Artikel-Update, 18.12.2019: Das 2. Datenschutz-Anpassungsgesetz: Änderungen bei DSB und BDSG
Seit dem 25.05.2018 wirkt die Datenschutz-Grundverordnung (DSGVO). Die DSGVO dient vor allem der Angleichung und Vereinheitlichung des Datenschutzniveaus in Europa. Damit soll auch ein Forum-Hopping durch Unternehmen vermieden werden. Dennoch enthält die DSGVO an zahlreichen Stellen sog. Öffnungsklauseln, mittels derer den nationalen Gesetzgebern Spielräume zur Konkretisierung einzelner DSGVO-Vorgaben eingeräumt werden. Um diese Öffnungsklauseln besser als bisher auszunutzen sowie zur Anpassung von Begriffsbestimmungen und Verweisen arbeitet der deutsche Gesetzgeber aktuell an einem zweiten Datenschutz-Anpassungsgesetz. Bezüglich der Frage, wann ein Datenschutzbeauftragter bestellt werden muss, gibt es dabei Unklarheiten, in die dieser Beitrag Licht bringen soll.
Hintergrund: Wie ist die Bestellung von Datenschutzbeauftragen in der DSGVO geregelt?
Erfordert die „Kerntätigkeit“ des Verantwortlichen oder des Auftragsverarbeiters „aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung“ von Personen, so sind die verantwortlichen Unternehmen bzw. ihre Auftragsverarbeiter zur Bestellung eines Datenschutzbeauftragten verpflichtet (vgl. Art. 37 Abs. 1 (b) DSGVO). Gemeint sind damit – wie bereits nach dem alten BDSG – v.a. Unternehmen, die mit Daten als „Ware“ handeln, also Auskunfteien, Adresshandelsunternehmen, Meinungsforscher etc.
Die Artikel-29-Datenschutzgruppe, die sich aus Vertretern aller Datenschutzbehörden der EU zusammensetzte führte aus, dass sich eine „umfangreiche“ Überwachung im Sinne des Art. 37 DSGVO v.a. an der Anzahl der überwachten Personen, der Datenmenge, der Verarbeitungsdauer und der geografischen Reichweite der Datenverarbeitung bemisst.
Daneben verlangt Art. 37 Abs. 1 (c) DSGVO auch dann die Bestellung eines Datenschutzbeauftragten, wenn das verantwortliche Unternehmen oder der Auftragsverarbeiter einer Kerntätigkeit nachgehen, die in Zusammenhang mit der umfangreichen Erhebung besonders sensibler Daten gemäß Art. 9 DSGVO (z.B. über Herkunft oder Religion) oder strafrechtlicher Verurteilungen gemäß Art. 10 DSGVO steht
Das neue BDSG konkretisierte die Anforderungen an die Bestellung eines Datenschutzbeauftragten in § 38 Abs. 1 S. 1 und 2 BDSG dahingehend, dass einer zu bestellen ist, soweit regelmäßig mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Daneben ist ein Datenschutzbeauftragter zu bestellen, wenn aufgrund der Verarbeitung eine Datenschutzfolgenabschätzung nach der DSGVO erforderlich ist. Dies ist v.a. dann der Fall, wenn aufgrund der Art oder des Umfangs der Verarbeitung ein besonders hohes Risiko für die Rechte und Interessen des Betroffenen besteht. Zudem regelt § 38 Abs. 1 S. 2 BDSG, dass dann ein Datenschutzbeauftragter zu bestellen ist, wenn „personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung“ verarbeitet werden. Im letzten Fall hat die Bestellung unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen zu erfolgen.
Problem: Aktuelle Reformvorschläge
Nach dem aktuellen Vorschlag des federführenden Ausschusses für innere Angelegenheiten und des Wirtschaftsausschusses des Bundesrates wird dem Bundesrat nahegelegt, für eine Reform der Bestellpflicht des Datenschutzbeauftragten zu stimmen. Die Mitarbeiterzahl soll danach kein Kriterium mehr für die Bestellpflicht sein. Nur, „soweit personenbezogene Daten geschäftsmäßig oder zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung“ verarbeitet werden, soll ein Datenschutzbeauftragter bestellt werden. Damit sollen v.a. kleinere und mittlere Unternehmen, aber auch Freiberufler und Organisationen, die überwiegend aus ehrenamtlichen Mitarbeitern bestehen, wie z.B. Vereine, entlastet werden. Die Vergleichbarkeit mit europäischen Wettbewerbern sei nicht gewährleistet, wenn in Deutschland zusätzliche Kosten durch die Bestellung von Datenschutzbeauftragten entstünden. Datenschutzbeauftragte sollen also v.a. von Unternehmen bestellt werden, die Daten geschäftsmäßig zum Zweck der Übermittlung verarbeiten. Ausdrücklich genannt sind Auskunfteien, Adresshandelsunternehmen und Markt- und Meinungsforschungsinstitute. Nur für diese Unternehmen und in Fällen, in denen (für alle Unternehmen) eine Datenschutz-Folgenabschätzung notwendig ist, wird das Risiko für Betroffenenrechte als groß genug eingeschätzt, um eine Bestellpflicht zu installieren.
Als Hilfsempfehlung nennt der Vorschlag der beiden Ausschüsse eine Begrenzung der Bestellpflicht von Unternehmen, die mindestens 10 Mitarbeiter mit der Verarbeitung von Daten beschäftigen, für Fälle, in denen „die Verarbeitung gewerblichen Zwecken dient“.
Eine weitere Hilfsempfehlung möchte die bisherige Fassung des § 38 Abs. 1 S. 1 erhalten, allerdings die Bestellpflicht von 10 auf 50 Mitarbeiter erhöhen. Auch damit sollen kleinere und mittlere Unternehmen sowie Freiberufler und Ehrenämter entlastet werden. Vor allem weil der Datenschutzbeauftragte überwiegend als Beratungs- und Kontrollorgan diene, müssten sich Unternehmen datenschutzrechtliche Kenntnisse nämlich ohnehin aneignen. Auch hier sollen keine Nachteile im europäischen Wettbewerb entstehen.
Stellungnahme
Die Vorschläge des federführenden Ausschusses für innere Angelegenheiten und des Wirtschaftsausschusses des Bundesrates können nicht vollständig überzeugen. Die Bestellung eines Datenschutzbeauftragten kann zwar mit Kosten verbunden sein, vermeidet jedoch unter Umständen die hohen Bußgelder der DSGVO. Die Artikel-29-Datenschutzgruppe führt in ihrer Stellungnahme zur Verhängung von Bußgeldern aus, dass die Vorbereitung des Unternehmens auf die Einhaltung der DSGVO zu berücksichtigen sind. So kann sich die Bestellung eines Datenschutzbeauftragten positiv auf die Bußgeldhöhe auswirken.
Zudem kann der Datenschutzbeauftragte die Einhaltung der DSGVO an der Schnittstelle verschiedener Unternehmensbereiche koordinieren und damit das Risiko für Verstöße senken, das gerade in diesem Bereich (v.a. bei der Weitergabe von Daten zwischen einzelnen Unternehmensteilen) auch bei kleineren und mittleren Unternehmen – wie Start-Ups – besonders hoch ist.
Zur Vermeidung von Datenschutzverstößen und zur Information der Mitarbeiter über Veränderungen im Datenschutzrecht sind Schulungen dringend geboten. Auch diese Aufgabe kann vom Datenschutzbeauftragten übernommen werden. Es stellt sogar einen Vorteil im europäischen Wettbewerb dar, wenn ein Unternehmen als besonders sicher im Umgang mit personenbezogenen Daten gilt.
Die Artikel-29-Datenschutzgruppe empfiehlt Unternehmen zudem bereits die interne Analyse, ob ein Datenschutzbeauftragter bestellt werden muss, zu dokumentieren. Damit kann ein Nachweis über das Bemühen um die Einhaltung der Vorgaben der DSGVO geführt werden und es können Bußgelder minimiert oder verhindert werden. Auch diese Empfehlung belegt, dass die Bestellung eines Datenschutzbeauftragten nicht allein an Kostenaspekten gemessen werden darf.
Viele Unternehmen, v.a. regulierte Unternehmen wie Banken, arbeiten zudem nur mit Unternehmen zusammen, die über einen Datenschutzbeauftragten verfügen. Damit versuchen sie ebenfalls ihren Pflichten zur Einhaltung der DSGVO nachzukommen. Auch aus diesem Grund empfiehlt sich die Bestellung eines Datenschutzbeauftragten, möchte man auf diese Zusammenarbeit nicht verzichten.
Fazit und Handlungsempfehlung
Die Vorschläge der beiden Ausschüsse des Bundesrates sind zum einen noch weit davon entfernt in Gesetzeskraft zu erwachsen. Es bleibt abzuwarten, ob der Bundesrat ihnen folgt bzw. für welche der teils unterschiedlichen Empfehlungen er sich entscheidet. Ebenso bleibt abzuwarten, ob und wie sich Bundestag und Bundesrat einigen werden.
Unternehmen sollten daher das Gesetzgebungsverfahren zum Datenschutz-Anpassungsgesetz genau verfolgen und keinesfalls voreilig auf die Bestellung von Datenschutzbeauftragten verzichten.