Bestellpflicht-Kriterien für Datenschutzbeauftragte

Erleichterung für die deutsche Wirtschaft: Unternehmen müssen erst ab 20 Mitarbeitern Datenschutzbeauftragte bestellen. So oder ähnlich lauten derzeit die Schlagzeilen aus dem Bundesinnenministerium und diversen Zeitungen. Doch stimmt das überhaupt? Im Video geht Peter Hense der Frage nach, wann und aus welchen verschiedenen Gründen Unternehmen Datenschutzbeauftragte bestellen müssen. Denn so einfach, wie das Ministerium von Herrn Seehofer es darstellt, ist es natürlich nicht.

Eine Bestellpflicht für einen Datenschutzbeauftragten kann sich entweder aus der DSGVO ergeben, aus dem BDSG, oder aus vertraglichen Verpflichtungen, die Unternehmen übernommen haben, zB in Versicherungsverträgen einer Betriebshaftpflicht oder Cybersecurity-Versicherung, durch Verträge mit Zahlungsdiensteanbietern bei der Akzeptanz von Kreditkarten, bei bestimmten Standardisierungen nach ISO oder auch, wenn das Unternehmen öffentlich-rechtliche Aufgaben übertragen erhält.

Das alte Bundesdatenschutzgesetz hatte eine Personengrenze vorgesehen, ab der jedenfalls ein Datenschutzbeauftragter zu bestellen ist. Aber auch unter dem alten Recht, bestand eine Bestellpflicht jedoch schon ab dem ersten Mitarbeiter, wenn es sich um riskante Verarbeitungstätigkeiten handelte, die eine Vorabkontrolle erforderten.

Das BDSG von 2018 hielt an dieser europaweit einmaligen Vorgabe fest und definierte bisher die Grenze von mindestens 10 Mitarbeitern, die „ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind. Diese Grenze von 10 Mitarbeitern ist durch eine Gesetzesanpassung im Rahmen des 2. Datenschutz-Anpassungs-und Umsetzungsgesetzes von 10 auf 20 heraufgesetzt worden.

Der Bundesinnenminister, immer noch das Ministerium von Horst Seehofer von der CSU, feierte dies als Entlastung von Kleinunternehmen. Stimmt das? Was meinen Sie? Schauen wir uns das mal näher an: Wofür brauche ich überhaupt einen betrieblichen Datenschutzbeauftragten?

Der betriebliche DSB nimmt mir nicht die Verantwortung ab. Er berät bestenfalls und ist Ansprechpartner für Behörden. Im Idealfall habe ich also einen leidlich kompetenten Ansprechpartner im oder zumindest für das Unternehmen. Die Verantwortung und damit die Haftung für Verletzungen des Datenschutzrechts allerdings, die ruht oder lastet weiterhin auf den Schultern jedes einzelnen Mitarbeiters und der Geschäftsführung.

Unabhängig von der Frage, wie man bis 10 oder 20 zählt, ob man hier nach Köpfen oder Funktionen vorgehen muss, ob Geschäftsführer dazurechnen oder Teilzeitkräfte nicht, gibt es im europäischen Recht der DSGVO ganz eigene Kriterien, die durch die deutsche Fixierung auf das Dezimalsystem nicht aus dem Blick geraten sollten.

Wer besonders umfangreiche oder riskante Verarbeitungen durchführt, der muss unabhängig von der Zahl der Beschäftigten einen Datenschutzbeauftragten bestellen. Wer, wie Retailer, Onlineshops, die Reiseindustrie oder die Teilnehmer an Programmatic Advertising umfangreiche Zahlungsdaten verarbeitet und / oder sensible Daten nach Art. 9 verarbeitet, der ist bereits nach den Vorgaben der DSGVO zur Bestellung eines Datenschutzbeauftragten verpflichtet.

