Bestellpflicht-Kriterien für Datenschutzbeauftragte

Erleichterung für die deutsche Wirtschaft: Unternehmen müssen erst ab 20 Mitarbeitern Datenschutzbeauftragte bestellen. So oder ähnlich lauten derzeit die Schlagzeilen aus dem Bundesinnenministerium und diversen Zeitungen. Doch stimmt das überhaupt? Im Video geht Peter Hense der Frage nach, wann und aus welchen verschiedenen Gründen Unternehmen Datenschutzbeauftragte bestellen müssen. Denn so einfach, wie das Ministerium von Herrn Seehofer es darstellt, ist es natürlich nicht.

Eine Bestellpflicht für einen Datenschutzbeauftragten kann sich entweder aus der DSGVO ergeben, aus dem BDSG, oder aus vertraglichen Verpflichtungen, die Unternehmen übernommen haben, zB in Versicherungsverträgen einer Betriebshaftpflicht oder Cybersecurity-Versicherung, durch Verträge mit Zahlungsdiensteanbietern bei der Akzeptanz von Kreditkarten, bei bestimmten Standardisierungen nach ISO oder auch, wenn das Unternehmen öffentlich-rechtliche Aufgaben übertragen erhält.

Das alte Bundesdatenschutzgesetz hatte eine Personengrenze vorgesehen, ab der jedenfalls ein Datenschutzbeauftragter zu bestellen ist. Aber auch unter dem alten Recht, bestand eine Bestellpflicht jedoch schon ab dem ersten Mitarbeiter, wenn es sich um riskante Verarbeitungstätigkeiten handelte, die eine Vorabkontrolle erforderten.

Das BDSG von 2018 hielt an dieser europaweit einmaligen Vorgabe fest und definierte bisher die Grenze von mindestens 10 Mitarbeitern, die „ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind. Diese Grenze von 10 Mitarbeitern ist durch eine Gesetzesanpassung im Rahmen des 2. Datenschutz-Anpassungs-und Umsetzungsgesetzes von 10 auf 20 heraufgesetzt worden.

Der Bundesinnenminister, immer noch das Ministerium von Horst Seehofer von der CSU, feierte dies als Entlastung von Kleinunternehmen. Stimmt das? Was meinen Sie? Schauen wir uns das mal näher an: Wofür brauche ich überhaupt einen betrieblichen Datenschutzbeauftragten?

Der betriebliche DSB nimmt mir nicht die Verantwortung ab. Er berät bestenfalls und ist Ansprechpartner für Behörden. Im Idealfall habe ich also einen leidlich kompetenten Ansprechpartner im oder zumindest für das Unternehmen. Die Verantwortung und damit die Haftung für Verletzungen des Datenschutzrechts allerdings, die ruht oder lastet weiterhin auf den Schultern jedes einzelnen Mitarbeiters und der Geschäftsführung.

Unabhängig von der Frage, wie man bis 10 oder 20 zählt, ob man hier nach Köpfen oder Funktionen vorgehen muss, ob Geschäftsführer dazurechnen oder Teilzeitkräfte nicht, gibt es im europäischen Recht der DSGVO ganz eigene Kriterien, die durch die deutsche Fixierung auf das Dezimalsystem nicht aus dem Blick geraten sollten.

Wer besonders umfangreiche oder riskante Verarbeitungen durchführt, der muss unabhängig von der Zahl der Beschäftigten einen Datenschutzbeauftragten bestellen. Wer, wie Retailer, Onlineshops, die Reiseindustrie oder die Teilnehmer an Programmatic Advertising umfangreiche Zahlungsdaten verarbeitet und / oder sensible Daten nach Art. 9 verarbeitet, der ist bereits nach den Vorgaben der DSGVO zur Bestellung eines Datenschutzbeauftragten verpflichtet.

