von RA Max-Lion Keller, LL.M. (IT-Recht)

Müssen Online-Händler einen Datenschutzbeauftragten nach der künftigen Datenschutz-Grundverordnung benennen?

News vom 14.12.2017, 14:07 Uhr | 1 Kommentar 

Die ab 25.5.2018 geltende Datenschutz-Grundverordnung (DSGVO) sieht auch die Benennung eines Datenschutzbeauftragten vor. Nur was ist ein solcher Beauftragter und unter welchen Voraussetzungen muss er von wem ernannt werden? Dies sind Fragen, die Online-Händler bis zum 25.5.2018 beantwortet haben müssen. Die IT-Recht Kanzlei will Ihnen mit dem folgenden Beitrag im Frage & Antwort Format helfen, hierzu eine Antwort zu finden. (Artikel der DSGVO werden ohne die DGSVO zitiert.)

1. Begriff des Datenschutzbeauftragten

Frage: Was ist ein Datenschutzbeauftragter?

Der Datenschutzbeauftragte ist eine natürliche Person, „die über Fachwissen auf dem Gebiet des Datenschutzrechts und des Datenschutzverfahrens verfügt“ und den „Verantwortlichen oder Auftragsverarbeiter in vollständiger Unabhängigkeit bei der Überwachung der internen Einhaltung“ der DSGVO unterstützt (Erwägungsgrund 97 der DSGVO).

Exkurs: Damit sind drei Schlüsselbegriffe der DGSVO genannt, nämlich

  • der Verantwortliche,
  • der Auftragsverarbeiter und
  • der Datenschutzbeauftragte.

Zum allgemeinen Verständnis dieser Begriffe, s. diesen Beitrag der IT-Recht Kanzlei.

2. Wer zur Benennung eines Datenschutzbeauftragten verpflichtet ist

Hier muss man sich an die Begrifflichkeit der DSGVO gewöhnen. Die DSGVO spricht von

  • Verantwortlichem und
  • Auftraggeber,

die zur Benennung eines Datenschutzbeauftragten verpflichtet sind.

Frage: Wer ist der Verantwortliche?

Der Verantwortliche im Sinne der DSGVO ist immer der Entscheidungsbefugte.

Für den kleineren Online-Händler, der als Einzelperson ohne ein Unternehmen agiert, gilt daher, dass er der Verantwortliche ist.

Für ein Online-Unternehmen, das etwa in der Form einer juristischen Person organisiert ist, kann der Verantwortliche der Geschäftsführer des Unternehmens oder die juristische Person selbst (z.B. GmbH) sein.

unlimited

Frage: Wer ist der Auftragsverarbeiter?

Der Auftragsverarbeiter ist ein externer Dienstleister, der im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet (Art. 4 Nr. 8). Er ist in bestimmten Fällen verpflichtet, einen Datenschutzbeauftragten zu benennen.

Frage: Müssen Verantwortlicher und Auftragsverarbeiter beide einen Datenschutzbeauftragten bestellen?

Nein

Auftragsverarbeiter (falls ernannt) und der Verantwortliche müssen nicht beide einen Datenschutzbeauftragten bestellen. Eine kumulative Bestellpflicht besteht nur, wenn beide die Voraussetzungen des Art. 37 erfüllen. Es sind durchaus Fallkonstellationen denkbar, wo nur der Auftraggeber verpflichtet ist, einen Datenschutzbeauftragten zu bestellen (s. Kommentar Ehmann/Selmayr Art. 37 Rdnr. 16).

3. In welchen Fällen ein Datenschutzbeauftragter benannt werden muss

Vorbemerkung: Die Frage einer verpflichtenden Ernennung eines Datenschutzbeauftragten ist nach den einschlägigen Normen der DSGVO nur schwierig zu beantworten, da die DGSVO viele vage Begriffe kennt und teilweise die DGSVO mit nationaler deutscher Gesetzgebung verschränkt ist. Darum kann es eine Pflichternennung auf der Grundlage der DSGVO und eine Pflichternennung auf Grundlage des deutschen Anpassungsgesetzes geben. Diese beiden Fallgestaltungen werden später unter dem Schlagwort „Pflichtbenennung eines Datenschutzbeauftragten nach Art. 37 DSGVO“ und „Pflichtbenennung eines Datenschutzbeauftragten nach § 38 deutsches Anpassungsgesetz“ abgehandelt. Im Folgenden soll der Leser Schritt für Schritt durch das „Dickicht“ dieser Regelungen geführt werden.