Es gibt ernstzunehmende Stimmen, die bereits den Betrieb einer Facebook Fanpage, eines Instagram-Profils oder den Einsatz von Google Analytics als einen Fall einer umfangreichen und riskanten Datenverarbeitung ansehen, weil die Verarbeitungsvorgänge der Big Player den kleinen Fischen über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zugerechnet werden können.

Auch Erwägungsgrund 24, also die Gesetzesbegründung der DSGVO, legt nahe, dass Webanalyse und Tracking als cross domain und cross device als solche genügen, um von einer systematischen Beobachtung zu sprechen. Auch Betrugspräventionssysteme, regelmäßige Bonitätsabfragen, der Einsatz von Sprachassistenzsystemen wie der Amazon Echo-Plattform sowie der Einsatz von optoelektronischen Überwachungssystemen (Video, Infrarot, Ultraschall, WiFi-Tracking) - alle diese Vorgänge lassen sich aber einer gewissen Relevanz im Geschäftsalltag zwanglos unter Art. 37 DSGVO, der die Voraussetzungen der DSB-Bestellpflicht recht allgemein beschreibt, einordnen.

Auch wer Kundenbindungsprogramme anbietet und die Einkäufe seiner Kunden verarbeitet und beobachtet, der wird in aller Regel die Voraussetzungen von Art. 37 DSGVO erfüllen und einen Datenschutzbeauftragten benennen müssen. Kurzum, alles das, was das Geschäftsleben von Unternehmen digital und effektiv macht, trägt das Risiko in sich, Rechte von Betroffenen in besonderem Maße zu beeinträchtigen und unterliegt daher besonderen Anforderungen: Mal ist es die Verpflichtung zur Datenschutzfolgeabschätzung, mal die Bestellpflicht eines Datenschutzbeauftragten. Was sind denn aber die Folgen, wenn ich keinen bestelle, aber einen hätte bestellen müssen? Nun ja, wie ich eingangs sagte, das ist ein weites Feld.

Wer gegen die Bestellpflicht verstößt, verstößt in der Regel noch gegen ganz andere Vorgaben aus der DSGVO. Die werden dann üblicherweise einfach härter sanktioniert, als wenn ein Datenschutzbeauftragter, wie kompetent auch immer, bestellt worden wäre.

Wer unter Verstoß gegen seine Obliegenheitsverpflichtungen aus dem Versicherungsvertrag keinen Datenschutzbeauftragten bestellt, der kann nicht erwarten, dass eine Versicherung einen eingetretenen Schaden deckt. Versicherungen sind nicht reich und mächtig, weil sie gern Schäden regulieren.

Wer keinen Datenschutzbeauftragten bestellt, obwohl er umfangreiche Zahlungsdienstleistungen einsetzt, der verstößt mitunter gegen seine Verpflichtungen unter dem Payment Card Industry-Data Security Standard (PCI-DSS) in Verbindung mit den entsprechenden vertraglichen Vereinbarungen der kreditkartenausgebenden Unternehmen.

Im Falle eines Data Breach, eines Datenlecks, kann der Unternehmen dann seine Einwendungen gegen drohende Vertragsstrafen in Orange County, Californien, vorbringen, wo der Gerichtsstand einiger großer US-Kreditkartenunternehmen ist. Das wird aus Erfahrung weder billig noch lustig.

Ein betrieblicher Datenschutzbeauftragter allein löst keine Probleme. Allein die Unternehmensführung ist in der Lage, Prioritäten zu setzen, rechtskonformes Arbeiten anzuweisen und dadurch Risiken aufzulösen. Ob mit oder ohne Datenschutzbeauftragten ist dies eine Mammutaufgabe, die auch ein Jahr nach Anwendbarkeit der DSGVO viele Unternehmen überfordert. Insofern, das ist meine Meinung, stellt sich nicht die Frage, ob ich einen Datenschutzbeauftragten bestellen sollte, sondern welchen.

Wenn Sie Beratungsbedarf bei der rechtskonformen Umsetzung von elektronischer Werbung haben, sprechen Sie mich einfach an.

 

Wenn Sie diesen Beitrag interessant und hilfreich fanden,
dann bleiben Sie doch am Ball und schreiben sich in unseren Newsletter ein:

Sie erhalten donnerstags sieben relevante Leseepfehlungen aus den Themenfeldern
Recht - Technologie - Marketing - Wissenschaft

Spirit Legal LLP Newsletter abonnieren

Sie finden alle Digital DNA Newsletter und Schwerpunktthemen in unserem Archiv.

Einen Kommentar schreiben

Tags

selbstanlageverfahren Rabattangaben Touristik copter Kekse wallart Panoramafreiheit Kundendaten Reisen ransom Werktitel Unlauterer Wettbewerb kommunen EU-Kosmetik-Verordnung Europarecht E-Commerce Stellenausschreibung Meldepflicht Conversion Gesamtpreis ITB gdpr Freelancer Arbeitsunfall Gesetz transparenzregister Zahlungsdaten Leaks Löschungsanspruch Einwilligung Privacy Kosmetik Bots total buy out NetzDG Online-Bewertungen Kunsturhebergesetz Recap Tipppfehlerdomain Verpackungsgesetz Gesichtserkennung Berlin Hotelsterne Art. 13 GMV Blog wetteronline.de Ruby on Rails Duldungsvollmacht Textilien Anonymisierung Class Action Consent Management USPTO Lohnfortzahlung Informationsfreiheit schule ADV Google AdWords Opentable events Facebook Cyber Security Datenpanne Beacons Dynamic Keyword Insertion Onlineplattform gezielte Behinderung SEA 2014 EuGH Europa verlinkung E-Mail-Marketing Unterlassung zugangsvereitelung Vergütung data Dark Pattern LMIV Vertragsrecht DSGVO Online Shopping Hack Zustellbevollmächtigter #bsen Preisangabenverordnung §75f HGB Datenschutzbeauftragter Suchmaschinenbetreiber #emd15 Barcamp Nutzungsrecht Erschöpfungsgrundsatz Kennzeichnung Ratenparität Beleidigung vertrag Datenschutzrecht Presse Finanzaufsicht Reiserecht Spielzeug SSO Hotel Social Networks Digitalwirtschaft Rechtsprechung markenanmeldung geldwäsche Unternehmensgründung FTC Wettbewerbsbeschränkung Prozessrecht Referendar Kundenbewertung Schadensfall Pseudonomisierung Spitzenstellungsbehauptung Jugendschutzfilter Hotelkonzept Sponsoring Selbstverständlichkeiten information technology Interview Suchalgorithmus Störerhaftung § 15 MarkenG LG Hamburg videoüberwachung § 4 UWG Schleichwerbung Unionsmarke Handynummer privacy shield GmbH Datenschutzerklärung BDSG Kinder brexit Geschmacksmuster Auftragsverarbeitung Einwilligungsgestaltung Schadenersatz fotos Geschäftsanschrift Medienprivileg § 5 UWG datenverlust Wahlen technology messenger berufspflicht Newsletter Presserecht Fotografen Urteil Midijob Bußgeld Keyword-Advertising Herkunftsfunktion Team Google Einstellungsverbot Online-Portale Filesharing PPC Sperrwirkung Expedia.com technik Abwerbeverbot Verlängerung Polen Onlinevertrieb Urlaub Vertragsgestaltung OLG Köln Restaurant Hotellerie EU-Textilkennzeichnungsverordnung Big Data Vergütungsmodelle Ferienwohnung Phishing Social Media A1-Bescheinigung Exklusivitätsklausel Beschäftigtendatenschutz Algorithmen News Creative Commons data privacy c/o Asien Gaming Disorder Dokumentationspflicht TeamSpirit Machine Learning Technologie Auftragsdatenverarbeitung Resort

Die Rechtsanwaltssozietät Spirit Legal LLP berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal LLP 2013 - 2019, alle Rechte vorbehalten