Seit Einführung der Datenschutz-Grundverordnung stöhnen Unternehmen und Vereine über die Last der einzuhaltenden Regelungen. Im Fokus der Diskussionen um Sinn und Unsinn der neuen Datenschutzgesetze steht immer wieder die Pflicht, einen Datenschutzbeauftragten zu benennen. Der deutsche Gesetzgeber hat nun eine Änderung beschlossen, wodurch die Benennungspflicht eines betrieblichen Datenschutzbeauftragten, die auf der Grundlage des § 38 Abs. 1 Satz 1 BDSG erfolgt, erst ab 20 Beschäftigten erforderlich wird.
Dieser Beitrag beleuchtet die aktuelle Rechtsentwicklung zur Benennungspflicht eines betrieblichen Datenschutzbeauftragten, erläutert die Rolle und Aufgaben von Datenschutzbeauftragten und zeigt auf, was bei der Rückabwicklung einer DSB-Benennung beachtet werden muss.
Inhalt
- Was ändert sich bei der Pflicht, einen Datenschutzbeauftragten zu benennen?
- Wann muss ein Datenschutzbeauftragter benannt werden?
- Welches Risiko droht, wenn die Benennungspflicht missachtet wird?
- Was sind die Aufgaben des Datenschutzbeauftragten?
- Hat man ohne Datenschutzbeauftragten weniger zu tun?
- Was ist bei der Rückabwicklung einer DSB-Benennung zu beachten
Was ändert sich bei der Pflicht, einen Datenschutzbeauftragten zu benennen?
Der Bundestag hat am 27.6.2019 (streng genommen war es morgens um 3 Uhr am 28.6.2019…) mit dem zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG) eine Änderung des § 38 Abs. 1 Satz 1 BDSG beschlossen, wonach ein Datenschutzbeauftragter nun erst benannt werden muss, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Seit 2009 lag die Schwelle bei 10 Beschäftigten. Der Bundesrat hat dem 2. DSAnpUG am 20.09.2019 zugestimmt. Die Änderungen werden nach der Verkündung im Bundesgesetzblatt in Kraft treten.
Von dieser Änderung sind wir als Datenschutzbeauftragte unmittelbar betroffen, weil zu unseren Mandanten freilich auch kleinere Organisationen zählen. Einzelne haben so „normale“ und überschaubare Datenverarbeitungen, dass die Befreiung von der Benennungspflicht letztlich zu begrüßen ist (wenngleich es uns schmerzt, zahlende Kunden zu verlieren). Andere verwalten große Datenpools mit teils sensiblen Daten, nutzen modernste Technologien oder haben unzählige Verarbeitungen weltweit ausgelagert. Hier ist macht es durchaus Sinn, mit dem DSB einen fachkundigen Berater „in Rufweite“ zu haben.
Wie wir gleich sehen werden, hängt die Benennungspflicht aber nicht allein an § 38 Abs. 1 Satz 1 BDSG.
Wann muss ein Datenschutzbeauftragter benannt werden?
Die Pflicht zur Benennung eines Datenschutzbeauftragten kann sich aus § 38 Abs. 1 BDSG sowie aus Art. 37 Abs. 1 DSGVO ergeben. Nur wenn sich aus keiner Norm eine Benennungspflicht ergibt, darf auf die Benennung verzichtet werden.
Gemäß § 38 Abs. 1 Satz 1 BDSG muss ein Datenschutzbeauftragter benannt werden, wenn in der Regel mindestens 20 Personen (das gilt ab Sommer 2019. Das genaue Datum wird ergänzt, sobald es uns bekannt ist) ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Mit „ständig“ meint der Gesetzgeber „regelmäßig“.
Unabhängig von der Anzahl der Beschäftigten bestimmt § 38 Abs. 1 Satz 2 BDSG eine Benennungspflicht, wenn der Verantwortliche oder der Auftragsverarbeiter
- Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen. Ob das der Fall ist, lässt sich u.a. anhand dieser Positivliste der deutschen Aufsichtsbehörden beurteilen.
- personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.
Ebenfalls unabhängig von der Anzahl der Beschäftigten bestimmt Art. 37 Abs. 1 DSGVO eine Benennungspflicht für Verantwortliche und Auftragsverarbeiter, wenn
- ihre Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Die Datenverarbeitung stellt in diesen Fällen also nicht nur eine unterstützende Randfunktion dar (wie etwa bei der Gehaltsabrechnung), sondern ist wesentliche Voraussetzung für die Haupttätigkeit.
- ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht. Inwieweit eine „umfangreiche Verarbeitung“ vorliegt, richtet sich vor allem nach der Anzahl der betroffenen Personen, dem Umfang und der Verschiedenartigkeit sowie der geographischen Erstreckung der erhobenen Daten.
Für Start-ups und kleine Unternehmen mit weniger als 20 Beschäftigten gilt also: Wenn die Tätigkeit Ihres Unternehmens in eine der Kategorien des § 38 Abs. 1 Satz 2 BDSG oder des Art. 37 Abs. 1 DSGVO fällt, benötigen Sie auch dann einen Datenschutzbeauftragten, wenn Sie unter dem Schwellenwert des § 38 Abs. 1 Satz 1 BDSG liegen.
Sofern ein Unternehmen nach eingehender Prüfung zu der Einschätzung gelangt, keine Pflicht zur Ernennung eines Datenschutzbeauftragten zu haben, sollten die Grundlagen dieser Entscheidung genau dokumentiert werden (Rechenschaftspflicht).
Eine freiwillige Ernennung ist möglich. Allerdings gilt in diesem Fall gemäß § 38 Abs. 2 BDSG nicht der erweiterte Kündigungsschutz.
Welches Risiko droht, wenn die Benennungspflicht missachtet wird?
Unterlässt der Verantwortliche oder der Auftragsverarbeiter die Benennung eines fachkundigen Datenschutzbeauftragten, so drohen gemäß Art. 83 Abs. 4 lit. a) DSGVO Geldbußen von bis zu 10.000.000 EUR oder bis zu 2% des gesamten weltweit erzielten Vorjahresumsatzes des Unternehmens.
Was sind die Aufgaben des Datenschutzbeauftragten?
Der Datenschutzbeauftragte wirkt auf die Einhaltung der Datenschutzgesetze hin und ist häufig der erste Ansprechpartner im Unternehmen, wenn es um Fragen zur Verarbeitung personenbezogener Daten geht.
Art. 39 Abs. 1 DSGVO zählt folgende Aufgaben des Datenschutzbeauftragten auf:
- Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
- Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
- Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung;
- Zusammenarbeit mit der Aufsichtsbehörde;
- Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Art. 36 DSGVO, und gegebenenfalls Beratung zu allen sonstigen Fragen
In der Praxis geht das Leistungsspektrum des Datenschutzbeauftragten aber häufig darüber hinaus:
- Unterstützung bei den umfangreichen Dokumentationspflichten wie bspw. die Erstellung und Pflege der Verarbeitungsübersichten nach Art. 30 Abs. 1 und Abs. 2 DSGVO;
- Gestaltung von Datenschutzerklärungen, Datenschutzhinweisen und Einwilligungstexten zur Sicherstellung der Transparenz von Verarbeitungen personenbezogener Daten gegenüber den betroffenen Personen;
- Unterstützung bei Prozessen zur Erfüllung der Betroffenenrechte;
- Bewertung geeigneter Schutzmaßnahmen für die Verarbeitungstätigkeiten unter Berücksichtigung eines risikobasierten Ansatzes;
- Beurteilung von Melde- und Benachrichtigungspflichten im Fall von Datenschutzvorfällen;
- Berücksichtigung der Datenschutzgrundsätze sowie der Vorgaben zu „privacy by design“ und „privacy by default“ bereits bei der Planung von Datenverarbeitungen und IT-Systemen (z.B. einer App);
- Schulungen, E-Learning und Workshops für Mitarbeiter zu den Anforderungen des Datenschutzrechts;
- Kontrolle von Auftragsverarbeitern auf Einhaltung der zugesicherten technischen und organisatorischen Maßnahmen;
- Neutraler Ansprechpartner für Mitarbeiter, Kunden und sonstige „betroffene Personen“;
- Interne Prüfung der Datenschutz-Compliance und Bescheinigung der Konformität gegenüber Dritten (z.B. Auftraggebern, Geschäftspartnern etc.).
Hat man ohne Datenschutzbeauftragten weniger zu tun?
