Der Datenschutzbeauftragte in der Praxis – Wann braucht man einen Datenschutzbeauftragten? (Teil 1/4)

Datenschutz ist schon längst nicht mehr nur ein Modethema, sondern bereits in den Unternehmen angekommen. Dennoch bestehen aufgrund des komplexen Zusammenspiels der europäischen Vorschriften – der Datenschutzgrundverordnung (kurz: DS-GVO) – und dem nationalen Bundesdatenschutzgesetz (kurz: BDSG) Unklarheiten über die Anwendung der datenschutzrechtlichen Vorschriften in der Praxis. In dieser Beitragsreihe widmen wir uns deshalb grundlegenden Fragen rund um den Datenschutzbeauftragten.

I. Ab wann braucht man einen Datenschutzbeauftragten?

1. Regelungen der DS-GVO

Die DS-GVO enthält in Art. 37 DS-GVO Angaben dazu, wann ein Datenschutzbeauftragter benannt werden muss.

Die Pflicht, einen Datenschutzbeauftragen zu benennen, besteht zunächst für Behörden und öffentliche Stellen, die personenbezogene Daten verarbeiten (mit Ausnahme von Gerichten).

Darüber hinaus besteht diese Pflicht für Betriebe, deren Kerntätigkeit entweder in der Verarbeitung personenbezogener Daten liegt oder die umfangreich besondere Kategorien personenbezogener Daten (Vgl. Art. 9 DS-GVO: z.B. Gesundheitsdaten) verarbeiten. Letzteres ist regelmäßig bei Krankenversicherungen und Arztpraxen einschlägig. 

2. Regelungen des BDSG

Für deutsche Unternehmen gilt zudem die Sonderregelung des § 38 Abs. 1 BDSG.

Demnach besteht die Pflicht zur Ernennung eines Datenschutzbeauftragten auch dann, wenn der für die Verarbeitung der personenbezogenen Daten Verantwortliche in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt. Mit einer automatisierten Verarbeitung ist grundsätzlich jede IT-gestützte Datenverarbeitung gemeint. „Ständig“ mit der Datenverarbeitung beschäftigt sind alle Personen, die an einem Bildschirmarbeitsplatz mit personenbezogenen Daten umgehen. Typischerweise ist hiervon bei Sachbearbeitern, Vertriebsmitarbeitern sowie Mitarbeitern der IT- oder Personalabteilung auszugehen. In der Beschäftigtenanzahl sind Teilzeitkräfte, Leiharbeitnehmer und freie Mitarbeiter zu berücksichtigen. Ausgenommen sind hier die Geschäftsführung und der Vorstand. Ebenso wenig können dem Verantwortlichen die Mitarbeiter eines Auftragsverarbeiters zugerechnet werden.

Unabhängig von der Anzahl der Beschäftigten statuiert das BDSG die Pflicht, einen Datenschutzbeauftragten zu bestellen, wenn personenbezogene Daten verarbeitet werden, die einer Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO unterliegen (eine Liste der Verarbeitungen, die nach Ansicht der Datenschutzkonferenz – einem unabhängigen Gremium der deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder – einer Datenschutz-Folgenabschätzung unterliegen, erhalten Sie hier. Dies kann beispielsweise schon bei einer Videoüberwachung erfüllt sein. Unternehmen, die eine Videoüberwachung einsetzen (z.B. zur Sicherung von Eingängen), müssen daher regelmäßig – unabhängig von der Zahl der Beschäftigten – einen Datenschutzbeauftragten bestellen.

Diese Pflicht besteht auch dann, wenn die Verarbeitung geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung geschieht. Hiervon sind typischerweise Auskunfteien oder aber auch Bewerbungsportale umfasst.

II. Drohende Folgen bei Verstößen

Um die Ziele der DS-GVO – namentlich den Schutz personenbezogener Daten der Betroffenen – effektiv durchzusetzen, sieht die DS-GVO empfindliche Bußgelder bei Verstößen vor. Bei einem Verstoß gegen Art. 37 DS-GVO (hier: die verpflichtende Bestellung eines Datenschutzbeauftragten) kann ein Bußgeld von bis zu 10.000.000 Euro (!) oder bei einem Unternehmen von bis zu 2 % des weltweiten Vorjahresumsatzes verhängt werden. Gleiches gilt bei einem Verstoß gegen § 38 Abs. 1 BDSG.

In der Praxis bewegen sich die verhängten Bußgelder i.d.R. weit unter den angedrohten Höchstbeträgen. So wurden bspw. bei der unterlassenen Benennung eines Datenschutzbeauftragten trotz mehrmaliger Aufforderung Bußgelder um 10.000 € verhängt. Ob und inwieweit solche Bußgelder vor Gericht halten, bleibt abzuwarten.

Nicht nur die gänzlich unterlassene, sondern auch die fehlerhafte Benennung eines Datenschutzbeauftragten kann sanktioniert werden. Dies ist insbesondere dann der Fall, wenn ein Datenschutzbeauftragter bestellt wird, der nicht die erforderlichen Fähigkeiten aufweist (hierzu mehr in dem zweiten Teil unserer Beitragsreihe).

Neben dem Bußgeld kommt eine Haftung der Geschäftsleitung gegenüber der Gesellschaft im Innenverhältnis wegen eines Verstoßes gegen deren Sorgfaltspflichten (für die GmbH § 43 GmbHG sowie für die AG §§ 91, 93 AktG) in Betracht.

III. Fazit

Vor dem Hintergrund der sensiblen Bußgelder in astronomischer Höhe, empfiehlt es sich, sich umfangreich und gründlich mit dem Thema „Datenschutzbeauftragter“ auseinanderzusetzen.

Im kommenden Teil unserer Beitragsreihe „Der Datenschutzbeauftragte in der Praxis“ widmen wir uns der Frage, wie man Datenschutzbeauftragter wird.

Weitere Artikel zum Thema