Handwerker und Kaufleute bzw. als Selbständige tätig sind (z.B. Handelsunternehmen, Rechtsanwälte, Steuerberater, Ärzte, Apotheker, Handwerks- oder Industriebetriebe)
  • juristische Personen, etwa GmbHs, Kommanditgesellschaften, Aktiengesellschaften, eingetragene Vereine, rechtsfähige Stiftungen des bürgerlichen Rechts
  • Personengesellschaften, beispielsweise eine Offene Handelsgesellschaft, Kanzleien, die als Partnerschaftsgesellschaften firmieren, oder Gesellschaften des bürgerlichen Rechts
  • nicht rechtsfähige Vereinigungen (Parteien, Vereine, Gewerkschaften oder Berufsverbände)

Wer muss im öffentlichen Bereich Datenschutzbeauftragte benennen?

Behörden bzw. öffentliche Stellen sind – mit Ausnahme der Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln – nach Art. 37 Abs. 1 Buchstabe a DSGVO immer zur Benennung eines Datenschutzbeauftragten verpflichtet.

6 Fälle: Wer muss immer einen DSB benennen?

Zusammengefasst lassen sich aufgrund der Regelungen von Art. 31 Abs. 1 DSGVO und § 38 BDSG folgende sechs Fälle identifizieren, in denen immer ein behördlicher oder betrieblicher Datenschutzbeauftragter zu benennen ist:

  1. Eine öffentliche Stelle oder Behörde ist Verantwortlicher (Art. 37 Abs. 1 Buchstabe a DSGVO).
  2. Der Verantwortliche oder Auftragsverarbeiter führt als Kerntätigkeit Verarbeitungen durch, die im Wesentlichen die umfangreiche und systematische Überwachung der betroffenen Personen zum Gegenstand haben (Art. 37 Abs. 1 Buchstabe b DSGVO).
  3. Der Verantwortliche oder Auftragsverarbeiter führt als Kerntätigkeit Verarbeitungen durch, die im Wesentlichen die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder strafrechtlicher Verurteilungen der betroffenen Personen zum Gegenstand haben (Art. 37 Abs. 1 Buchstabe c DSGVO).
  4. Mindestens zwanzig Personen sind regelmäßig bei dem Verantwortlichen oder dem Auftragsverarbeiter mit der automatisierten Verarbeitung personenbezogener Daten befasst (§ 38 Abs. 1 Satz 1 BDSG).
  5. Die vom Verantwortlichen oder Auftragsverarbeiter durchgeführten Verarbeitungen unterliegen einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO (Art. 38 Abs. 1 Satz 2, 1. Halbsatz BDSG).
  6. Der Verantwortliche oder Auftragsverarbeiter verarbeitet Daten geschäftsmäßig für Zwecke der Übermittlung, der anonymisierten Übermittlung oder der Marktforschung (§ 38 Abs. 1 Satz 2, 2. Halbsatz BDSG).

1. DSB-Benennungspflicht für Behörden oder öffentliche Stellen

Wie bereits oben ausgeführt, sind Behörden bzw. öffentliche Stellen nach Art. 37 Abs. 1 Buchstabe a DSGVO immer zur Benennung eines Datenschutzbeauftragten verpflichtet. Eine Ausnahme besteht für Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln.

Wer ist Behörde oder öffentliche Stelle?

Wer letztlich als „Behörde“ und „öffentliche Stelle“ einzuordnen ist, richtet sich nach deutschem Recht (siehe dazu auch erläuternd das WP 243 vom 13. Dezember 2016 der Art. 29 Working Group, der unabhängigen Arbeitsgruppe der europäischen Datenschutzaufsichtsbehörden auf Europäischer Ebene, das sich mit dieser Thematik ausführlich befasst).

Hier ist auf Ebene des Bundes regelmäßig Bundesrecht und auf Ebene der Länder das jeweilige Landesrecht maßgeblich.

Üblicherweise wird eine „öffentliche Stelle“ wie folgt definiert: Öffentliche Stellen sind Behörden, Einrichtungen oder sonstige Stellen des Landes, der Gemeinden und Gemeindeverbände bzw. sonstige der Aufsicht des Landes unterstehende juristische Personen des öffentlichen Rechts sowie deren Vereinigungen – unabhängig von deren Rechtsform (siehe dazu insbesondere § 2 BDSG).