Es gibt ernstzunehmende Stimmen, die bereits den Betrieb einer Facebook Fanpage, eines Instagram-Profils oder den Einsatz von Google Analytics als einen Fall einer umfangreichen und riskanten Datenverarbeitung ansehen, weil die Verarbeitungsvorgänge der Big Player den kleinen Fischen über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zugerechnet werden können.

Auch Erwägungsgrund 24, also die Gesetzesbegründung der DSGVO, legt nahe, dass Webanalyse und Tracking als cross domain und cross device als solche genügen, um von einer systematischen Beobachtung zu sprechen. Auch Betrugspräventionssysteme, regelmäßige Bonitätsabfragen, der Einsatz von Sprachassistenzsystemen wie der Amazon Echo-Plattform sowie der Einsatz von optoelektronischen Überwachungssystemen (Video, Infrarot, Ultraschall, WiFi-Tracking) - alle diese Vorgänge lassen sich aber einer gewissen Relevanz im Geschäftsalltag zwanglos unter Art. 37 DSGVO, der die Voraussetzungen der DSB-Bestellpflicht recht allgemein beschreibt, einordnen.

Auch wer Kundenbindungsprogramme anbietet und die Einkäufe seiner Kunden verarbeitet und beobachtet, der wird in aller Regel die Voraussetzungen von Art. 37 DSGVO erfüllen und einen Datenschutzbeauftragten benennen müssen. Kurzum, alles das, was das Geschäftsleben von Unternehmen digital und effektiv macht, trägt das Risiko in sich, Rechte von Betroffenen in besonderem Maße zu beeinträchtigen und unterliegt daher besonderen Anforderungen: Mal ist es die Verpflichtung zur Datenschutzfolgeabschätzung, mal die Bestellpflicht eines Datenschutzbeauftragten. Was sind denn aber die Folgen, wenn ich keinen bestelle, aber einen hätte bestellen müssen? Nun ja, wie ich eingangs sagte, das ist ein weites Feld.

Wer gegen die Bestellpflicht verstößt, verstößt in der Regel noch gegen ganz andere Vorgaben aus der DSGVO. Die werden dann üblicherweise einfach härter sanktioniert, als wenn ein Datenschutzbeauftragter, wie kompetent auch immer, bestellt worden wäre.

Wer unter Verstoß gegen seine Obliegenheitsverpflichtungen aus dem Versicherungsvertrag keinen Datenschutzbeauftragten bestellt, der kann nicht erwarten, dass eine Versicherung einen eingetretenen Schaden deckt. Versicherungen sind nicht reich und mächtig, weil sie gern Schäden regulieren.

Wer keinen Datenschutzbeauftragten bestellt, obwohl er umfangreiche Zahlungsdienstleistungen einsetzt, der verstößt mitunter gegen seine Verpflichtungen unter dem Payment Card Industry-Data Security Standard (PCI-DSS) in Verbindung mit den entsprechenden vertraglichen Vereinbarungen der kreditkartenausgebenden Unternehmen.

Im Falle eines Data Breach, eines Datenlecks, kann der Unternehmen dann seine Einwendungen gegen drohende Vertragsstrafen in Orange County, Californien, vorbringen, wo der Gerichtsstand einiger großer US-Kreditkartenunternehmen ist. Das wird aus Erfahrung weder billig noch lustig.

Ein betrieblicher Datenschutzbeauftragter allein löst keine Probleme. Allein die Unternehmensführung ist in der Lage, Prioritäten zu setzen, rechtskonformes Arbeiten anzuweisen und dadurch Risiken aufzulösen. Ob mit oder ohne Datenschutzbeauftragten ist dies eine Mammutaufgabe, die auch ein Jahr nach Anwendbarkeit der DSGVO viele Unternehmen überfordert. Insofern, das ist meine Meinung, stellt sich nicht die Frage, ob ich einen Datenschutzbeauftragten bestellen sollte, sondern welchen.

Wenn Sie Beratungsbedarf bei der rechtskonformen Umsetzung von elektronischer Werbung haben, sprechen Sie mich einfach an.

 

Wenn Sie diesen Beitrag interessant und hilfreich fanden,
dann bleiben Sie doch am Ball und schreiben sich in unseren Newsletter ein:

Sie erhalten donnerstags sieben relevante Leseepfehlungen aus den Themenfeldern
Recht - Technologie - Marketing - Wissenschaft

Spirit Legal LLP Newsletter abonnieren

Sie finden alle Digital DNA Newsletter und Schwerpunktthemen in unserem Archiv.

Einen Kommentar schreiben

Tags

Mitarbeiterfotografie Markeneintragung jahresabschluss Urteil Weihnachten Voice Assistant Geschäftsanschrift urheberrechtsschutz Markenrecht Digitalwirtschaft Bundesmeldegesetz Produktempfehlungen Ofcom verbraucherstreitbeilegungsgesetz data security Pressekodex Onlineshop Namensrecht Suchmaschinenbetreiber Kinderrechte Newsletter TeamSpirit Datenpanne HipHop ransomware Alexa E-Mobilität Medienprivileg Gesamtpreis brexit Custom Audiences Hackerangriff Adwords Telefon Diskriminierung Authentifizierung Spirit Legal Referendar Suchmaschinen right of publicity Textilien Flugzeug online werbung wetteronline.de Registered Kekse Vergütung Consent Management Preisangabenverordnung Facial Recognition Rechtsprechung TikTok markenanmeldung Erbe Hinweispflichten Beschäftigtendatenschutz Hotel Hausrecht Gastronomie Auftragsverarbeitung Bestpreisklausel Arbeitsrecht YouTube gezielte Behinderung Sperrwirkung DSGVO Europa Influencer transparenzregister Onlinevertrieb Artificial Intelligence Schadensersatz Data Protection Handynummer Autocomplete Rufschädigung Team Spirit gdpr Check-in hate speech Informationspflicht information technology ePrivacy Informationsfreiheit Technologie datenverlust Linkhaftung Scam Beleidigung § 5 MarkenG AGB Tracking Social Engineering Hotelvermittler Algorithmen KUG Xing neu Anonymisierung Datenschutzbeauftragter Vertrauen Recht München Rabattangaben Gäste veröffentlichung Corporate Housekeeping Barcamp Haftung ecommerce Jahresrückblick whatsapp Löschungsanspruch Wahlen Aufsichtsbehörden SEA Soziale Netzwerke Neujahr Online Marketing 5 UWG Vertragsgestaltung Opentable verlinkung Datensicherheit copter Compliance kündigungsschutz c/o Lohnfortzahlung Bildung informationspflichten Beweislast IT-Sicherheit Machine Learning Niederlassungsfreiheit Erschöpfungsgrundsatz Konferenz Cyber Security Leipzig ADV Keyword-Advertising Fotografie Personenbezogene Daten Kleinanlegerschutz verlinken Gesichtserkennung Online WLAN Unternehmensgründung Art. 13 GMV Customer Service Prozessrecht Arbeitsunfall Gesetz Geschmacksmuster Dynamic Keyword Insertion events Impressum Datenschutz Spitzenstellungsbehauptung Werbung Sampling FTC Minijob gender pay gap Know How Bestandsschutz Suchfunktion geldwäsche Bildrechte UWG 2014 Education informationstechnologie Abmahnung News Verlängerung handelsrecht Internet Wettbewerb Website drohnen Vergütungsmodelle zahlungsdienst ISPs Evil Legal Filesharing recht am eigenen bild Home-Office Löschung Identitätsdiebstahl Schöpfungshöhe anwaltsserie Vergleichsportale Datenportabilität schule email marketing Midijob Team CRM

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2022, alle Rechte vorbehalten

Förderung von Fachanwaltskursen & anwaltlichen Fortbildungen durch SAB Sachsen: