Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
branchbob
BrickLink
Cardmarket
Cdiscount.com
Chrono24
commerce:seo
conrad.de
CosmoShop
Delcampe
Dienstleistungen
Discogs
Dropshipping-Marktplatz.de
eBay
eBay-Kleinanzeigen
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Facebook
FairFox
Fairmondo.de
galeria.de
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
GTC for Shopify
Handmade at Amazon
Homepages
Hood
Hosting-B2B
Hosting-B2B-B2C
Idealo-Direktkauf
Instagram
Jimdo
Joomla
JTL
Kasuwa
Kaufland.de
Kauflux
Lightspeed
LinkedIn
Lizenzo
Magento 1 und Magento 2
manomano
Mediamarkt.de
meinOnlineLager
metro.de
modified eCommerce-Shops
Mädchenflohmarkt
Online-Shop
Online-Shop (Verkauf digitaler Inhalte)
Online-Shop - B2B
OpenCart
Otto.de
Oxid-Shops
Palundu
Pinterest
placeforvegans.de
plentymarkets
Praktiker.de
Prestashop
productswithlove
RAIDBOXES
Restposten
restposten24.de
Ricardo.ch
Seminare
Shop - Online-Kurse (live/on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopgate
shopify
Shopware
Shpock+
shöpping.at
smartvie
Squarespace
STRATO
Teilehaber.de
TikTok-Präsenzen
Tumblr
Twitch
Twitter
TYPO3
Verkauf von Veranstaltungstickets
Verkauf über individuelle Kommunikation (B2B + B2C)
Verkauf über individuelle Kommunikation (B2B)
Verkauf über Printkataloge
Verkauf über stationären Handel
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
webador
Webseite (kein Verkauf)
Werky
Wix
WooCommerce
WooCommerce German Market
WooCommerce Germanized
WordPress
Wordpress-Shops
wpShopGermany
Xanario
XING
xt:Commerce
Yatego
YouTube
Zen-Cart
ZVAB
Österreichische Datenschutzerklärung
veröffentlicht von Dr. Sebastian Kraska

Datenschutz: Rolle des Datenschutzbeauftragten unter der EU-Datenschutz-Grundverordnung

News vom 27.06.2017, 15:55 Uhr | Keine Kommentare

Die Pflicht zur Bereitstellung des Datenschutzbeauftragten wird von vielen, gerade kleinere bzw. mittelständische Unternehmen oft als ein lästiges, weil Ressourcen-bindendes und kostspieliges Übel empfunden. Hinzukommt eine große Verunsicherung, weil sich der Rechtsrahmen im Datenschutz im Mai 2018 ändert. Was bedeutet die Bestellpflicht heute konkret für die Unternehmen, wo gibt es Risiken, die zu beachten sind und was ändert sich für die Zukunft. Praxisnahe Tipps werden in diesem Artikel dargestellt.

(Beitrag von Frau Rechtsanwältin Sabine Schmitt-Hennig (externe Datenschutzbeauftragte und Datenschutz-Auditorin)

Bestellpflicht nach dem bisherigen Bundesdatenschutzgesetz

Die Schwelle zur Bestellpflicht ist vom Gesetzgeber im Bundesdatenschutzgesetz (BDSG) sehr niedrig angesetzt und greift schon, wenn eine sensitive Datenverarbeitung vorgenommen wird oder mehr als neun Mitarbeiter im Unternehmen beschäftigt sind und wenn eine automatisierte personenbezogene Datenverarbeitung vorgenommen wird. Da als Mitarbeiter auch Teilzeitkräfte sowie Leiharbeiter zählen und eine automatisierte personenbezogene Datenverarbeitung schon dann vorliegt, wenn die Beschäftigten bei ihrer Arbeit allein ein E-Mail Programm, wie z.B. Outlook nutzen, ist man bei der Bestellpflicht des Datenschutzbeauftragten überaus schnell.

Ebenfalls schnell ist diese Verpflichtung dann auch umzusetzen. Das Unternehmen muss spätestens einen Monat nach Betriebsaufnahme einen Datenschutzbeauftragten – schriftlich – bestellen (§ 4 f Abs. 1 S. 1 BDSG). Wenn dies nicht oder verspätet geschieht, liegt eine Ordnungswidrigkeit vor, die mit einem Bußgeld von bis zu 50.000 Euro verfolgt werden kann (gemäß § 43 Abs. 1 Nr. 2 BDSG).

Aufgaben und Rolle des Datenschutzbeauftragten

Der zu bestellende Datenschutzbeauftragte für die Organisation kann Mitarbeiter sein - er muss jedoch die notwendige Zuverlässigkeit und Fachkunde für die Ausübung der Tätigkeit mitbringen. Dabei gilt die Faust-Formel: Je mehr personenbezogene Daten verarbeitet werden und je sensibler diese sind (z.B. Krankheitsdaten), desto höher muss die Fachkunde sein. Der Datenschutzbeauftragte hat berufstypische Aufgaben zu erfüllen und hat in seiner Funktion auf die Einhaltung des BDSG und anderer Gesetze (wie z.B. das Telekommunikationsgesetz - TKG) zu wachen.

Eine seiner Kernaufgaben ist es, die unternehmensinternen Prozesse und Programme der Datenverarbeitung zu überwachen und ihre ordnungsgemäße Anwendung zu kontrollieren. Dabei dürfen ihm keine Weisungen ausgesprochen werden. Der Datenschutzbeauftragte ist unabhängig von Vorgesetzten und in der Ausübung seiner Fachkunde frei. Er hat u.a. einen besonderen Kündigungsschutz ausgestattet (§ 4f Abs. 3 S. 5 und 6 BDSG -) – nur wenn die Voraussetzungen für eine fristlose Entlassung greifen, kann der Arbeitsvertrag mit dem betrieblichen Datenschutzbeauftragten gekündigt werden. Der Kündigungsschutz greift auch noch ein weiteres Jahr nach der Abberufung.

Datenschutzbeauftragter: frei von vermeidbaren Interessenkollisionen

Kleinere Unternehmen stehen allein schon vor der Herausforderung, einen internen geeigneten Kandidaten zu finden, der die notwendige Fachkunde sowie die Befähigung zur Selbstkontrolle für die Position des Datenschutzbeauftragten erfüllen kann. Die zusätzliche Einstellung eines neuen Mitarbeiters ist wirtschaftlich oft zu sehr belastend und hinzukommt, dass nur in großen Unternehmen diese Art von Tätigkeit eine Vollzeitbeschäftigung darstellt. Es ist daher eher die Regel, dass der Datenschutzbeauftragte zusätzlich einer anderen Tätigkeit nachgeht, allerdings muss er dann auch in der Lage sein, sich selbst kontrollieren zu können.

Da der Ablauf der internen EDV-Verarbeitung und die Flüsse der personenbezogenen Daten im Unternehmen zu verstehen und zu kontrollieren sind, neigen Unternehmen manchmal zu einem letztendlich kostspieligen und riskanten Pragmatismus, indem sie verantwortliche Leiter aus der „organisationsverstehenden Umgebung“ als Datenschutzbeauftragten bestellen. Das kann dann z.B. der Leiter Personal, IT oder der Leiter Sicherheit oder auch direkt der Geschäftsführer selbst sein. Ein solches Vorgehen ist aber rechtswidrig und erfüllt die Voraussetzung der bereits vorab erwähnten Ordnungswidrigkeit, die mit bis zu 50.000 Euro geahndet werden kann. Es ist als Unternehmen, auch wenn es klein ist, streng darauf zu achten, dass der bestellte Datenschutzbeauftragte nicht einem Interessenkonflikt bei der Ausübung seiner Tätigkeit unterliegt und das er somit die von ihm zu gewährende Selbstkontrolle auch erfüllen kann.

Sanktionen durch Datenschutz-Aufsichtsbehörde

Dass dies auch tatsächlich sanktioniert wird, zeigt sich u.a. an den Kontrollen der Bayerischen Landesdatenschutzbehörde. So hatte das Bayerisches Landesamt für Datenschutzaufsicht in einer Pressemeldung vom 10 Oktober 2016 darüber informiert, dass ein Unternehmen mit einem Bußgeld (gemäß § 43 Abs. 1 Nr. 2 BDSG) belastet wurde, was den internen IT-Manager zum Datenschutzbeauftragten ernannt hatten. Nach den Regelungen des § 43 BDSG sind Bußgelder von bis zu 300.000 Euro pro einzelnem Fall möglich

EU-Datenschutzgrundverordnung: wesentlich höheres Sanktionsrisiko für Unternehmen

Mit Blick auf die anstehende Änderung und Harmonisierung der datenschutzrechtlichen Gesetzgebungen in Europa und der deutschen Umsetzung durch das in Kraft treten der EU-Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018, werden jedoch viele bisherige Regelungen aus dem BDSG nicht mehr anwendbar sein. Lediglich wo es in der DSGVO sogenannte Öffnungsklauseln gibt, darf es weiter nationale Regelungen geben.

Bis zu dem Stichtag im Mai 2018 müssen die Unternehmen sich also hinsichtlich ihrer Struktur und internen Abläufe so aufstellen, dass dies den Vorgaben des neuen Rechtsrahmens entspricht. Was sich auch elementar ändern wird, ist die bisherige Bußgeldregelung bei Fehlern bzw. bei Nachbestellung des Datenschutzbeauftragten. Künftig ist ein Bußgeld von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes vorgesehen (Art. 83 Abs. 4 DSGVO). Es ist also gerade für die Zukunft entscheidend, dass die Bestellung des Datenschutzbeauftragten rechtskonform erfolgt.

Die Benennung des Datenschutzbeauftragten nach der EU-Datenschutz-Grundverordnung

Mit der im Mai 2016 in Kraft getretenen und ab dem 25 Mai 2018 sofort wirksam werdenden EU-Datenschutzgrundverordnung ist ein betrieblicher Datenschutzbeauftragter zu bestimmen, wenn im Unternehmen sog. Kerntätigkeiten i.S.d. Art. 37 Abs. 1 b DSGVO als Haupttätigkeiten vorzunehmen sind: Diese sind bei Daten-Verarbeitungsvorgängen gegeben, die eine umfangreiche, „regelmäßige und systematische Überwachung der betroffenen Personen“ erfordern, sowie wenn in großem Umfang persönliche Daten von besonderer Kategorie (wie z.B. Gesundheitsdaten oder konfessionelle Daten) oder strafrechtlich relevante Daten wie z.B. Daten über gerichtliche Verurteilungen und Straftaten verarbeitet werden.

Fachwissen des Datenschutzbeauftragten

Die Anforderungen an das Fachwissen und die datenschutzrechtliche Kompetenz des zu bestellenden Datenschutzbeauftragten richten sich dabei an der Qualität der Durchführungen zur Datenverarbeitung aus. Je höher der Schutzbedarf der verarbeiteten Daten ist, desto höher sind auch die Anforderungen an das Fachwissen und die vorzuhaltende Kompetenz. Art. 37 Abs. 5 DSGVO ist also hinsichtlich seiner Voraussetzungen völlig vergleichbar mit der bisherigen Regelung aus dem BDSG.

Die Tätigkeit des Datenschutzbeauftragten kann auch nach der EU Verordnung gem. Art 37 Abs. 6 DSGVO von einem internen Mitarbeiter wie auch von einem externen besetzt werden. Auch unter der DSGVO hat der Datenschutzbeauftragte frei in seinem Handeln und in seinen Empfehlungen zu sein, so dass er seiner Tätigkeit vollkommen unabhängig nachkommen kann – ebenfalls frei von jeglichem Interessenkonflikt wie in Art 38 Art. 3 S. 1 DSGVO geregelt.

Ebenfalls wie S. 3 in Art 38 DSGVO klar regelt, darf dem Datenschutzbeauftragten seine Tätigkeit nicht zum Nachteil gereichen, Mithin ist dies nahezu gleich zur aktuellen Regelung nach dem Bundesdatenschutzgesetz (BDSG) geblieben. Eine Unterscheidung ergibt sich jedoch hinsichtlich des bisherigen besonderen Kündigungsschutzes in § 4f Abs. 3 S. 5 und 6 BDSG, den es in der DSGVO nicht gibt und der sich auch nicht aus dem Kontext der Verordnung herleiten lässt.

Die Bestellung des Datenschutzbeauftragten nach dem neuen Bundesdatenschutzgesetz (BDSG-neu)

Am 27. April 2017 hat der Bundestag das so genannte "Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG – hier bezeichnet als BDSG-neu)" beschlossen, dem am 12. Mai 2017 vom Bundesrat zugestimmt wurde. Ziel war es, das Bundesdatenschutzgesetz (BDSG) zu aktualisieren und an die Vorgaben der EU-Datenschutzgrundverordnung anzupassen. Das BDSG-neu wird auf Basis der EU-Datenschutzgrundverordnung gelten und soll mit seinen im Gesetz umgesetzten sogenannten „Präzisierungsklauseln“ der der EU-Datenschutzgrundverordnung die nationalen Spezifika regeln. Viele Regelungen des BDSG-neu wurden aus dem bisherigen Bundesdatenschutzgesetz übernommen. So finden sich alle wesentlichen Regelungen zur Position des Datenschutzbeauftragten in dem neuen BDSG wieder.

Bestellpflicht bei mehr als zehn Beschäftigten

Gemäß § 38 Abs. 1 BDSG-neu ist ein betrieblicher Datenschutzbeauftragter zu bestellen, wenn sich in dem Unternehmen „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“, sowie, wenn eine sog. Datenschutzfolgeabschätzung nach Art. 35 DSGVO erforderlich ist.

Dies ist gegeben, wenn die automatisierte Datenverarbeitung die Wahrscheinlichkeit eines hohen Eintrittsrisikos für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Auch wenn geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden, hat die Bestellung eines Datenschutzbeauftragten zu erfolgen. Die Art und Weise der Bestellung ist unverändert – die Schriftform ist zwingend vorgeschrieben.

Kündigungsschutz des internen Datenschutzbeauftragtem besteht fort

In der neuen Regelung des BDSG findet sich auch der besondere Kündigungsschutz für den Datenschutzbeauftragten wieder. Es bleibt dabei, dass bei der Besetzung der Position durch einen Unternehmensmitarbeiter nur die Kündigung aus wichtigem Grund vorgenommen werden kann sowie dass der Sonderkündigungsschutz auch nach Abberufung für ein Jahr fortwirkt.

§ 41 BDSG-neu sieht vor, dass ein Bußgeld bis zu 300.000 Euro verhängt werden kann, so dass auch diesbezüglich der nationale Sanktionsrahmen gleichgeblieben ist. Es ist jedoch darauf hinzuweisen, dass § 41 BDSG-neu nicht an Stelle der Bußgeld-Regelung von Art 83 DSGVO tritt, sondern neben diesem Anwendung findet.

#Fazit#
Auch im neuen nationalen Rechtsrahmen, der aus einem Zusammenspeil des BDSG-neu sowie der EU-Datenschutzgrundverordnung bestehen wird, bleibt es bei der Bestellpflicht des Datenschutzbeauftragten. Unternehmen, die bislang noch keinen Datenschutzbeauftragten bestellt haben, oder die aus Unkenntnis bzw. falsch umgesetzten Pragmatismus eine Person bestellt haben, die im Interessenkonflikt mit der auszuübenden Funktion steht, wird geraten, die noch verbleibende Zeit zu nutzen, und die Bestellung des Datenschutzbeauftragten rechtskonform vorzunehmen.

Gerade vor dem Hintergrund der besseren Kontrollmöglichkeiten der Behörden durch die neue Meldepflicht verbunden mit dem neuen und sehr hohen Sanktionsrahmen, sollte hier kein Risiko eingegangen werden. Neben der Bestellung eines internen Mitarbeiters, könnte auch in Erwägung gezogen werden, die Position mit einem externen Datenschutzbeauftragten zu besetzen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Veröffentlicht von:
Dr. Sebastian Kraska
Rechtsanwalt

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2021 · IT-Recht Kanzlei Keller-Stoltenhoff, Keller