Damit lassen sich auch juristische Personen, an denen z.B. eine Stadt oder Gemeinde mehrheitlich beteiligt ist und die hoheitliche Aufgaben der öffentlichen Verwaltung wahrnimmt (z.B. Verkehrsbetriebe, öffentlich-rechtlicher Rundfunk oder Energieversorger) als öffentliche Stellen, die dem Landesrecht unterliegen, einordnen.

Nehmen die öffentlichen Stellen hingegen als Unternehmen mit eigener Rechtspersönlichkeit am Wettbewerb teil, gelten für sie üblicherweise die Regelungen für nicht-öffentliche Unternehmen (Ausnahme ggf. Zweckverbände).

Benennungspflicht für Datenschutzbeauftragte auch nach BDSG / LDSG

Klarstellend sieht § 5 BDSG vor, dass für die öffentlichen Stellen, für die das BDSG gilt (z.B. Bundesbehörden, siehe § 1 BDSG), die Pflicht besteht, einen Datenschutzbeauftragten zu benennen. Zudem dürfen diese – entsprechend DSGVO – einen gemeinsamen Datenschutzbeauftragten bestellen. Nach § 5 i.V.m. § 2 Abs. 5 BDSG gilt die Pflicht auch für öffentliche Stellen, die am Wettbewerb teilnehmen.

Gleiches ergibt sich aus den jeweiligen Landesrechten.

2. DSB-Benennungspflicht aufgrund der Kerntätigkeit „umfangreiche und systematische Überwachung“

Die Pflicht, einen Datenschutzbeauftragten zu benennen, hängt gemäß Art. 37 Abs. 1 Buchstabe b und c DSGVO von den Kerntätigkeiten des Unternehmens ab (siehe dazu auch erläuternd das WP 243 der Art. 29 Working Group). Dabei ist es unerheblich, ob es sich um einen Verantwortlichen oder um einen Auftragsverarbeiter handelt.

Wenn das Unternehmen als Kerntätigkeit

  • betroffene Personen umfangreich und regelmäßig überwacht oder
  • umfangreiche Mengen besonderer personenbezogener Daten bzw. von Daten über strafrechtliche Verurteilungen oder Straftaten verarbeitet,

ist in der Regel davon auszugehen, dass es einen Datenschutzbeauftragten benennen muss.

Was ist eine Kerntätigkeit?

Der Begriff der Kerntätigkeit bezieht sich dabei auf die Haupttätigkeit des Unternehmens. Die Verarbeitung muss daher primärer Geschäftszweck des Unternehmens sein bzw. das Unternehmen kann den Geschäftszweck nicht ohne die Verarbeitung erreichen. Die Kerntätigkeit muss das Unternehmen quantitativ oder qualitativ prägen.

Bei der Beurteilung sollten Verantwortliche  insbesondere prüfen, welche Tätigkeiten letztlich dem Erfolg, dem Geschäftszweck bzw. der Unternehmensstrategie dienen und diese prägen.

Erzielt ein Unternehmen mit der jeweiligen Tätigkeit einen wesentlichen Anteil am Unternehmenserfolg, gehört sie in der Regel zur Kerntätigkeit.

So wird ein Krankenhaus zwar in erster Linie Patienten zur Erfüllung der Aufgaben der Gesundheitsvorsorge behandeln, und das auch mit Gewinnerzielungsabsicht. Zwingend erforderlich ist dabei allerdings auch die Verarbeitung der Daten der Patienten, da es ansonsten keine Gesundheitsvorsorge leisten kann. Im Ergebnis sind daher z.B.

  • Krankenhäuser, die regelmäßig Patientendaten verarbeiten,
  • große Anwaltskanzleien,
  • Unternehmen, die die Internetaktivitäten von Nutzern im großen Stil tracken und Profile bilden, oder auch
  • private Sicherheitsunternehmen, die umfassende Videoüberwachungen in Shopping-Centern vornehmen,

zur Benennung verpflichtet.

Was heißt „umfangreiche regelmäßige und systematische Überwachung“?

