Gerade vor dem Hintergrund der in Kürze in Kraft tretenden Datenschutzgrundverordnung (DS-GVO) der EU (Lesen Sie hierzu auch unseren Artikel „Die Datenschutzgrundverordnung (DS-GVO) – Das müssen Sie für die Umsetzung wissen„) und des Datenschutz- Anpassungs- und -Umsetzungsgesetzes (DSAnpUG) beziehungsweise des Bundesdatenschutzgesetz in seiner neuen Fassung (BDSG nF), sollten sich vor allem Unternehmen, aber auch Freiberufler und Vereine darüber informieren, ob sie einen Datenschutzbeauftragten benennen müssen und welche Aufgaben dieser zu erfüllen hat.

Wir möchten Ihnen an dieser Stelle die Kriterien für eine Benennungsverpflichtung erläutern, den Aufgabenbereich des Datenschutzbeauftragten beleuchten und darlegen, welche Vor- und Nachteile die Benennung eines in- beziehungsweise externen Datenschutzbeauftragten mit sich bringen.

HIER MEHR INFORMATIONEN ERHALTEN

Machen Sie Ihr Unternehmen fit für die DS-GVO.

Wir beraten bundesweit und stellen Datenschutzbeauftragte. Rufen Sie uns an: 0221-80067680.
HIER MEHR INFORMATIONEN ERHALTEN

Inhalte dieser Seite

1. Wer muss einen Datenschutzbeauftragten benennen? – Kriterien nach der DS-GVO
1.1. Art. 37 Abs. 1 DS-GVO
1.2. § 38 Abs. 1 BDSG nF
1.3. Freiwillige Benennung
1.4. Anforderungen an den Datenschutzbeauftragten
1.5. Welche Aufgaben erfüllt der Datenschutzbeauftragte?
1.6. Interner oder externer Datenschutzbeauftragter?
2. Die wesentlichen Vor- und Nachteile in der Übersicht:
3. Was wir für Sie tun können

1. Wer muss einen Datenschutzbeauftragten benennen? – Kriterien nach der DS-GVO

1.1. Art. 37 Abs. 1 DS-GVO

Nach Art. 37 Abs. 1 DS-GVO sind Unternehmen und deren Auftragsverarbeiter dazu verpflichtet einen Datenschutzbeauftragten zu benennen, wenn

  • die Kerntätigkeit des Unternehmens oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (lit. b),
  • oder die Kerntätigkeit des Unternehmens oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten (gem. Art. 9 DS-GVO) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht (lit. c).
Viele Unternehmen benötigen nun einen Datenschutzbeauftragten

Haben Sie Fragen zur Datenschutzgrundverordnung? Dann rufen Sie uns an unter ☎ 0221 800 676 80.

Kerntätigkeit“ meint in diesem Zusammenhang Geschäftsbereiche, die für die Umsetzung der Unternehmensstrategie entscheidend sind und nicht bloß routinemäßige Verwaltungsaufgaben sind.
Demnach ist bspw. der Betrieb eines Werbenetzwerkes, in dem personenbezogene Daten zur Auslieferung von Werbung analysiert werden als Kerntätigkeit zu qualifizieren.
Werden neben dem Kerngeschäft des Vertriebes von Waren Kundendaten analysiert, um Produktvorschläge geben zu können, stellt dies in der Regel keine Kerntätigkeit dar.

Hinsichtlich lit. b können Arten, Umfänge oder Zwecke, die eine umfangreiche Überwachung erfordern, entweder durch eine große Zahl von Betroffenen (hier ist auf 5.000 betroffene Personen innerhalb eines Jahres abzustellen), eine hohe Menge an verarbeiteten Daten, eine großen geographische Reichweite der Datenerfassung oder eine lange Dauer der Beobachtung und Speicherung vorliegen; wobei immer die Gesamtumstände betrachtet werden müssen.

Durch den Begriff der Regelmäßigkeit werden hier jedenfalls einmalige Vorgänge ausgeschlossen.

Weiterhin wird vorausgesetzt, dass die Überwachung „systematisch“ erfolgt. Gemeint ist hier die methodische Verwendung entsprechender Überwachungstechnik, wie sie etwa bei umfangreichen Profiling-Maßnahmen nötig sind.

So sind hierunter vor allem Scoring-Maßnahmen durchführende Auskunfteien und Detekteien, Unternehmen mit persönlich individualisierten Marketingstrategien, Social-Media-Plattformen, Video-Überwachungsunternehmen aber auch Versicherungsunternehmen, die zur Risikobeurteilung eine Überwachung der Versicherungsnehmer vornehmen in der Pflicht einen Datenschutzbeauftragten zu benennen.

Bezüglich lit. c ist – in Anbetracht einer fehlenden Konkretisierung – von einer umfangreichen Verarbeitung wohl nur auszugehen, wenn die Verarbeitung der entsprechenden Datenkategorien das übliche Maß bei Weitem übersteigt.

Sie kann sowohl dadurch begründet werden, dass viele Daten der genannten Art über wenige Betroffenen oder aber wenige Daten der genannten Art über viele Betroffene verarbeitet werden.

So sind hierunter vor allem Krankenhäuser, Labors und Arztpraxen, die genetische Daten verarbeiten, Beratungsstellen mit politischer, familiärer oder persönlicher Ausrichtung sowie Verkaufsstellen von Erotikartikeln in der Pflicht einen Datenschutzbeauftragten zu benennen.
Darunter fällt jedoch nicht die Verwaltung von Beschäftigten-Krankmeldungen der Personalabteilung.

Kommt der Verantwortliche oder sein Auftragsverarbeiter jedoch im Rahmen seiner Kerntätigkeit nur gelegentlich oder zufällig in Kontakt mit den betreffenden Datenkategorien, so besteht eine Pflicht zur Benennung eines Datenschutzbeauftragten diesbezüglich nicht.

HIER MEHR INFORMATIONEN ERHALTEN

Machen Sie Ihr Unternehmen fit für die DS-GVO.

Wir beraten bundesweit und stellen Datenschutzbeauftragte. Rufen Sie uns an: 0221-80067680.
HIER MEHR INFORMATIONEN ERHALTEN

1.2. § 38 Abs. 1 BDSG nF

Art. 37 Abs. 4 S. 1 Hs. 2 DS-GVO stellt klar, dass sich unabhängig vom Vorliegen einer Benennungspflicht nach Abs. 1 eine Pflicht zur Benennung auch aus nationalen Rechtsvorschriften ergeben kann. So fordert das BDSG in § 38 Abs. 1 seiner neuen Fassung zusätzlich zu den Bestimmungen der DS-GVO auch die Benennung eines Datenschutzbeauftragten, wenn

  • der Verantwortliche und der Auftragsverarbeiter in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. (S. 1)

Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, (S. 2)

  • die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen, (Alt. 1)
  • oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, (Alt. 2)

haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen.

Für die Anzahl von Personen nach Satz 1 ist sowohl ihre arbeitsrechtliche Stellung, als auch der Umfang ihrer Beschäftigung unerheblich, sodass Voll- und Teilzeitbeschäftigte, freie Mitarbeiter, Leiharbeitnehmer, Praktikanten, Volontäre und Auszubildende gleichermaßen von der Regelung erfasst werden.
Weiterhin ohne Belang ist hier, ob es sich um zehn regelmäßig wechselnde Mitarbeiter oder um eine feste Besetzung handelt.
Ebenfalls muss es sich lediglich „in der Regel“ um einen Kreis von zehn Personen handeln, sodass kurzzeitige Schwankungen der Anzahl unberücksichtigt bleiben.

Das Erfordernis eines Datenschutzbeauftragten aufgrund von Verarbeitungen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen, ergibt sich aus dem besonderen Gefahrenpotenzial, über das solche Verarbeitungen verfügen.
Hiervon sind solche Fälle betroffen, in denen sich voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen ergibt und aufgrund dessen auch eine besondere Schutzbedürftigkeit der Betroffenen gegeben ist.

Das Risikopotential betreffend Satz 1, Alt. 2 besteht unabhängig davon, ob es sich um eine personenbezogene oder anonymisierte Übermittlung handelt und ergibt sich aus zwei Kriterien:
Zum einen bedeutet die Geschäftsmäßigkeit der Datenverarbeitung eine gewisse Intensität,
zum anderen bringt der Übermittlungsvorgang in der Regel einen umfangreichen Empfängerkreis mit sich.
Um das Kriterium der Geschäftsmäßigkeit zu erfüllen, muss die Tätigkeit auf gewisse Dauer angelegt sein.

Zwecke der Markt- oder Meinungsforschung sind hierunter maßgeblich solche, die sich auf die Informationsgewinnung über Märkte oder auf die Ermittlung von Meinungen und Stimmungen in der Bevölkerung beziehen.

1.3. Freiwillige Benennung

Art. 37 Abs. 4 S. 1 Hs. 1 DS-GVO verdeutlicht zudem, dass über die bereits genannten Fälle hinaus auch die freiwillige Benennung eines Datenschutzbeauftragten möglich ist.
Dies kann insbesondere sinnvoll sein, um ein größeres Vertrauen der Kunden gegenüber dem eigenen Unternehmen zu schaffen.

1.4. Anforderungen an den Datenschutzbeauftragten

Art. 37 Abs. 5 DS-GVO definiert schließlich die wesentlichen Anforderungen, die an einen Datenschutzbeauftragten zu stellen sind.
Hiernach sind neben der beruflichen Qualifikation und der Fähigkeit zu Erfüllung der nachstehend benannten Aufgaben auch das Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis zu beachten.
Das Fachwissen soll sich auf die im Unternehmen durchgeführten Datenverarbeitungsvorgänge beziehen, sodass insbesondere bei der Verarbeitung von sensiblen Datenkategorien enorm hohe Anforderungen zu stellen sind.

