Bestellpflicht-Kriterien für Datenschutzbeauftragte

Erleichterung für die deutsche Wirtschaft: Unternehmen müssen erst ab 20 Mitarbeitern Datenschutzbeauftragte bestellen. So oder ähnlich lauten derzeit die Schlagzeilen aus dem Bundesinnenministerium und diversen Zeitungen. Doch stimmt das überhaupt? Im Video geht Peter Hense der Frage nach, wann und aus welchen verschiedenen Gründen Unternehmen Datenschutzbeauftragte bestellen müssen. Denn so einfach, wie das Ministerium von Herrn Seehofer es darstellt, ist es natürlich nicht.

Eine Bestellpflicht für einen Datenschutzbeauftragten kann sich entweder aus der DSGVO ergeben, aus dem BDSG, oder aus vertraglichen Verpflichtungen, die Unternehmen übernommen haben, zB in Versicherungsverträgen einer Betriebshaftpflicht oder Cybersecurity-Versicherung, durch Verträge mit Zahlungsdiensteanbietern bei der Akzeptanz von Kreditkarten, bei bestimmten Standardisierungen nach ISO oder auch, wenn das Unternehmen öffentlich-rechtliche Aufgaben übertragen erhält.

Das alte Bundesdatenschutzgesetz hatte eine Personengrenze vorgesehen, ab der jedenfalls ein Datenschutzbeauftragter zu bestellen ist. Aber auch unter dem alten Recht, bestand eine Bestellpflicht jedoch schon ab dem ersten Mitarbeiter, wenn es sich um riskante Verarbeitungstätigkeiten handelte, die eine Vorabkontrolle erforderten.

Das BDSG von 2018 hielt an dieser europaweit einmaligen Vorgabe fest und definierte bisher die Grenze von mindestens 10 Mitarbeitern, die „ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind. Diese Grenze von 10 Mitarbeitern ist durch eine Gesetzesanpassung im Rahmen des 2. Datenschutz-Anpassungs-und Umsetzungsgesetzes von 10 auf 20 heraufgesetzt worden.

Der Bundesinnenminister, immer noch das Ministerium von Horst Seehofer von der CSU, feierte dies als Entlastung von Kleinunternehmen. Stimmt das? Was meinen Sie? Schauen wir uns das mal näher an: Wofür brauche ich überhaupt einen betrieblichen Datenschutzbeauftragten?

Der betriebliche DSB nimmt mir nicht die Verantwortung ab. Er berät bestenfalls und ist Ansprechpartner für Behörden. Im Idealfall habe ich also einen leidlich kompetenten Ansprechpartner im oder zumindest für das Unternehmen. Die Verantwortung und damit die Haftung für Verletzungen des Datenschutzrechts allerdings, die ruht oder lastet weiterhin auf den Schultern jedes einzelnen Mitarbeiters und der Geschäftsführung.

Unabhängig von der Frage, wie man bis 10 oder 20 zählt, ob man hier nach Köpfen oder Funktionen vorgehen muss, ob Geschäftsführer dazurechnen oder Teilzeitkräfte nicht, gibt es im europäischen Recht der DSGVO ganz eigene Kriterien, die durch die deutsche Fixierung auf das Dezimalsystem nicht aus dem Blick geraten sollten.

Wer besonders umfangreiche oder riskante Verarbeitungen durchführt, der muss unabhängig von der Zahl der Beschäftigten einen Datenschutzbeauftragten bestellen. Wer, wie Retailer, Onlineshops, die Reiseindustrie oder die Teilnehmer an Programmatic Advertising umfangreiche Zahlungsdaten verarbeitet und / oder sensible Daten nach Art. 9 verarbeitet, der ist bereits nach den Vorgaben der DSGVO zur Bestellung eines Datenschutzbeauftragten verpflichtet.

Es gibt ernstzunehmende Stimmen, die bereits den Betrieb einer Facebook Fanpage, eines Instagram-Profils oder den Einsatz von Google Analytics als einen Fall einer umfangreichen und riskanten Datenverarbeitung ansehen, weil die Verarbeitungsvorgänge der Big Player den kleinen Fischen über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zugerechnet werden können.

Auch Erwägungsgrund 24, also die Gesetzesbegründung der DSGVO, legt nahe, dass Webanalyse und Tracking als cross domain und cross device als solche genügen, um von einer systematischen Beobachtung zu sprechen. Auch Betrugspräventionssysteme, regelmäßige Bonitätsabfragen, der Einsatz von Sprachassistenzsystemen wie der Amazon Echo-Plattform sowie der Einsatz von optoelektronischen Überwachungssystemen (Video, Infrarot, Ultraschall, WiFi-Tracking) - alle diese Vorgänge lassen sich aber einer gewissen Relevanz im Geschäftsalltag zwanglos unter Art. 37 DSGVO, der die Voraussetzungen der DSB-Bestellpflicht recht allgemein beschreibt, einordnen.

Auch wer Kundenbindungsprogramme anbietet und die Einkäufe seiner Kunden verarbeitet und beobachtet, der wird in aller Regel die Voraussetzungen von Art. 37 DSGVO erfüllen und einen Datenschutzbeauftragten benennen müssen. Kurzum, alles das, was das Geschäftsleben von Unternehmen digital und effektiv macht, trägt das Risiko in sich, Rechte von Betroffenen in besonderem Maße zu beeinträchtigen und unterliegt daher besonderen Anforderungen: Mal ist es die Verpflichtung zur Datenschutzfolgeabschätzung, mal die Bestellpflicht eines Datenschutzbeauftragten. Was sind denn aber die Folgen, wenn ich keinen bestelle, aber einen hätte bestellen müssen? Nun ja, wie ich eingangs sagte, das ist ein weites Feld.

Wer gegen die Bestellpflicht verstößt, verstößt in der Regel noch gegen ganz andere Vorgaben aus der DSGVO. Die werden dann üblicherweise einfach härter sanktioniert, als wenn ein Datenschutzbeauftragter, wie kompetent auch immer, bestellt worden wäre.

Wer unter Verstoß gegen seine Obliegenheitsverpflichtungen aus dem Versicherungsvertrag keinen Datenschutzbeauftragten bestellt, der kann nicht erwarten, dass eine Versicherung einen eingetretenen Schaden deckt. Versicherungen sind nicht reich und mächtig, weil sie gern Schäden regulieren.

Wer keinen Datenschutzbeauftragten bestellt, obwohl er umfangreiche Zahlungsdienstleistungen einsetzt, der verstößt mitunter gegen seine Verpflichtungen unter dem Payment Card Industry-Data Security Standard (PCI-DSS) in Verbindung mit den entsprechenden vertraglichen Vereinbarungen der kreditkartenausgebenden Unternehmen.

Im Falle eines Data Breach, eines Datenlecks, kann der Unternehmen dann seine Einwendungen gegen drohende Vertragsstrafen in Orange County, Californien, vorbringen, wo der Gerichtsstand einiger großer US-Kreditkartenunternehmen ist. Das wird aus Erfahrung weder billig noch lustig.

Ein betrieblicher Datenschutzbeauftragter allein löst keine Probleme. Allein die Unternehmensführung ist in der Lage, Prioritäten zu setzen, rechtskonformes Arbeiten anzuweisen und dadurch Risiken aufzulösen. Ob mit oder ohne Datenschutzbeauftragten ist dies eine Mammutaufgabe, die auch ein Jahr nach Anwendbarkeit der DSGVO viele Unternehmen überfordert. Insofern, das ist meine Meinung, stellt sich nicht die Frage, ob ich einen Datenschutzbeauftragten bestellen sollte, sondern welchen.