Nach Erwägungsgrund 24 der DSGVO soll eine „Beobachtung des Verhaltens von betroffenen Personen“ jedenfalls dann vorliegen, wenn Personen im Internet verfolgt oder Profile im Sinn von Art. 22 DSGVO von ihnen erstellt werden. Damit sind Unternehmen, die Analyse- oder Trackingtools im Internet einsetzen oder damit E-Mail-Werbung auf Erfolg kontrollieren, regelmäßig als „Überwacher“ tätig.

Eine Überwachung ist jedoch nicht nur im Online-Bereich möglich. So werden Überwachungstätigkeiten durch das Unternehmen wie z.B. der Betrieb eines Telekommunikationsnetzes, die standortbasierte Überwachung, die Prüfung der Kreditwürdigkeit, die Verarbeitung von Daten mittels Treueprogrammen, der Einsatz von intelligenten Stromzählern, das Angebot von Fitnessarmbändern oder die Kontrolle der Tätigkeiten von Mitarbeitern an Maschinen regelmäßig als relevante Verarbeitungen zu erachten sein, die letztlich eine Benennungspflicht auslösen.

Kriterien für die „Regelmäßigkeit“

Laut WP 243 soll eine Regelmäßigkeit gegeben sein, wenn mindestens eines der folgenden Kriterien vorliegt:

  • Die Überwachung erfolgt fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums.
  • Sie erfolgt immer wieder bzw. wiederholt zu bestimmen Zeitpunkten.
  • Sie erfolgt ständig oder findet regelmäßig statt.

Kriterien für eine „systematische“ Überwachung

Eine systematische Überwachung soll dann vorliegen, wenn mindestens eines der folgenden Kriterien erfüllt ist:

  • Die Überwachung kommt systematisch vor.
  • Sie erfolgt vereinbart, organisiert oder methodisch.
  • Sie erfolgt im Rahmen eines festgelegten Prozesses, der exakt die Verarbeitung bzw. die Erhebung von Daten zum Gegenstand hat.
  • Ihr liegt eine bestimmte Strategie zugrunde.

„Umfangreiche“ Überwachung

Der maßgebliche Umfang der Überwachung kann sich auch aus der schlichten Anzahl der betroffenen Personen, deren Daten genutzt werden, oder aus der Laufzeit der Überwachung ergeben.

Eine permanente Überwachung von z.B. Nutzern öffentlicher Verkehrsmittel mittels Videokameras ist daher im Ergebnis anders zu beurteilen als eine kurzfristige Überwachung, die einmalig zur Aufklärung einer aktuellen Einbruchserie erfolgt (siehe für weitere Beispiele ausführlich das WP 243 der Art. 29 Working Group oder auch die Erwägungsgründe 97, 91 und 24 DSGVO).

Allgemeine Prüfkriterien für die „umfangreiche“ Verarbeitung

Die Art. 29 Working Group empfiehlt folgende Kriterien für eine Prüfung, ob ein Datenschutzbeauftragter nach Art. 37 Abs. 1 Buchstabe b und c DSGVO aufgrund des Umfangs der Verarbeitung zu benennen ist (siehe auch Erwägungsgrund 91 DSGVO im Zusammenhang mit der Datenschutz-Folgenabschätzung):

  • Anzahl der betroffenen Personen
  • Menge der betroffenen Datensätze / Vielzahl der Datenverarbeitungsprozesse
  • Dauer oder Permanenz der Datenverarbeitung
  • geografische Reichweite der Datenverarbeitung (regional, national oder international)

Werden zwei oder mehr Punkte bejaht, soll eine umfangreiche Verarbeitung vorliegen. Hier sollten Verantwortliche im Einzelfall prüfen, ob die Vorgaben erfüllt sind. Mmangels Konkretisierung besteht hier ein gewisser Interpretationsspielraum.

3. DSB-Benennungspflicht aufgrund der Kerntätigkeit „Besondere personenbezogene Daten / strafrechtliche Verurteilung“

Nach Art. 37 Abs. 1 Buchstabe c DSGVO besteht eine Pflicht zur Benennung eines oder einer Datenschutzbeauftragten, wenn

  • als Kerntätigkeit
  • umfangreiche Mengen
  • besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO bzw. von Daten über strafrechtliche Verurteilungen oder Straftaten

verarbeitet werden.