1.5. Welche Aufgaben erfüllt der Datenschutzbeauftragte?

§ 7 Abs. 1 BDSG nF (Anwendung auf nichtöffentliche Stellen aufgrund Art. 38 Abs. 2 DS-GVO) enthält einen Aufgabenkatalog, der inhaltsgleich aus Art. 39 Abs. 1 DS-GVO übernommen wird. Dem Datenschutzbeauftragten obliegen hiernach zukünftig die folgenden Aufgaben:

 Die Datenschutzbeauftragten haben wichtige Aufgaben

Haben Sie Fragen zu den Aufgaben des Datenschutzbeauftragten? Dann rufen Sie uns an unter ☎ 0221 800 676 80.

a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;

b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

c) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;

d) Zusammenarbeit mit der Aufsichtsbehörde;

e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Zudem verlangt Art. 39 Abs. 2 DS-GVO, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung trägt, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Eine detaillierte Aufgabenbeschreibung wird sich allerdings regelmäßig erst unter Berücksichtigung der jeweiligen individuellen Geschäftsprozesse formulieren lassen.

Der Datenschutzbeauftragte sieht sich künftig also nicht nur mit einem erweiterten Aufgabenbereich konfrontiert, sondern wird mehr und mehr die Funktion einer Anlauf- und Beratungsstelle übernehmen.

Vor diesem Hintergrund wird deutlich, dass es fortan von essenzieller Bedeutung sein wird, einen Datenschutzbeauftragten für Ihr Unternehmen zu wählen, der die notwendige Kompetenz innehat.

HIER MEHR INFORMATIONEN ERHALTEN

Machen Sie Ihr Unternehmen fit für die DS-GVO.

Wir beraten bundesweit und stellen Datenschutzbeauftragte. Rufen Sie uns an: 0221-80067680.
HIER MEHR INFORMATIONEN ERHALTEN

1.6. Interner oder externer Datenschutzbeauftragter?

Nach Art. 37 Abs. 6 DS-GVO haben Verantwortliche weiterhin die Wahl entweder einem bereits im Unternehmen Beschäftigten oder aber einem externen Dienstleister auf Grundlage eines Dienstleistungsvertrags die Aufgabe des Datenschutzbeauftragten zu übertragen.

Bei dieser Entscheidung sind einige wesentliche Unterschiede insbesondere in den Bereichen der Kompetenz, der Haftung und des Kündigungsschutzes zu beachten:

Zunächst bedarf es zur Erfüllung der Aufgaben eines Datenschutzbeauftragten einer entsprechenden Expertise, die ein zertifizierter Datenschutzexperte als Dienstleister bereits mitbringt. Entscheidet sich ein Unternehmen dazu, einen Angestellten zum Datenschutzbeauftragten zu benennen, kommen meist zu dessen Lohn weitere, schwer kalkulierbare Kosten für Fortbildung, Literatur und andere Ausstattung hinzu.

Weiterhin sind auch die unterschiedlichen Haftungsregelungen mit in die Entscheidung einzubeziehen, da eine Verletzung der Vorschriften mitunter empfindliche Bußgelder mit sich bringt.
Während ein externer Datenschutzbeauftragter im Rahmen des Dienstleistungsvertrags für seine Beratung haftet und so das Risiko für das betreffende Unternehmen minimiert, gelten für einen internen Datenschutzbeauftragten bei Verletzungen die Grundsätze über innerbetrieblichen Schadensausgleich (beschränkte Arbeitnehmerhaftung), was regelmäßig die vollumfängliche Haftung der Geschäftsführung bewirkt.

Darüber hinaus wird es für interne Datenschutzbeauftragte auch zukünftig einen besonderen Kündigungsschutz geben, der eine Kündigung nur unter den besonderen Voraussetzungen des § 626 BGB ermöglicht und nach Abberufung auch für ein weiteres Jahr fortbesteht.
Externen Datenschutzbeauftragten hingegen kann fristgerecht gekündigt werden, was eine Abberufung deutlich vereinfacht.

Zwar spricht es für die Benennung eines Angestellten, dass diesem die Prozesse im Unternehmen bereits geläufig sind, jedoch kann das auch zu Betriebsblindheit und fehlender Neutralität in Konflikten führen. Ein externer Datenschutzbeauftragter wahrt demgegenüber regelmäßig nicht nur eine neutrale Position im Unternehmen, sondern auch nach Außen.

Zuletzt muss sich das betreffende Unternehmen auch im Klaren darüber sein, dass ein interner Datenschutzbeauftragter realiter weder seine Hauptbeschäftigung, noch seine datenschutzrechtlichen Aufgaben zu 100% erfüllen können wird.

2. Die wesentlichen Vor- und Nachteile in der Übersicht:

 Interner DatenschutzbeauftragterExterner Datenschutzbeauftragter
ExpertiseAus- bzw. Weiterbildungen notwendigsofortiger Zugriff auf umfangreiche Sachkunde und Erfahrung
Kostenzusätzlich zum Lohn schwer kalkulierbare Kosten für Fortbildung, Literatur und Ausstattungplanbare regelmäßige Zahlungen
Haftungbeschränkte Arbeitnehmerhaftung bzw. Haftung der GeschäftsführungHaftung für Beratung
GeschäftsprozesseGeschäftsprozesse sind bekanntEinarbeitung in Geschäftsprozesse erforderlich;
teilweise Fehlen von Branchenkenntnis
Neutralität 8Interessenkonflikte und Betriebsblindheit möglichneutrale Position nach Innen und Außen
Kündigungbesonderer KündigungsschutzKündigung fristgerecht möglich
ZeitmanagementDoppelbelastung verhindert 100%ige AufgabenerfüllungAusschließliche Beschäftigung mit datenschutzrechtlichen Angelegenheiten

Interner Datenschutzbeauftragter

Expertise:
Aus- bzw. Weiterbildungen notwendig

Kosten:
zusätzlich zum Lohn schwer kalkulierbare Kosten für Fortbildung, Literatur und Ausstattung

Haftung:
beschränkte Arbeitnehmerhaftung bzw. Haftung der Geschäftsführung

Geschäftsprozesse:
Geschäftsprozesse sind bekannt

Neutralität 8:
Interessenkonflikte und Betriebsblindheit möglich

Kündigung:
besonderer Kündigungsschutz

Zeitmanagement:
Doppelbelastung verhindert 100%ige Aufgabenerfüllung

Externer Datenschutzbeauftragter

Expertise:
sofortiger Zugriff auf umfangreiche Sachkunde und Erfahrung

Kosten:
planbare regelmäßige Zahlungen

Haftung:
Haftung für Beratung

Geschäftsprozesse:
Einarbeitung in Geschäftsprozesse erforderlich; teilweise Fehlen von Branchenkenntnis

Neutralität 8:
neutrale Position nach Innen und Außen

Kündigung:
Kündigung fristgerecht möglich

Zeitmanagement:
Ausschließliche Beschäftigung mit datenschutzrechtlichen Angelegenheiten

Die vorstehenden Punkte machen deutlich, dass es sich aus Unternehmersicht in der Regel empfiehlt einen externen Dienstleister zum Datenschutzbeauftragten des Unternehmens zu benennen, der durch umfangreiche Sachkunde, Neutralität und eigene Beraterhaftung  insbesondere für Risikominimierung im datenschutzrechtlichen Bereich sorgt.

3. Was wir für Sie tun können

Gerade hinsichtlich des zeitnahen Inkrafttretens der DS-GVO raten wir Ihnen dringend dazu, sich vor allem über die erweiterten Kriterien zur Benennungspflicht eines Datenschutzbeauftragten zu informieren, entsprechende Maßnahmen zu treffen und sich so rechtlich abzusichern.

Obladen Gässler Rechtsanwälte aus Köln beraten Ihr Unternehmen bundesweit.
Wir prüfen, ob es in Ihrem Unternehmen eines Datenschutzbeauftragten bedarf und ermitteln gemeinsam mit Ihnen und anhand Ihrer Geschäftsprozesse, welche Aufgaben dieser optimalerweise wahrnehmen sollte.

Gerne stellen wir Ihnen auch einen Datenschutzbeauftragten zur Verfügung, der den Ansprüchen Ihrer Geschäftsprozesse gerecht wird oder helfen bei der Vermittlung.

HIER MEHR INFORMATIONEN ERHALTEN

Machen Sie Ihr Unternehmen fit für die DS-GVO.

Wir beraten bundesweit und stellen Datenschutzbeauftragte. Rufen Sie uns an: 0221-80067680.
HIER MEHR INFORMATIONEN ERHALTEN

Quellen:

  • NZA 2017, 1091
  • Paal/Pauly, DS-GVO BDSG, 2. Auflage 2018
  • Johannes: Gegenüberstellung – Der Datenschutzbeauftragte nach DS-GVO, JI-Richtlinie und zukünftigem BDSG; ZD-Aktuell 2017, 05794
  • BeckOK Datenschutzrecht, Wolff/Brink, 23. Edition
  • Greve: Das neue Bundesdatenschutzgesetz NVwZ 2017, 737

Bildquellennachweise:

Urheber: weerapat / 123RF Standard-Bild
Urheber: bluebay / 123RF Standard-Bild