Während viele Unternehmen und Einrichtungen immer noch die Vorgaben der Datenschutzgrundverordnung (DSGVO) nicht umgesetzt haben, stellt sich bei vielen immer noch die Frage: Brauche ich einen Datenschutzbeauftragten oder nicht?
Die aktuelle Rechtslage sieht für private Unternehmen und Einrichtungen eine Pflicht zur Bestellung eines Datenschutzbeauftragten erst dann vor, wenn 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden.
Die ab dem 25.05.2018 geltende DSGVO führt auch hier zu einer Änderung der Rechtslage. Angesichts der drastischen Sanktionen welche die DSGVO bei Verstößen vorsieht und der Tatsache, dass die Kontaktdaten des Datenschutzbeauftragte künftig z.B. auch im Impressum der eigenen Webseite genannt werden müssen, sollte sich jeder klar werden, ob er einen Datenschutzbeauftragten benötigt oder nicht.
Regelungen der DSGVO zum Datenschutzbeauftragten
Was sehen die künftig geltenden Regelungen zum Datenschutzbeauftragten für den privaten Sektor also vor?
Laut DSGVO ist ein Datenschutzbeauftragter zu benennen, wenn
- die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht.
Kerntätigkeit
Eine Kerntätigkeit liegt demnach vor, wenn es sich um eine für die Geschäftstätigkeit oder die Unternehmensstrategie wichtige Tätigkeit handelt und nicht bloß um routinemäßige Verwaltungsaufgaben die in jedem Unternehmen vorkommen.
So liegt eine Kerntätigkeit in der umfangreichen Verarbeitung von personenbezogenen Daten, bei Unternehmen wie z.B.
- Unternehmen die Scoring oder Profiling Maßnahmen anbieten
- Markt- und Meinungsforschungsunternehmen
- Sicherheits- und Überwachungsunternehmen
- Social-Media-Anbieter
- Versicherungsunternehmen
Bezogen auf besondere Kategorien von Daten sind z.B.
- Arztpraxen
- Labors
- Krankenhäuser
- Rechtsanwaltskanzleien
- Beratungsstellen mit politischer, familiärer oder persönlicher Ausrichtung
- Sexshops
zu nennen.
Umfangreiche Verarbeitung
Ob eine Verarbeitung umfangreich ist oder nicht, hängt von verschiedenen Parametern ab. So sind folgende Faktoren zu berücksichtigen:
- Anzahl der betroffenen Personen
- Datenvolumen
- Dauer der Verarbeitung
- geografische Ausdehnung der Verarbeitung
- Risiken für die betroffenen Personen
Nicht umfangreich soll in diesem Zusammenhang die Verarbeitung sein, wenn die Verarbeitung durch einen einzelnen Arzt, einen einzelnen sonstigen Angehörigen eines Gesundheitsberufes oder einen einzelnen Rechtsanwalt erfolgt. Im Umkehrschluss dürfte das bedeuten, dass jedenfalls ab 2 Ärzten, 2 Rechtsanwälten oder 2 Angehörigen eines Gesundheitsberufes eine umfangreiche Verarbeitung vorliegt.
Regelungen des neuen Bundesdatenschutzgesetzes (BDSG) zum Datenschutzbeauftragten
Mit der DSGVO tritt auch eine neue Fassung des BDSG in Kraft. Im neuen BDSG wird ergänzend zu den Vorgaben der DSGVO die Pflicht zur Benennung eines Datenschutzbeauftragten vorgesehen, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Wer braucht nun einen Datenschutzbeauftragten?
- Jedes Unternehmen mit 10 Personen und mehr die personenbezogene Daten verarbeiten
- Arztpraxen, Gesundheitsberufe und Kanzleien mit mehr als 1 Berufsträger
- Sonstige Unternehmen die besondere Daten verarbeiten bzw. zu einer Datenschutz-Folgeabschätzung verpflichtet sind.
- Jedes Unternehmen bei dem eine Kerntätigkeit in der umfangreichen Verarbeitung personenbezogener Daten besteht.
Fazit
Die oft gehörte Aussage unter 10 Mitarbeitern benötige man nie einen Datenschutzbeauftragten ist daher so nicht richtig.
Auch unter 10 Personen sind z.B. Arztpraxen, Kanzleien und andere Unternehmen verpflichtet einen Datenschutzbeauftragten zu benennen.
Angesichts der Aussagen einiger Landesdatenschutzbeauftragter Unternehmen, die am 25.05.2018 keinen Datenschutzbeauftragten benannt haben, mit empfindlichen Bußgeldern zu belegen, sollte sich jeder darüber im Klaren sein, ob er einen Datenschutzbeauftragten benennen muss oder nicht. Da der Datenschutzbeauftragte nicht nur bei der Aufsichtsbehörde gemeldet werden muss, sondern seine Kontaktdaten auch veröffentlicht werden müssen (z.B. auf der Webseite), besteht bei Nichteinhaltung zudem die Gefahr von wettbewerbsrechtlichen Abmahnungen durch Mitbewerber oder Verbände.
Abschließend sei darauf hingewiesen, dass auch Unternehmen die keinen Datenschutzbeauftragten benötigen, die übrigen Pflichten nach der DSGVO trotzdem erfüllen müssen.
Artikel als PDF speichern