3.1 Pflichtbenennung eines Datenschutzbeauftragten nach DSGVO

Vorbemerkung: Wie bereits ausgeführt, muss man zwischen der verpflichtenden Pflichtbenennung eines Datenschutzbeauftragten nach Art. 37 der DSGVO und nach dem deutschen Anpassungsgesetz zur DSGVO unterscheiden. Die DSGVO hat dem deutschen Gesetzgeber die Möglichkeit gegeben, die verpflichtende Benennung eines Datenschutzbeauftragten teilweise abweichend zur DSGVO zu regeln. Von dieser Möglichkeit hat der deutsche Gesetzgeber mit § 38 des Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU (Anpassungsgesetz) Gebrauch gemacht. Darum müssen hier wie oben ausgeführt bei der Frage der Pflichtbenennung zwei verschiedene gesetzliche Regelungen beachtet werden.

Frage: In welchen Fällen muss ein Datenschutzbeauftragter nach Art. 37 ernannt werden?

Ein Datenschutzbeauftragter muss nach DSGVO bestellt werden, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungstätigkeiten besteht,

  • welche eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erfordern (Fallgruppe 1, Art. 37 Abs. 1 lit b), oder:
  • es sich bei den verarbeiteten Daten um besonders sensible Daten handelt (Fallgruppe 2, Art. 37 Abs. 1 lit c).

Frage: Gelten die beiden genannten Fallgruppen auch für Online-Händler?

Für Online-Händler trifft im Regelfall nur die Fallgruppe 1 zu, wenn ihre Kerntätigkeit in der Durchführung von Verarbeitungstätigkeiten besteht, welche eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erfordern. Die zweite Fallgruppe, die Verarbeitung von besonders sensiblen Daten wie Gesundheitsdaten, Daten zur sexuellen Orientierung oder Daten über strafrechtliche Verurteilungen, betrifft nur in Sonderfällen die Tätigkeit eines Online-Händlers. Online-Händler können unter die zweite Fallgruppe fallen, wenn Sie z.B. Medikamente vertreiben oder wenn sie erotische Artikel anbieten.

Frage: Trifft für die beiden genannten Fallgruppen nach DSGVO die Pflicht zur Benennung eines Datenschutzbeauftragten auch auf kleinere Online-Händler zu?

Nein

Art. 37 selbst knüpft zwar nicht an konkrete Schwellenwerte hinsichtlich der der mit der Datenverarbeitung beschäftigten Mitarbeiterzahl eines Online-Unternehmens an. Der deutsche Gesetzesgeber hat aber mit § 38 des Anpassungsgesetzes von der Öffnungsklausel in Art. 37 Gebrauch gemacht und geregelt, dass für die beiden genannten Fallgruppen des Art. 37 eine Pflicht zur Benennung eines Datenschutzbeauftragten nur greift, wenn Online-Händler in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Auf "kleinere" Online-Händler und damit auf die überwiegende Mehrzahl der Online-Händler trifft dieser Schwellenwert von 10 Personen nicht zu. Es muss sich schon um "größere" Online-Händler handeln (im Folgenden: Größere Online-Händler= Online-Händler, bei denen mehr als 10 Personen ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind).

Zwischenergebnis: Die Pflichtbenennung eines Datenschutzbeauftragten nach DSGVO trifft für die überwiegende Mehrheit der Online-Händler nicht zu, da sie nicht mehr als Personen mit der Datenverarbeitung beschäftigen.

Frage: Wann ist die Tätigkeit eines größeren Online-Unternehmens als Kerntätigkeit im Sinne der beiden genannten Fallgruppen zu verstehen?

Die Verarbeitung personenbezogener Daten im Sinne der beiden genannten Fallgruppen muss sich auf die Haupttätigkeit eines größeren Online-Händlers und nicht auf eine Nebentätigkeit beziehen (Erwägungsgrund 97). In der Regel besteht die Haupttätigkeit eines Online-Händler im Verkauf von Produkten. Die Verarbeitung von personenbezogenen Daten ist notwendige Nebentätigkeit, um den Online-Verkauf von Produkten zu ermöglichen. Im Kommentar Kühling/Buchner, Art. 37 Rdnr. 20 sind als Fallbeispiele etwa die Auskunftei, Detektei, Personalvermittler oder Online-Werbevermarkter genannt, bei denen eine Kerntätigkeit des Unternehmens im Sinne der beiden genannten Fallgruppen bejaht werden kann. Dies trifft aber auf Online-Händler in der Regel nicht zu.

Zwischenergebnis: Größere Online-Händler, deren Haupttätigkeit im Vertrieb von Produkten besteht, fallen in der Regel nicht unter die Fallgruppen des Art. 37 und unterliegen keiner Pflicht zur Ernennung eines Datenschutz-Beauftragten nach Art. 37.