Wenn Sie Beratungsbedarf bei der rechtskonformen Umsetzung von elektronischer Werbung haben, sprechen Sie mich einfach an.

 

Wenn Sie diesen Beitrag interessant und hilfreich fanden,
dann bleiben Sie doch am Ball und schreiben sich in unseren Newsletter ein:

Sie erhalten donnerstags sieben relevante Leseepfehlungen aus den Themenfeldern
Recht - Technologie - Marketing - Wissenschaft

Spirit Legal LLP Newsletter abonnieren

Sie finden alle Digital DNA Newsletter und Schwerpunktthemen in unserem Archiv.

Einen Kommentar schreiben

Tags

kündigungsschutz Haftung KUG Diskriminierung Sitzverlegung Direktmarketing München Zustellbevollmächtigter E-Mail Telefon Kundenbewertungen selbstanlageverfahren Bußgeld Kekse 3 UWG Finanzaufsicht Distribution Irreführung Meldepflicht Datenschutzerklärung Werktitel Recap Jahresrückblick data security Kennzeichnung §75f HGB Bundesmeldegesetz Machine Learning neu Urlaub NetzDG Hack Suchmaschinenbetreiber gdpr Online Lebensmittel Leipzig § 5 UWG unternehmensrecht Event Künstliche Intelligenz Nutzungsrecht Vergütungsmodelle E-Mail-Marketing Störerhaftung Hinweispflichten informationspflichten 2014 SEA wallart Gaming Disorder Registered verlinkung Schöpfungshöhe Autocomplete AIDA Doxing datenverlust Konferenz Gegendarstellung Extremisten Europa Recht Meinung jahresabschluss Heilkunde Limited Sperrabrede Kapitalmarkt Opentable berufspflicht Vertrauen Unterlassung Unlauterer Wettbewerb Kosmetik Rechtsprechung Data Breach brexit Kündigung Unionsmarke Referendar Blog Löschung Wettbewerbsverbot fristen fake news OLG Köln Reisen Weihnachten Datenschutzgesetz technology Großbritannien Tipppfehlerdomain Filesharing Midijob Bildrecherche § 24 MarkenG Einwilligungsgestaltung Bachblüten Stellenangebot Markensperre Rückgaberecht Beweislast BDSG drohnen Erdogan HSMA arbeitnehmer Apps Vergleichsportale Türkisch #emd15 Double-Opt-In Datenschutzrecht transparenzregister right of publicity Stellenausschreibung Anonymisierung Erschöpfungsgrundsatz Consent Management Hacking Kreditkarten Mitarbeiterfotografie USA Werbekennzeichnung Notice & Take Down Dark Pattern Arbeitsrecht Osteopathie OTMR Meinungsfreiheit geldwäsche britain Abhören gesellschaftsrecht Behinderungswettbewerb E-Commerce verlinken veröffentlichung Bestandsschutz vertrag Geschäftsführer EC-Karten LinkedIn Fotografen Impressum Boehmermann CNIL Vertragsrecht Prozessrecht Amazon Kleinanlegerschutz Werbung Schadenersatz Gesichtserkennung Informationsfreiheit Phishing Europawahl Booking.com Geschmacksmuster SSO Linkhaftung Onlineplattform Herkunftsfunktion Touristik Plattformregulierung TeamSpirit Gäste Crowdfunding Flugzeug Überwachung Ruby on Rails Medienprivileg Zahlungsdaten Sperrwirkung Tracking News Markenrecht Minijob WLAN Scam markenanmeldung Datenschutzbeauftragter Buchungsportal Bots Auftragsverarbeitung Gastronomie html5 Dynamic Keyword Insertion Facebook Einwilligung Customer Service hate speech Barcamp Suchfunktion c/o Kinder recht am eigenen bild Online Shopping total buy out

Die Rechtsanwaltssozietät Spirit Legal LLP berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal LLP 2013 - 2019, alle Rechte vorbehalten