„Kerntätigkeit“ als ein Kriterium

Gerade bei der Verarbeitung von Gesundheitsdaten besteht Unsicherheit, ob z.B. Optiker, Apotheker oder kleinere Arztpraxen ebenfalls zur Benennung eines Datenschutzbeauftragten verpflichtet sind.

Hier wird z.B. als Argument für eine Benennung angeführt, das sich jedenfalls dann, wenn eine rechtliche Pflicht zur Dokumentation der jeweiligen Daten besteht, von einer Kerntätigkeit ausgehen lässt. Diese besteht z.B. für Ärzte, Apotheken, Krankenhäuser, Physiotherapeuten, Betreiber von Senioren- und Pflegeheimen, Betreiber von medizinischen Laboren und Psychologen, aber nicht für Optiker, Fitness-Center, Hörgeräteakustiker oder Zahntechniker. Für letztere entfällt daher die Pflicht, Datenschutzbeauftragte zu benennen, auf Grundlage von Art. 31 Abs. 1 Buchstabe c DSGVO.

„Umfangreiche Mengen“ als weiteres Kriterium

Erwägungsgrund 91 DSGVO sieht im Zusammenhang mit der Datenschutz-Folgenabschätzung vor, dass z.B. die Verarbeitung von personenbezogenen Daten von betroffenen Personen durch nur einen Arzt oder nur einen Rechtsanwalt keine Datenschutz-Folgenabschätzung nach sich ziehen soll, da keine umfangreiche Verarbeitung von Daten vorliege.

Diese Bewertung lässt sich auch für die Beurteilung der umfangreichen Verarbeitung im Rahmen der Benennungspflicht heranziehen: Eine Verarbeitung von Patientendaten durch einen Arzt ist daher anders zu beurteilen als die Verarbeitung durch eine Großpraxis.

Während Letztere viele Patienten mit vielen Datensätzen betreut, ist das im ersten Fall nicht immer gegeben. Daher kann die Benennungspflicht für einen einzelnen Arzt entfallen. Das gilt entsprechend für Rechtsanwälte, siehe dazu insbesondere den Beschluss der Datenschutzkonferenz vom 26. April 2018, abrufbar u.a. unter https://www.datenschutz-bayern.de/dsbk-ent/DSK_95-DSB-Bestellpflicht.pdf.

4. DSB-Benennungspflicht aufgrund der Mitarbeiterzahl

Mindestens 20 Mitarbeiterinnen und Mitarbeiter

Nach § 38 Abs. 1 Satz 1 BDSG sind Unternehmen, die in der Regel mindestens zwanzig Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen, zur Benennung eines oder einer Datenschutzbeauftragten verpflichtet.

Der Gesetzgeber hat mit der Erhöhung der Zahl im November 2019 von zehn auf zwanzig Mitarbeitenden den Bedenken kleinerer Vereine, Handwerksbetriebe etc. Rechnung getragen, die Erleichterungen, Kostenersparnisse und Abbau von Bürokratie erreichen wollten.

Gleichwohl müssen sie die Anforderungen der DSGVO umsetzen; damit bleiben die Risiken aus Verstößen gegen die DSGVO für diese Betriebe gleich hoch wie bisher bzw. sie müssen nun die Anforderungen lediglich ohne Unterstützung eines offiziell benannten Datenschutzbeauftragten umsetzen.

Bestimmung der Anzahl: Wer ist Mitarbeiter?

Bei der Bestimmung der Anzahl der Mitarbeiter ist zu berücksichtigen, dass hierunter auch Praktikanten, Leiharbeitnehmer, Auszubildende, freie Mitarbeiter und Teilzeitmitarbeiter fallen.

Bestimmung der Anzahl: Was bedeutet „in der Regel“ und „ständig“?

„In der Regel“ beschäftigt das Unternehmen ein gewisse Anzahl Mitarbeiter mit der Datenverarbeitung, wenn über eine gewisse Zeitdauer diese Anzahl erreicht wird. Hier sollen kurzfristige Schwankungen der Anzahl unberücksichtigt bleiben. Sobald die Anzahl im Jahresmittel / Durchschnitt die gesetzlich vorgegebene Regelzahl erreicht, ist die Benennung eines DSB erforderlich.

„Ständige“ Verarbeitung bedeutet, dass die Verarbeitung wesentlicher Gegenstand der Tätigkeit ist und dass nicht nur eine kurzfristige Übernahme einer solchen Tätigkeit (z.B. im Rahmen der Urlaubsvertretung) erfolgt.

Automatisierte Verarbeitung

In der Praxis verarbeitet fast jede Abteilung im Unternehmen personenbezogene Daten. Die Buchhaltung verarbeitet die Daten der Mitarbeiter oder auch der Rechnungsempfänger, die IT-Abteilung verarbeitet Daten bei Wartung der Systeme oder die Geschäftsführung die Daten der Kunden und Mitarbeiter.

Nur dann, wenn Beschäftigte z.B. ausschließlich handwerklich tätig sind und Daten nur (ungeordnet!) auf Papier erhalten, fallen sie aus dem Anwendungsbereich. Nutzt aber andererseits beispielsweise ein Monteur ein Smartphone oder Tablet, um Aufträge abzuwickeln, gilt er als Mitarbeiter, der automatisiert Daten verarbeitet. In diesem Fall ist er dazuzuzählen.

Da heute Daten überwiegend automatisiert verarbeitet werden, werden in fast jedem Unternehmen die Voraussetzungen vorliegen, um einen Datenschutzbeauftragten benennen zu müssen.

5. DSB-Benennungspflicht aufgrund der Notwendigkeit einer Datenschutz-Folgenabschätzung

Ist das Unternehmen verpflichtet, nach Art. 35 DSGVO eine Datenschutz-Folgenabschätzung durchzuführen, besteht automatisch eine Pflicht zur Benennung eines Datenschutzbeauftragten, § 38 Abs. 1 Satz 2, 1. Halbsatz BDSG.

Das ist insbesondere der Fall, wenn die Verarbeitung zu hohen Risiken für die Betroffenen führen kann, da bei ihr neue Technologien verwendet werden oder ihre Art, der Umfang, die Umstände oder der Zweck als kritisch zu erachten sind.

Hier muss das Unternehmen zunächst eine Risikoanalyse betreffend die Erforderlichkeit der Datenschutz-Folgenabschätzung durchführen, siehe dazu u.a. weiterführend z.B. die Leitlinien der Art. 29 Working Group.

Ist die Datenschutz-Folgenabschätzung erforderlich, muss auch ein Datenschutzbeauftragter benannt werden.

6. DSB-Benennungspflicht aufgrund einer geschäftsmäßigen Verarbeitung

Alle Stellen, die personenbezogene Daten geschäftsmäßig verarbeiten, z.B. Adresshändler, Wirtschaftsauskunfteien sowie Markt- und Meinungsforschungsinstitute, müssen per Gesetz, § 38 Abs. 1 Satz 2, 2. Halbsatz BDSG, einen Datenschutzbeauftragten benennen.

Freiwillige Benennung eines / einer Datenschutzbeauftragten

Verantwortliche oder Auftragsverarbeiter können Datenschutzbeauftragte auch freiwillig benennen. In diesem Fall finden jedenfalls die Art. 37–39 DSGVO betreffend die Benennung, Stellung, Pflichten und Aufgaben des Datenschutzbeauftragten Anwendung.

Nach § 38 Abs. 2 BDSG finden bei einer freiwilligen Benennung allerdings für nicht-öffentliche Unternehmen die dort festgelegten Privilegien zum z.B. Abberufungsschutz keine Anwendung. Diese greifen nur bei der verpflichtenden Benennung.

Sofern die Parteien gleichwohl einen entsprechenden Schutz vereinbaren möchten, sollten sie das schriftlich in dem zwischen den Parteien im Rahmen der Benennung zu schließenden Vertrag (der sich in diesen Fällen noch mehr empfiehlt) dokumentieren.

Ziel: Datenschutzrechtliche Compliance

Eine solche freiwillige Benennung empfiehlt sich daneben, um Risiken zu minimieren. Unternehmen müssen – auch wenn sie nicht verpflichtet sind, einen DSB zu benennen – gleichwohl die Regelungen der DSGVO einhalten.

In der Praxis zeigt sich häufig, dass nur dort, wo eine regelmäßige Prüfung der Einhaltung des Datenschutzes tatsächlich erfolgt bzw. ein kompetenter Ansprechpartner für alle Fragen in diesem Zusammenhang zur Verfügung steht und die Einhaltung des Datenschutzrechts vorantreibt, die datenschutzrechtliche Compliance auch wirksam umgesetzt bzw. eingehalten wird.

Auch in einem kleinen Unternehmen mit wenigen Beschäftigten, die Daten regelmäßig automatisiert verarbeiten, sollte ein Mindestmaß an Schutzstandards im Umgang mit Kunden- und Mitarbeiterdaten eingehalten werden. Insofern kann sich – wenn intern kein Beschäftigter zur Verfügung steht, der diese Aufgabe übernimmt – die Benennung eines externen Datenschutzbeauftragten empfehlen. Hier gibt es inzwischen vielfältige Angebote in den unterschiedlichsten Preisklassen.

Konzern-Datenschutzbeauftragter und gemeinsamer Datenschutzbeauftragter

Unternehmensgruppen bzw. Konzerne können nach DSGVO einen gemeinsamen Datenschutzbeauftragten ernennen, sofern er leicht erreichbar für die einzelnen Unternehmen bzw. Niederlassungen ist (Art. 37 Abs. 2 DSGVO). Laut Art. 4 Nr. 19 DSGVO ist eine Unternehmensgruppe „eine Gruppe, die aus einem herrschenden und den von diesem abhängigen Unternehmen“ besteht.

Leichte Erreichbarkeit wird wohl nicht so zu verstehen sein, dass er „per E-Mail“ aus allen EU-Mitgliedstaaten erreichbar ist, sondern tatsächlich persönlich als Anlaufstelle innerhalb kurzer Zeit zur Verfügung steht. Er muss zudem jedem Mitarbeiter bzw. Betroffenen im Konzern bekannt sein und eine leichte Kommunikationsmöglichkeit z.B. über eine Hotline anbieten.

Das gilt auch hinsichtlich seiner Erreichbarkeit für die Datenschutz-Aufsichtsbehörden oder andere Dritte bzw. betroffene Personen. Hier fordern die -Aufsichtsbehörden, dass er auch in den jeweiligen Landessprachen, die die Aufsichtsbehörden und die Betroffenen sprechen, kommunizieren kann (siehe dazu das WP 243 der Art. 29 Working Group). Ob damit die Benennung eines Englisch sprechenden Konzern-Datenschutzbeauftragten ausreichend sein wird, darf zumindest bezweifelt werden.

Zudem muss ein Konzern-Datenschutzbeauftragter genügend Zeit haben, um seine Aufgaben zu erfüllen. Damit wird diese Aufgabe wohl nur ein Vollzeit-Datenschutzbeauftragter übernehmen können.

Neben der Vollzeit-Tätigkeit wird sich auch aufgrund sprachlicher Grenzen und der von der DSGVO geforderten Fristen (z.B. Meldung von Datenschutzvorfällen innerhalb von 72 Stunden nach Kenntnisnahme) nicht vermeiden lassen, dass der Konzern-Datenschutzbeauftragte in den jeweiligen Ländern von Datenschutzkoordinatoren oder nationalen Datenschutzbeauftragten unterstützt wird: Sofern bei ihm europa- oder sogar weltweit alle Begehren zusammenlaufen, wird dies in der Praxis nur mit einem großen Mitarbeiterstab zu bewältigen sein.

Gemeinsamer Datenschutzbeauftragter für Behörden

Entsprechendes gilt für Behörden: Nach Art. 37 Abs. 3 DSGVO können sie auch einen gemeinsamen Datenschutzbeauftragten bestellen; dabei sind ihre Organisationsstruktur und ihre Größe zu berücksichtigen. Hier werden wohl grundsätzlich die gleichen Anforderungen wie beim nicht-behördlichen Konzern-Datenschutzbeauftragten zu erfüllen sein.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.