3.2 Pflichtbenennung eines Datenschutzbeauftragten nach Anpassungsgesetz

Vorbemerkung: Wie bereits oben ausgeführt, muss jetzt noch über die DSGVO hinaus die Pflichtbenennung nach deutschem Anpassungsgesetz geprüft werden, da das deutsche Anpassungsgesetz zusätzliche Vorgaben für die Pflichtbenennung eines Datenschutzbeauftragten und zwar unabhängig von der Zahl der mit der Datenverarbeitung beschäftigten Personen macht.

[/Info]

Frage: In welchen Fällen muss nach § 38 Anpassungsgesetz ein Datenschutzbeauftragter benannt werden unabhängig von der Zahl der mit der Datenverarbeitung beschäftigten Personen?

§ 38 Abs. 1 Satz 2 Anpassungsgesetz konkretisiert und ergänzt die Pflicht zur Bestellung eines Datenschutzbeauftragten nach DSGVO unabhängig von der Zahl der Personen, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, für zwei Fallgruppen:

  • Die Datenverarbeitung unterliegt einer Datenschutz-Folgenabschätzung (DFSA) im Sinne des Art. 35, (Fallgruppe 1 Datenschutz-Folgeabschätzung),
  • die Datenverarbeitung erfolgt geschäftsmäßig zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung (Fallgruppe 2 Anonymisierte Übermittlung, Markt- oder Meinungsforschung).

Fallgruppe 1: Datenschutz-Folgeabschätzung

Frage: Wann unterliegt eine Datenverarbeitung eines Online-Händlers einer Datenschutz-Folgenabschätzung (DSFA)?

Die DSFA ist nicht im Anpassungsgesetz sondern in Art. 35 der DSGVO geregelt. Es sind daher die Voraussetzungen einer DSFA nach Art. 35 zu prüfen.

Nach dem für den Online-Händler relevanten etwas kompliziert formulierten Regelbeispiel des Art. 35 Abs. 3 lit. a ist eine DFSA erforderlich:

"bei einer systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidung dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen."

Profiling ist nach der Legaldefinition des Art. 4 Nr. 4

"jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;"

Es muss sich also um eine automatisierte Verarbeitung von personenbezogenen Daten einschließlich Profiling handeln, die als Entscheidungsgrundlage Rechtswirkung gegenüber dem Nutzer entfaltet.

Für Online-Händler können in diesem Zusammenhang Bonitätsprüfung und Online-Werbung einschließlich dem sogenannten Tracking relevant werden.

Automatisierte Bonitätsprüfungen sind Wahrscheinlichkeitsprognosen für das künftige Verhalten natürlicher Personen auf der Basis automatisierter Verarbeitung personenbezogener Daten und könnten daher eine DSFA auslösen. Aber es fehlt an der Rechtswirkung gegenüber dem Nutzer. Online-Händler werden nur bei eigener Vorleistung eine Bonitätsprüfung des Kunden veranlassen. Die Bonitätsprüfung von Kunden auf Grund einer Vorleistung des Online-Händlers über Bezahldienste entfaltet jedoch keine Rechtswirkung gegenüber dem Kunden, sondern führt nur dazu, dass ein Vertrag nicht zustande kommt. Eine solche Bonitätsprüfung bei Vorleistung ist nach Art 22 Abs. 2 zulässig, da sie für den Abschluss eines Vertrages erforderlich ist. Die bloße Verweigerung eines Vertragsabschlusses ist keine Rechtsverletzung im Sinne des Art 35. Andernfalls würde der Grundsatz der Vertragsfreiheit faktisch ausgehebelt (s. auch Kommentar Gola, Art. 22 Rndr. 25).

Nicht erfasst sind auch personalisierte Online-Werbung und die ihr zugrundeliegendes Tracking, Zwar werden in diesem Fall Nutzerprofile generiert, um auf dieser Basis dann personalisierte Werbung zu erzeugen. Dabei handelt es sich jedoch nicht um Entscheidungen, die mit Rechtswirkungen vergleichbare Auswirkungen haben (s. Kommentar Ehmann/Selmayr, Art. 35 Rdnr. 21).

Exkurs: Was sind Beispiele für eine automatisierte Datenverarbeitung, die zu einer DSFA führen?

Erwägungsgrund 71 nennt als Beispiel einer automatisierten Datenverarbeitung, die als Entscheidungsgrundlage Rechtswirkungen gegenüber dem Nutzer entfaltet, die Ablehnung eines Online-Kreditantrags oder ein Online-Einstellungsverfahren ohne jegliches menschliches Eingreifen.

Zwischenergebnis: In der Regel löst die Datenverarbeitung eines Online-Händlers daher keine DSFA aus. Die Aufsichtsbehörden sind aufgerufen (Art. 35 Abs. 5), Listen der Verarbeitungsvorgänge veröffentlichen, für die eine DSFA durchgeführt werden muss (Positivliste) und in welchen Fällen Verarbeitungsvorgänge keine DSFA auslösen (Negativliste). Dies wird insgesamt mehr Klarheit bringen. Die IT-Recht Kanzlei wird hierzu berichten.

Merke: Immer dann, wenn eine DSFA erforderlich ist, muss nach deutschem Recht auch ein Datenschutzbeauftragter benannt werden

Fallgruppe 2: Anonymisierte Übermittlung, Markt- oder Meinungsforschung

Frage:Wann erfolgt die Datenverarbeitung eines Online- Händlers geschäftsmäßig zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, § 38 Anpassungsgesetz?

Laut der amtlichen Begründung zum Anpassungsgesetz entspricht 38 Abs. 1 Satz 2 inhaltlich im Wesentlichen der bisherigen Regelung des §4f Absatz 1 Satz 6 Bundesdatenschutzgesetz.

(§4f Abs. 1 Satz 6 Bundesdatenschutzgesetz)

Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.

Hinsichtlich § 38 Abs. 1 Satz 6 Anpassungsgesetz kann daher auf die Auslegung zu § 4f Satz 1 Bundesdatenschutzgesetz zurückgegriffen werden. Gem. Erfurter Online-Kommentar zum Arbeitsrecht Rdnr. 1-7 sind mit den in § 4f Satz 1genannten Datenverarbeitungen die Tätigkeiten von Auskunfteien, Adresshändlern und Instituten zur Markt- und Meinungsforschung gemeint.

Zwischenergebnis: Für Online-Händler, deren Haupttätigkeit darin besteht, Produkte zu vertreiben, treffen die Voraussetzungen des § 38 Abs. 2 Anpassungsgesetz nicht zu

4. Zusammenfassung und Empfehlung für die Praxis

Die komplizierte rechtliche Regelung der Pflichtbenennung eines Datenschutzbeauftragten kann für Online-Händler wie folgt zusammengefasst werden.

Die überwiegende Mehrheit der Online-Händler unterliegt nach DGSVO keiner Pflicht, einen Datenschutzbeauftragten zu benennen, da sie weniger als 10 Personen in der Datenverarbeitung beschäftigen. Auch größere Händler sind von dieser Pflicht dann nicht berührt, wenn ihre Haupttätigkeit im Verkauf von Produkten besteht. Eine Pflicht zu Benennung eines Datenschutzbeauftragten besteht für Online-Händler für die ganz überwiegende Mehrheit auch nach dem deutschen Anpassungsgesetz nicht. Bonitätsprüfungen bei Vorleistung des Online-Händlers lösen keine Pflicht zur Datenschutz-Folgeabschätzung und damit zur Benennung eines Datenschutzbeauftragten aus.

Weitere Klarheit werden Positiv- und Negativlisten der Aufsichtsbehörden erbringen, aus denen konkret hervorgeht, wann die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung und damit die Pflicht zur Benennung eines Datenschutzbeauftragten besteht.

Diese Listen gilt es abzuwarten. Die IT-Recht Kanzlei wird hierzu berichten.

Eine andere Frage ist es, ob es zweckmäßig sein kann, auf freiwilliger Basis einen Datenschutzbeauftragten zu benennen. Der freiwillig benannte Datenschutzbeauftragte hat die gleichen Pflichten und Rechte wie der Pflichtbeauftragte. Ein solcher Datenschutzbeauftragte kann größere Online-Händler auf Grund seiner fachlichen Kompetenz dabei unterstützen, die Vorgaben der Datenschutz-Verordnung einzuhalten.

Für die Beauftragung eines Datenschutzbeauftragten wird sich die IT-Recht Kanzlei in Absprache mit den Aufsichtsbehörden um Musterverträge zur Benennung eines Datenschutzbeauftragten bemühen, die auf die Belange von Online-Händlern zugeschnitten sind.

Bildquelle:
© blende11.photo - Fotolia.com

Besucherkommentare

Auftraggeber / Auftragsverarbeiter

15.12.2017, 11:18 Uhr

Kommentar von Robert den Dulk

"Frage: Wer ist der Auftraggeber? Der Auftraggeber ist ein externer Dienstleister, ... " Hier ist vermutlich der Auftragsverarbeiter gemeint ?

© 2005-2018 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller