veröffentlicht von RA Max-Lion Keller, LL.M. (IT-Recht)

Datenschutz-Grundverordnung: In welchen Fällen müssen Online-Händler künftig einen Datenschutzbeauftragten benennen?

News vom 07.02.2018, 14:04 Uhr | 2 Kommentare 

Die ab dem 25.5. 2018 anzuwendende Datenschutz-Grundverordnung bürdet Online-Händlern eine Fülle von Pflichten auf. In dem Zusammenhang wird die IT-Recht Kanzlei derzeit oft gefragt, ob und in welchen Fällen die Bestellung eines Datenschutzbeauftragten notwendig sein wird. Was gilt etwa für Online-Händler, die mehr als 9 Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen? Was bedeutet automatisiert und wer genau ist mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt? Gilt die Schwelle von 10 Personen uneingeschränkt? Mit diesen und weiteren Fragen beschäftigt sich unser heutiger Beitrag.

1. Mehr als 9 Personen sind ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt

Für den Fall, dass ein Online-Unternehmen in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, hat es ausnahmslos einen Datenschutzbeauftragten zu bestellen. § 38 Bundesdatenschutzgesetz schafft hier abweichend zur DS-GVO deutsches Sonderrecht.

Was bedeutet nun im Einzelnen „Personen, die in der Regel ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind“?

  • "Personenbezogene Daten" sind beispielsweise Daten von Kunden im Rahmen der Bestellung von Produkten.
  • Eine „automatisierte“ Verarbeitung wiederum liegt vor, wenn personenbezogene Daten unter Einsatz von DV-Anlagen erhoben, verarbeitet oder genutzt werden. Hierunter fällt bereits die bloße Textverarbeitung mittels PC, soweit personenbezogene Daten betroffen sind.

Bei einer automatisierten Verarbeitung sind nicht nur die unmittelbar im Rechenzentrum und im Bereich der Systemabwicklung und Programmierung Beschäftigten, sondern auch alle Personen, die zentral oder dezentral (z. B. an einem vernetzten PC-Arbeitsplatz) Aufgaben erfüllen, die mit der Verarbeitung personenbezogener Daten zusammenhängen, mitzurechnen, auch freie Mitarbeiter oder Auszubildende. Personen, die nicht ständig sondern nur gelegentlich, z. .B. als Urlaubsvertretung, personenbezogene Daten automatisiert verarbeiten, sind nicht mitzuzählen.

2. Weniger als 10 Personen sind ständig mit der automatisierten Verarbeitung von personenbezogene Daten beschäftigt

Die nachfolgenden Ausführungen betreffen den Fall, dass ein Unternehmen maximal 9 Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt:

Premiumpaket

2.1 In der Regel keine Bestellung eines Datenschutzbeauftragen notwendig

Grundsätzlich muss bei weniger als 10 ständig in der Datenverarbeitung beschäftigten Personen kein Datenschutzbeauftragter benannt werden, vgl. § 38 deutsches Anpassungsgesetz:

§ 38 (1)

Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Datenschutzgrundverordnung benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

2.2 Kann bei weniger als 10 Personen, die ständig in der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, immer von der Benennung eines Datenschutzbeauftragten abgesehen werden.?

Nein.

Die oben dargestellte Mitarbeiterschwelle von mindestens 10 Personen gilt nur in der Regel aber nicht absolut.

Gem. § 38 Abs. I Satz 2 Anpassungsgesetz gilt der Ausnahmetatbestand der Mindestmitarbeiterzahl für folgende zwei Fälle nicht:

1. Fall: Datenverarbeitung unterliegt Datenschutz-Folgeabschätzung

Die Bestellung eines Datenschutzbeauftragten wird für den Fall zwingend, dass eine Datenverarbeitung vorgenommen wird, die einer Datenschutz-Folgeabschätzung (nachfolgend "DSFA") gem. Art. 35 DS-GVO unterliegt.

Eine Datenschutz-Folgeabschätzung ist etwa bei einer automatisierten Verarbeitung von personenbezogenen Daten erforderlich, wenn diese Verarbeitung automatisch als Entscheidungsgrundlage eine Rechtswirkung hat.

Bei Online-Händlern könnte dies theoretisch bei automatisierter Bonitätsprüfung in Frage kommen. Nur ist dies nicht realitätsnah, da Online-Händler nur bei eigener Vorleistung die Prüfung des Kunden veranlassen werden. Eine solche Bonitätsprüfung entfaltet aber keinerlei Rechtswirkung gegenüber dem Kunden. Denn die bloße Verweigerung eines Vertragsabschlusses wegen fehlender Bonität ist ausdrücklich zulässig, da ansonsten der Grundsatz der Vertragsfreiheit faktisch ausgehebelt wird (s. Kommentar Gola, Art. 22 Rdnr. 22) .

Nicht erfasst sind auch personalisierte Online-Werbung und die ihr zugrundeliegendes Tracking, Zwar werden in diesem Fall Nutzerprofile generiert, um auf dieser Basis dann personalisierte Werbung zu erzeugen. Dabei handelt es sich jedoch nicht um Entscheidungen, die mit Rechtswirkungen vergleichbare Auswirkungen haben (s. Kommentar Ehmann/Selmayr, Art. 35 Rdnr. 21).

Eine Datenschutz-Folgeabschätzung wäre etwa notwendig, wenn eine automatisierte Datenverarbeitung auf die Bewertung von bestimmten Persönlichkeitsmerkmalen abzielt und der Betroffene durch eine solche automatisierte Entscheidung erheblich beeinträchtigt wird (z.B. Kündigung).

Ergebnis: In der Regel löst die Datenverarbeitung eines Online-Händlers keine Datenschutz-Folgeabschätzung aus.

2. Fall: Verarbeitung für Zwecke der Markt- oder Meinungsforschung

Personenbezogene Daten werden geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.

Laut der amtlichen Begründung zum Anpassungsgesetz entspricht 38 Abs. 1 Satz 2 inhaltlich im Wesentlichen der bisherigen Regelung des §4f Absatz 1 Satz 6 Bundesdatenschutzgesetz.

Hinsichtlich § 38 Abs. 1 Satz 6 Anpassungsgesetz kann daher auf die Auslegung zu § 4f Satz 1 Bundesdatenschutzgesetz zurückgegriffen werden.

Gem. Erfurter Online-Kommentar zum Arbeitsrecht (Rdnr. 1-7) sind mit den in § 4f Satz 1 genannten Datenverarbeitungen die Tätigkeiten von Auskunfteien, Adresshändlern und Instituten zur Markt- und Meinungsforschung gemeint.

Ergebnis: Für Online-Händler, deren Haupttätigkeit darin besteht, Produkte zu vertreiben, erfolgt keine Datenverarbeitung zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung.

3. Fazit

Für den Online-Händler bleibt für die Frage der verpflichtenden Benennung eines Datenschutzbeauftragten Folgendes festzuhalten:

1. Mehr als 9 Personen verarbeiten ständig automatisiert personenbezogene Daten

Wenn mehr als 9 Personen ständig mit der automatisierten Verarbeitung personenbezogene Daten beschäftigt sind, ist ein Datenschutzbeauftragten immer zu benennen.

2. Weniger als 10 Personen verarbeiten ständig automatisiert personenbezogene Daten

Wenn weniger als 10 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, muss kein Datenschutzbeauftragter benannt werden, es sei denn:

  • es wird eine Datenverarbeitung vorgenommen wird, die einer sogenannten Datenschutz-Folgeabschätzung (DSFA) unterliegt. Die Regeltätigkeiten eines Online-Händlers lösen keine DSFA aus. Bei Online-Händlern könnte eine DSFA bei einer automatisierten Bonitätsprüfung in Frage kommen. Im Regelfall wird ein Online-Händler aber nur bei Vorleistung eine Bonitätsprüfung veranlassen. Eine solche Bonitätsprüfung löst aber keine Datenschutz-Folgeabschätzung aus. Die Versagung eines Vertrages wegen fehlender Bonität ist keine Beeinträchtigung des Kunden und ist von ihm hinzunehmen. Ebenfalls nicht erfasst von einer Datenschutz-Folgeabschätzung sind personalisierte Werbung und Tracking.
  • es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet. Dies trifft jedoch auf den Online-Händler nicht zu, dessen Haupttätigkeit der Vertrieb von Produkten ist. Hier ist die Datenverarbeitung von Auskunfteien, Adresshändlern und Instituten zur Markt- und Meinungsforschung gemeint.
Veröffentlicht von:
Max-Lion Keller, LL.M. (IT-Recht)
Rechtsanwalt

Besucherkommentare

Fehler

08.02.2018, 16:53 Uhr

Kommentar von IT-Recht Kanzlei

Sehr geehrte Frau Kollegin, für Ihre Stellungnahme zu der von uns veröffentlichten News in Sachen Datenschutzbeauftragter danken wir Ihnen sehr. In der Tat haben wir § 38 des deutschen...

Rechtsanwältin, Fachanwältin für IT-Recht

08.02.2018, 10:34 Uhr

Kommentar von Viola Lachenmann

Sehr geehrter Herr Kollege, Ihre Aussage, dass kein DS-Beauftragter bestellt werden muss, auch wenn regelmäßig 10 Mitarbeiter mit der Verarbeitung von personenbezogenen Daten beschäftigt sind, ist...

© 2005-2018 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller