Bestellpflicht-Kriterien für Datenschutzbeauftragte

Erleichterung für die deutsche Wirtschaft: Unternehmen müssen erst ab 20 Mitarbeitern Datenschutzbeauftragte bestellen. So oder ähnlich lauten derzeit die Schlagzeilen aus dem Bundesinnenministerium und diversen Zeitungen. Doch stimmt das überhaupt? Im Video geht Peter Hense der Frage nach, wann und aus welchen verschiedenen Gründen Unternehmen Datenschutzbeauftragte bestellen müssen. Denn so einfach, wie das Ministerium von Herrn Seehofer es darstellt, ist es natürlich nicht.

Eine Bestellpflicht für einen Datenschutzbeauftragten kann sich entweder aus der DSGVO ergeben, aus dem BDSG, oder aus vertraglichen Verpflichtungen, die Unternehmen übernommen haben, zB in Versicherungsverträgen einer Betriebshaftpflicht oder Cybersecurity-Versicherung, durch Verträge mit Zahlungsdiensteanbietern bei der Akzeptanz von Kreditkarten, bei bestimmten Standardisierungen nach ISO oder auch, wenn das Unternehmen öffentlich-rechtliche Aufgaben übertragen erhält.

Das alte Bundesdatenschutzgesetz hatte eine Personengrenze vorgesehen, ab der jedenfalls ein Datenschutzbeauftragter zu bestellen ist. Aber auch unter dem alten Recht, bestand eine Bestellpflicht jedoch schon ab dem ersten Mitarbeiter, wenn es sich um riskante Verarbeitungstätigkeiten handelte, die eine Vorabkontrolle erforderten.

Das BDSG von 2018 hielt an dieser europaweit einmaligen Vorgabe fest und definierte bisher die Grenze von mindestens 10 Mitarbeitern, die „ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind. Diese Grenze von 10 Mitarbeitern ist durch eine Gesetzesanpassung im Rahmen des 2. Datenschutz-Anpassungs-und Umsetzungsgesetzes von 10 auf 20 heraufgesetzt worden.

Der Bundesinnenminister, immer noch das Ministerium von Horst Seehofer von der CSU, feierte dies als Entlastung von Kleinunternehmen. Stimmt das? Was meinen Sie? Schauen wir uns das mal näher an: Wofür brauche ich überhaupt einen betrieblichen Datenschutzbeauftragten?

Der betriebliche DSB nimmt mir nicht die Verantwortung ab. Er berät bestenfalls und ist Ansprechpartner für Behörden. Im Idealfall habe ich also einen leidlich kompetenten Ansprechpartner im oder zumindest für das Unternehmen. Die Verantwortung und damit die Haftung für Verletzungen des Datenschutzrechts allerdings, die ruht oder lastet weiterhin auf den Schultern jedes einzelnen Mitarbeiters und der Geschäftsführung.

Unabhängig von der Frage, wie man bis 10 oder 20 zählt, ob man hier nach Köpfen oder Funktionen vorgehen muss, ob Geschäftsführer dazurechnen oder Teilzeitkräfte nicht, gibt es im europäischen Recht der DSGVO ganz eigene Kriterien, die durch die deutsche Fixierung auf das Dezimalsystem nicht aus dem Blick geraten sollten.

Wer besonders umfangreiche oder riskante Verarbeitungen durchführt, der muss unabhängig von der Zahl der Beschäftigten einen Datenschutzbeauftragten bestellen. Wer, wie Retailer, Onlineshops, die Reiseindustrie oder die Teilnehmer an Programmatic Advertising umfangreiche Zahlungsdaten verarbeitet und / oder sensible Daten nach Art. 9 verarbeitet, der ist bereits nach den Vorgaben der DSGVO zur Bestellung eines Datenschutzbeauftragten verpflichtet.

Es gibt ernstzunehmende Stimmen, die bereits den Betrieb einer Facebook Fanpage, eines Instagram-Profils oder den Einsatz von Google Analytics als einen Fall einer umfangreichen und riskanten Datenverarbeitung ansehen, weil die Verarbeitungsvorgänge der Big Player den kleinen Fischen über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zugerechnet werden können.

Auch Erwägungsgrund 24, also die Gesetzesbegründung der DSGVO, legt nahe, dass Webanalyse und Tracking als cross domain und cross device als solche genügen, um von einer systematischen Beobachtung zu sprechen. Auch Betrugspräventionssysteme, regelmäßige Bonitätsabfragen, der Einsatz von Sprachassistenzsystemen wie der Amazon Echo-Plattform sowie der Einsatz von optoelektronischen Überwachungssystemen (Video, Infrarot, Ultraschall, WiFi-Tracking) - alle diese Vorgänge lassen sich aber einer gewissen Relevanz im Geschäftsalltag zwanglos unter Art. 37 DSGVO, der die Voraussetzungen der DSB-Bestellpflicht recht allgemein beschreibt, einordnen.

Auch wer Kundenbindungsprogramme anbietet und die Einkäufe seiner Kunden verarbeitet und beobachtet, der wird in aller Regel die Voraussetzungen von Art. 37 DSGVO erfüllen und einen Datenschutzbeauftragten benennen müssen. Kurzum, alles das, was das Geschäftsleben von Unternehmen digital und effektiv macht, trägt das Risiko in sich, Rechte von Betroffenen in besonderem Maße zu beeinträchtigen und unterliegt daher besonderen Anforderungen: Mal ist es die Verpflichtung zur Datenschutzfolgeabschätzung, mal die Bestellpflicht eines Datenschutzbeauftragten. Was sind denn aber die Folgen, wenn ich keinen bestelle, aber einen hätte bestellen müssen? Nun ja, wie ich eingangs sagte, das ist ein weites Feld.

Wer gegen die Bestellpflicht verstößt, verstößt in der Regel noch gegen ganz andere Vorgaben aus der DSGVO. Die werden dann üblicherweise einfach härter sanktioniert, als wenn ein Datenschutzbeauftragter, wie kompetent auch immer, bestellt worden wäre.

Wer unter Verstoß gegen seine Obliegenheitsverpflichtungen aus dem Versicherungsvertrag keinen Datenschutzbeauftragten bestellt, der kann nicht erwarten, dass eine Versicherung einen eingetretenen Schaden deckt. Versicherungen sind nicht reich und mächtig, weil sie gern Schäden regulieren.

Wer keinen Datenschutzbeauftragten bestellt, obwohl er umfangreiche Zahlungsdienstleistungen einsetzt, der verstößt mitunter gegen seine Verpflichtungen unter dem Payment Card Industry-Data Security Standard (PCI-DSS) in Verbindung mit den entsprechenden vertraglichen Vereinbarungen der kreditkartenausgebenden Unternehmen.

Im Falle eines Data Breach, eines Datenlecks, kann der Unternehmen dann seine Einwendungen gegen drohende Vertragsstrafen in Orange County, Californien, vorbringen, wo der Gerichtsstand einiger großer US-Kreditkartenunternehmen ist. Das wird aus Erfahrung weder billig noch lustig.

Ein betrieblicher Datenschutzbeauftragter allein löst keine Probleme. Allein die Unternehmensführung ist in der Lage, Prioritäten zu setzen, rechtskonformes Arbeiten anzuweisen und dadurch Risiken aufzulösen. Ob mit oder ohne Datenschutzbeauftragten ist dies eine Mammutaufgabe, die auch ein Jahr nach Anwendbarkeit der DSGVO viele Unternehmen überfordert. Insofern, das ist meine Meinung, stellt sich nicht die Frage, ob ich einen Datenschutzbeauftragten bestellen sollte, sondern welchen.

Wenn Sie Beratungsbedarf bei der rechtskonformen Umsetzung von elektronischer Werbung haben, sprechen Sie mich einfach an.