Die Pflicht zur Umsetzung der Anforderungen aus der DSGVO und dem BDSG besteht für alle Unternehmen, Handwerksbetriebe und Vereine unabhängig von der Größe oder Mitarbeiteranzahl oder der Pflicht zur Benennung eines Datenschutzbeauftragten.
Das Datenschutzrecht muss vom Verantwortlichen beachtet werden – egal ob mit oder ohne Datenschutzbeauftragte.
Die Beratungsleistung des Datenschutzbeauftragten muss ggf. anderweitig kompensiert werden, was für die betroffenen Unternehmen den Aufbau von interner Kompetenz oder die Einbindung externer Datenschutzexperten zur Folge hat. Frei nach Udo Lindenberg: „Einer muss den Job ja machen“.
Für deutsche Unternehmen hat die DSGVO zwar wenig echte Neuerungen gebracht, aber durch die massive Erhöhung des Bußgeldrahmens werden die Pflichten nicht mehr leichtfertig ignoriert. Zudem hat die DSGVO zu einer deutlich gestiegenen Datenschutzsensibilität der Verbraucher geführt, die Ihre Rechte als betroffene Personen kennen und vermehrt Auskunfts-, Lösch- und Widerspruchsrechte geltend machen. Wer als Auftragsverarbeiter personenbezogene Daten für andere Unternehmen verarbeitet, kann ebenfalls ein Lied über die gestiegenen Anforderungen seiner Auftraggeber singen. Es gibt also einiges zu tun!
Auch in den Fällen, in denen keine gesetzliche Pflicht zur Benennung besteht, kann die freiwillige Benennung eines externen Datenschutzbeauftragten sinnvoll oder wegen vertraglicher Verpflichtungen mit Auftraggebern sogar erforderlich sein.
Was ist bei der Rückabwicklung einer DSB-Benennung zu beachten?
Wer bislang einen Datenschutzbeauftragten benennen musste, nun unter der 20-Personen-Schwelle liegt und auf den Datenschutzbeauftragten an Bord verzichten möchte, muss folgende Maßnahmen treffen:
- Die Benennung des Datenschutzbeauftragten nach § 38 Abs. 1 Satz 1 BDSG muss widerrufen werden. Bei internen Datenschutzbeauftragten ist der besondere Kündigungsschutz zu beachten (§ 38 Abs. 2 BDSG i.V.m. § 6 Abs. 4 BDSG). Bei externen Datenschutzbeauftragten müssen ggf. Kündigungsfristen des Dienstleistungsvertrages berücksichtigt werden.
- Die Kontaktdaten des Datenschutzbeauftragten müssen von der Website-Datenschutzerklärung und sonstigen Datenschutzhinweisen gemäß Art. 13 und 14 DSGVO entfernt werden. Es darf nicht der Anschein erweckt werde, dass man noch einen DSB benannt habe.
- Die Änderung ist bei der zuständigen Aufsichtsbehörde anzuzeigen, analog zur Meldung des Datenschutzbeauftragten nach Art. 37 Abs. 7 DSGVO.
- Sofern das Unternehmen auch Auftragsverarbeiter ist, also personenbezogene Daten im Auftrag anderer Verantwortlicher verarbeitet, müssen alle Kunden/Auftraggeber darüber informiert werden, dass der Datenschutzbeauftragte ersatzlos abberufen wurde. Die meisten AV-Verträge enthalten nämlich Klauseln mit Anzeigepflichten für den Fall, dass sich die Person des Datenschutzbeauftragten ändert. Eine Abberufung des Datenschutzbeauftragten muss den Vertragspartnern daher mitgeteilt werden.
Vorab sollte geprüft werden, ob die Benennung eines Datenschutzbeauftragten im AV-Vertrag verpflichtend vereinbart wurde. Hat man sich als Auftragsverarbeiter vertraglich zur Benennung eines Datenschutzbeauftragten verpflichtet, hat die Gesetzesänderung möglicherweise keine Auswirkungen auf Sie!
Hinweis: Dieser Beitrag wurde am 30.06.2019 veröffentlicht und zuletzt am 11.11.2019 überarbeitet.
Sebastian Herting ist Rechtsanwalt und zertifizierter Datenschutzbeauftragter. Er unterstützt Unternehmen mit lösungsorientierter Beratung zu Daten, Technologie, KI und Marketing.