Bestellpflicht-Kriterien für Datenschutzbeauftragte

Erleichterung für die deutsche Wirtschaft: Unternehmen müssen erst ab 20 Mitarbeitern Datenschutzbeauftragte bestellen. So oder ähnlich lauten derzeit die Schlagzeilen aus dem Bundesinnenministerium und diversen Zeitungen. Doch stimmt das überhaupt? Im Video geht Peter Hense der Frage nach, wann und aus welchen verschiedenen Gründen Unternehmen Datenschutzbeauftragte bestellen müssen. Denn so einfach, wie das Ministerium von Herrn Seehofer es darstellt, ist es natürlich nicht.

Eine Bestellpflicht für einen Datenschutzbeauftragten kann sich entweder aus der DSGVO ergeben, aus dem BDSG, oder aus vertraglichen Verpflichtungen, die Unternehmen übernommen haben, zB in Versicherungsverträgen einer Betriebshaftpflicht oder Cybersecurity-Versicherung, durch Verträge mit Zahlungsdiensteanbietern bei der Akzeptanz von Kreditkarten, bei bestimmten Standardisierungen nach ISO oder auch, wenn das Unternehmen öffentlich-rechtliche Aufgaben übertragen erhält.

Das alte Bundesdatenschutzgesetz hatte eine Personengrenze vorgesehen, ab der jedenfalls ein Datenschutzbeauftragter zu bestellen ist. Aber auch unter dem alten Recht, bestand eine Bestellpflicht jedoch schon ab dem ersten Mitarbeiter, wenn es sich um riskante Verarbeitungstätigkeiten handelte, die eine Vorabkontrolle erforderten.

Das BDSG von 2018 hielt an dieser europaweit einmaligen Vorgabe fest und definierte bisher die Grenze von mindestens 10 Mitarbeitern, die „ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind. Diese Grenze von 10 Mitarbeitern ist durch eine Gesetzesanpassung im Rahmen des 2. Datenschutz-Anpassungs-und Umsetzungsgesetzes von 10 auf 20 heraufgesetzt worden.

Der Bundesinnenminister, immer noch das Ministerium von Horst Seehofer von der CSU, feierte dies als Entlastung von Kleinunternehmen. Stimmt das? Was meinen Sie? Schauen wir uns das mal näher an: Wofür brauche ich überhaupt einen betrieblichen Datenschutzbeauftragten?

Der betriebliche DSB nimmt mir nicht die Verantwortung ab. Er berät bestenfalls und ist Ansprechpartner für Behörden. Im Idealfall habe ich also einen leidlich kompetenten Ansprechpartner im oder zumindest für das Unternehmen. Die Verantwortung und damit die Haftung für Verletzungen des Datenschutzrechts allerdings, die ruht oder lastet weiterhin auf den Schultern jedes einzelnen Mitarbeiters und der Geschäftsführung.

Unabhängig von der Frage, wie man bis 10 oder 20 zählt, ob man hier nach Köpfen oder Funktionen vorgehen muss, ob Geschäftsführer dazurechnen oder Teilzeitkräfte nicht, gibt es im europäischen Recht der DSGVO ganz eigene Kriterien, die durch die deutsche Fixierung auf das Dezimalsystem nicht aus dem Blick geraten sollten.

Wer besonders umfangreiche oder riskante Verarbeitungen durchführt, der muss unabhängig von der Zahl der Beschäftigten einen Datenschutzbeauftragten bestellen. Wer, wie Retailer, Onlineshops, die Reiseindustrie oder die Teilnehmer an Programmatic Advertising umfangreiche Zahlungsdaten verarbeitet und / oder sensible Daten nach Art. 9 verarbeitet, der ist bereits nach den Vorgaben der DSGVO zur Bestellung eines Datenschutzbeauftragten verpflichtet.

Es gibt ernstzunehmende Stimmen, die bereits den Betrieb einer Facebook Fanpage, eines Instagram-Profils oder den Einsatz von Google Analytics als einen Fall einer umfangreichen und riskanten Datenverarbeitung ansehen, weil die Verarbeitungsvorgänge der Big Player den kleinen Fischen über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zugerechnet werden können.

Auch Erwägungsgrund 24, also die Gesetzesbegründung der DSGVO, legt nahe, dass Webanalyse und Tracking als cross domain und cross device als solche genügen, um von einer systematischen Beobachtung zu sprechen. Auch Betrugspräventionssysteme, regelmäßige Bonitätsabfragen, der Einsatz von Sprachassistenzsystemen wie der Amazon Echo-Plattform sowie der Einsatz von optoelektronischen Überwachungssystemen (Video, Infrarot, Ultraschall, WiFi-Tracking) - alle diese Vorgänge lassen sich aber einer gewissen Relevanz im Geschäftsalltag zwanglos unter Art. 37 DSGVO, der die Voraussetzungen der DSB-Bestellpflicht recht allgemein beschreibt, einordnen.

Auch wer Kundenbindungsprogramme anbietet und die Einkäufe seiner Kunden verarbeitet und beobachtet, der wird in aller Regel die Voraussetzungen von Art. 37 DSGVO erfüllen und einen Datenschutzbeauftragten benennen müssen. Kurzum, alles das, was das Geschäftsleben von Unternehmen digital und effektiv macht, trägt das Risiko in sich, Rechte von Betroffenen in besonderem Maße zu beeinträchtigen und unterliegt daher besonderen Anforderungen: Mal ist es die Verpflichtung zur Datenschutzfolgeabschätzung, mal die Bestellpflicht eines Datenschutzbeauftragten. Was sind denn aber die Folgen, wenn ich keinen bestelle, aber einen hätte bestellen müssen? Nun ja, wie ich eingangs sagte, das ist ein weites Feld.

Wer gegen die Bestellpflicht verstößt, verstößt in der Regel noch gegen ganz andere Vorgaben aus der DSGVO. Die werden dann üblicherweise einfach härter sanktioniert, als wenn ein Datenschutzbeauftragter, wie kompetent auch immer, bestellt worden wäre.

Wer unter Verstoß gegen seine Obliegenheitsverpflichtungen aus dem Versicherungsvertrag keinen Datenschutzbeauftragten bestellt, der kann nicht erwarten, dass eine Versicherung einen eingetretenen Schaden deckt. Versicherungen sind nicht reich und mächtig, weil sie gern Schäden regulieren.

Wer keinen Datenschutzbeauftragten bestellt, obwohl er umfangreiche Zahlungsdienstleistungen einsetzt, der verstößt mitunter gegen seine Verpflichtungen unter dem Payment Card Industry-Data Security Standard (PCI-DSS) in Verbindung mit den entsprechenden vertraglichen Vereinbarungen der kreditkartenausgebenden Unternehmen.

Im Falle eines Data Breach, eines Datenlecks, kann der Unternehmen dann seine Einwendungen gegen drohende Vertragsstrafen in Orange County, Californien, vorbringen, wo der Gerichtsstand einiger großer US-Kreditkartenunternehmen ist. Das wird aus Erfahrung weder billig noch lustig.

Ein betrieblicher Datenschutzbeauftragter allein löst keine Probleme. Allein die Unternehmensführung ist in der Lage, Prioritäten zu setzen, rechtskonformes Arbeiten anzuweisen und dadurch Risiken aufzulösen. Ob mit oder ohne Datenschutzbeauftragten ist dies eine Mammutaufgabe, die auch ein Jahr nach Anwendbarkeit der DSGVO viele Unternehmen überfordert. Insofern, das ist meine Meinung, stellt sich nicht die Frage, ob ich einen Datenschutzbeauftragten bestellen sollte, sondern welchen.

Wenn Sie Beratungsbedarf bei der rechtskonformen Umsetzung von elektronischer Werbung haben, sprechen Sie mich einfach an.

 

Wenn Sie diesen Beitrag interessant und hilfreich fanden,
dann bleiben Sie doch am Ball und schreiben sich in unseren Newsletter ein:

Sie erhalten donnerstags sieben relevante Leseepfehlungen aus den Themenfeldern
Recht - Technologie - Marketing - Wissenschaft

Spirit Legal LLP Newsletter abonnieren

Sie finden alle Digital DNA Newsletter und Schwerpunktthemen in unserem Archiv.

Einen Kommentar schreiben

Tags

Persönlichkeitsrecht Algorithmus Transparenz EC-Karten Machine Learning Bildung handel Heilkunde Niederlassungsfreiheit online werbung berufspflicht § 5 UWG FTC Gegendarstellung Hinweispflichten Datenschutzbeauftragter Ofcom SSO Sponsoring copter § 24 MarkenG Consent Management Werbung Unterlassung Kennzeichnung LinkedIn Schadensfall Schadensersatz Datenpanne Verlängerung E-Mobilität Abhören Suchalgorithmus Sperrabrede Stellenangebot Finanzaufsicht Videokonferenz EuGH Kinderrechte Infosec Konferenz Dynamic Keyword Insertion Online Marketing § 15 MarkenG LMIV Internetrecht Beweislast messenger Amazon Microsoft BDSG Recap Gesetz Analytics Buchungsportal Tracking Lebensmittel Anonymisierung Art. 13 GMV Kekse Flugzeug wallart Referendar Facebook Data Breach Restaurant kündigungsschutz Hackerangriff fake news Bußgeld Beleidigung Opentable Blog ePrivacy New Work Pressekodex Ring anwaltsserie Künstliche Intelligenz Einwilligung entgeltgleichheit targeting Umtausch Compliance jahresabschluss Kunsturhebergesetz gdpr custom audience HipHop Informationspflicht Duldungsvollmacht Google AdWords Leipzig Hotelkonzept UWG Online-Portale Online Shopping Kreditkarten Instagram LG Hamburg Social Engineering Weihnachten selbstanlageverfahren Rechtsanwaltsfachangestellte Preisauszeichnung drohnen Selbstverständlichkeiten right of publicity Distribution Linkhaftung LikeButton Löschungsanspruch Auftragsdatenverarbeitung Stellenausschreibung EU-Textilkennzeichnungsverordnung Hotel Sampling Abmahnung data ISPs Vertragsrecht Europawahl transparenzregister Rufschädigung Identitätsdiebstahl Foto email marketing München #emd15 AGB Hack Facial Recognition Asien Urlaub Cyber Security Hotelsterne § 5 MarkenG Hotels HSMA Radikalisierung Haftung verlinken EU-Kosmetik-Verordnung Rabattangaben Diskriminierung Education Unlauterer Wettbewerb schule Booking.com Lizenzrecht News Meinung Freelancer Auftragsverarbeitung CRM Wettbewerbsrecht Osteopathie Kundenbewertung TeamSpirit Single Sign-On CNIL Medienrecht Pseudonomisierung Email Extremisten Erdogan Xing Marketing Touristik Conversion Hacking LG Köln Bestandsschutz bgh Arbeitsvertrag technology Europa Suchfunktion WLAN Panorama AIDA Apps Class Action Home-Office Markenrecht Resort videoüberwachung Bundeskartellamt Website Einverständnis Kennzeichnungskraft Zustellbevollmächtigter USA Urheberrecht nutzungsrechte Leaks Erbe Urheberrechtsreform Datenschutzgrundverordnung arbeitnehmer NetzDG

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2024, alle Rechte vorbehalten

Förderung von Fachanwaltskursen & anwaltlichen Fortbildungen durch SAB Sachsen: