Müssen Online-Händler einen Datenschutzbeauftragten nach der künftigen Datenschutz-Grundverordnung benennen?

Die ab 25.5.2018 geltende Datenschutz-Grundverordnung (DSGVO) sieht auch die Benennung eines Datenschutzbeauftragten vor. Nur was ist ein solcher Beauftragter und unter welchen Voraussetzungen muss er von wem ernannt werden? Dies sind Fragen, die Online-Händler bis zum 25.5.2018 beantwortet haben müssen. Die IT-Recht Kanzlei will Ihnen mit dem folgenden Beitrag im Frage & Antwort Format helfen, hierzu eine Antwort zu finden. (Artikel der DSGVO werden ohne die DGSVO zitiert.)

1. Begriff des Datenschutzbeauftragten

Frage: Was ist ein Datenschutzbeauftragter?

Der Datenschutzbeauftragte ist eine natürliche Person, „die über Fachwissen auf dem Gebiet des Datenschutzrechts und des Datenschutzverfahrens verfügt“ und den „Verantwortlichen oder Auftragsverarbeiter in vollständiger Unabhängigkeit bei der Überwachung der internen Einhaltung“ der DSGVO unterstützt (Erwägungsgrund 97 der DSGVO).

Exkurs: Damit sind drei Schlüsselbegriffe der DGSVO genannt, nämlich

• der Verantwortliche,
• der Auftragsverarbeiter und
• der Datenschutzbeauftragte.

Zum allgemeinen Verständnis dieser Begriffe, s. diesen Beitrag der IT-Recht Kanzlei.

Frage Wer ist zur Benennung eines Datenschutzbeauftragten verpflichtet?

Hier muss man sich an die Begrifflichkeit der DSGVO gewöhnen. Die DSGVO spricht von

• Verantwortlichem und
• Auftragsverarbeiter,

die zur Benennung eines Datenschutzbeauftragten verpflichtet sind.

Frage: Wer ist der Verantwortliche?

Der Verantwortliche im Sinne der DSGVO ist immer der Entscheidungsbefugte.

Für den kleineren Online-Händler, der als Einzelperson ohne ein Unternehmen agiert, gilt daher, dass er der Verantwortliche ist.

Für ein Online-Unternehmen, das etwa in der Form einer juristischen Person organisiert ist, kann der Verantwortliche der Geschäftsführer des Unternehmens oder die juristische Person selbst (z.B. GmbH) sein.

Frage: Wer ist der Auftragsverarbeiter?

Der Auftragsverarbeiter ist ein externer Dienstleister, der im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet (Art. 4 Nr. 8). Er ist in bestimmten Fällen verpflichtet, einen Datenschutzbeauftragten zu benennen.

Frage: Müssen Verantwortlicher und Auftragsverarbeiter beide einen Datenschutzbeauftragten bestellen?

Nein

Auftragsverarbeiter (falls ernannt) und der Verantwortliche müssen nicht beide einen Datenschutzbeauftragten bestellen. Eine kumulative Bestellpflicht besteht nur, wenn beide die Voraussetzungen des Art. 37 erfüllen. Es sind durchaus Fallkonstellationen denkbar, wo nur der Auftraggeber verpflichtet ist, einen Datenschutzbeauftragten zu bestellen (s. Kommentar Ehmann/Selmayr Art. 37 Rdnr. 16).

2. In welchen Fällen ein Datenschutzbeauftragter benannt werden muss

Vorbemerkung: Die Frage einer verpflichtenden Ernennung eines Datenschutzbeauftragten ist ausschließlich nach § 38 deutsches Anpassungsgesetz zu beantworten. Der deutsche Gesetzgeber hat hier von der Öffnungsklausel des Art. 37 DS-GVO Gebrauch gemacht und die verpflichtende Benennung eines Datenschutzbeauftragten durch den Verantwortlichen abweichend von der DS-GVO eigenständig geregelt.

Danach ist hier gem. § 38 Anpassungsgesetz zwischen zwei Fallgruppen zu unterscheiden:

• Es werden in der Regel weniger als 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt
• Es werden in der Regel mehr als 9 Personen ständig mit der der automatisierten Verarbeitung personenbezogener Daten beschäftigt.

Zur Frage, was denn Personen sind, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, kann nach amtlicher Begründung zum Anpassungsgesetz auf § 4 Bundesdatenschutzgesetz a. F. zurückgegriffen werden.

2.1 Weniger als 10 Personen sind ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt (§ 38 Anpassungsbesetz)

Frage: Muss bei weniger als 10 Personen, die ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, in der Regel ein Datenschutzbeauftragter benannt werden?

Nein

Grundsätzlich muss in diesem Fall kein Datenschutzbeauftragter benannt werden.

Frage: Was sind personenbezogene Daten?

Personenbezogene Daten sind Daten mit einem Personenbezug wie Daten von Kunden auch IP-Daten, die im Rahmen der Bestellung von Produkten anfallen

Frage: Wann liegt eine automatisierte Verarbeitung von Daten vor?

Eine „automatisierte“ Verarbeitung wiederum liegt vor, wenn personenbezogene Daten unter Einsatz von DV-Anlagen erhoben, verarbeitet oder genutzt werden.

Hierunter fällt bereits die bloße Textverarbeitung mittels PC, soweit personenbezogene Daten betroffen sind.

Frage: Welche Mitarbeiter gelten als Personen, die ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind?

Bei einer automatisierten Verarbeitung sind nicht nur die unmittelbar im Rechenzentrum und im Bereich der Systemabwicklung und Programmierung Beschäftigten, sondern auch alle Personen, die zentral oder dezentral (z. B. an einem vernetzten PC-Arbeitsplatz) Aufgaben erfüllen, die mit der Verarbeitung personenbezogener Daten zusammenhängen, mitzurechnen, auch freie Mitarbeiter oder Auszubildende. Personen, die nicht ständig, sondern nur gelegentlich, z.B. als Urlaubsvertretung, personenbezogene Daten automatisiert verarbeiten, sind nicht mitzuzählen.

Frage: Gilt die Freistellung von der Pflichtbenennung eines Datenschutzbeauftragten bei weniger als 10 ständig in der Datenverarbeitung beschäftigten Personen immer und ausnahmslos?

Nein

Die oben dargestellte Mitarbeiterschwelle von weniger als als 10 Personen gilt nur in der Regel aber nicht absolut.

Frage: Welche Ausnahmetatbestände gibt es in diesem Fall?

Gem. § 38 Abs. I Satz 2 Anpassungsgesetz gilt die Freistellung von der Pflichtbenennung eines Datenschutzbeauftragten auch bei weniger als 10 in der Datenverarbeitung beschäftigten Personen für folgende zwei Fälle nicht:

• Die Datenverarbeitung unterliegt einer Datenschutz-Folgeabschätzung gem. DS-GVO
• Personenbezogene Daten werden geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.

Frage: Wann unterliegt eine Datenverarbeitung einer Datenschutz-Folgeabschätzung (DSFA)?

In der Regel löst die Tätigkeit eines Online-Händlers keine DSFA aus.

Der Begriff der DSFA ist nicht im Anpassungsgesetz sondern in Art. 35 der DSG-VO geregelt. Es sind daher die Voraussetzungen einer DSFA nach Art. 35 zu prüfen.
Nach dem für den Online-Händler relevanten etwas kompliziert formulierten Regelbeispiel des Art. 35 Abs. 3 lit. a ist eine DFSA erforderlich:

"bei einer systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidung dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen."

Profiling ist nach der Legaldefinition des Art. 4 Nr. 4

"jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;"

Es muss sich also um eine automatisierte Verarbeitung von personenbezogenen Daten einschließlich Profiling handeln, die als Entscheidungsgrundlage Rechtswirkung gegenüber dem Nutzer entfaltet.

Für Online-Händler können in diesem Zusammenhang Bonitätsprüfung und Online-Werbung einschließlich dem sogenannten Tracking relevant werden.

Automatisierte Bonitätsprüfungen sind Wahrscheinlichkeitsprognosen für das künftige Verhalten natürlicher Personen auf der Basis automatisierter Verarbeitung personenbezogener Daten und könnten daher eine DSFA auslösen. Aber es fehlt an der Rechtswirkung gegenüber dem Nutzer. Online-Händler werden nur bei eigener Vorleistung eine Bonitätsprüfung des Kunden veranlassen. Die Bonitätsprüfung von Kunden auf Grund einer Vorleistung des Online-Händlers über Bezahldienste entfaltet jedoch keine Rechtswirkung gegenüber dem Kunden, sondern führt nur dazu, dass ein Vertrag nicht zustande kommt.

Eine solche Bonitätsprüfung bei Vorleistung ist nach Art 22 Abs. 2 zulässig, da sie für den Abschluss eines Vertrages erforderlich ist. Die bloße Verweigerung eines Vertragsabschlusses ist keine Rechtsverletzung im Sinne des Art 35 DS_GVO. Andernfalls würde der Grundsatz der Vertragsfreiheit faktisch ausgehebelt (s. auch Kommentar Gola, Art. 22 Rndr. 25).

Nicht erfasst sind auch personalisierte Online-Werbung und die ihr zugrundeliegendes Tracking, Zwar werden in diesem Fall Nutzerprofile generiert, um auf dieser Basis dann personalisierte Werbung zu erzeugen. Dabei handelt es sich jedoch nicht um Entscheidungen, die mit Rechtswirkungen vergleichbare Auswirkungen haben (s. Kommentar Ehmann/Selmayr, Art. 35 Rdnr. 21).

Frage: In welchen Fällen werden personenbezogene Daten werden geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet?

Laut der amtlichen Begründung zum Anpassungsgesetz entspricht 38 Abs. 1 Satz 2 inhaltlich im Wesentlichen der bisherigen Regelung des §4f Absatz 1 Satz 6 Bundesdatenschutzgesetz. Hinsichtlich § 38 Abs. 1 Satz 6 Anpassungsgesetz kann daher auf die Auslegung zu § 4f Satz 1 Bundesdatenschutzgesetz zurückgegriffen werden.

Gem. Erfurter Online-Kommentar zum Arbeitsrecht (Rdnr. 1-7) sind mit den in § 4f Satz 1 genannten Datenverarbeitungen die Tätigkeiten von Auskunfteien, Adresshändlern und Instituten zur Markt- und Meinungsforschung gemeint.

Ergebnis: Für Online-Händler, deren Haupttätigkeit darin besteht, Produkte zu vertreiben, erfolgt keine Datenverarbeitung zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung

3.2 Mehr als 9 Personen sind ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt

Frage: Muss ein Online-Händler, der mehr als 9 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt, einen Datenschutzbeauftragten benennen?

Ja

Wenn ein Online-Händler in der Regel mehr als 9 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, dann er hat ausnahmslos einen Datenschutzbeauftragten zu benennen. § 38 Anpassungsgesetz schafft hier deutsches Sonderrecht

3. Zusammenfassung und Empfehlung für die Praxis

Die Regelung der Pflichtbenennung eines Datenschutzbeauftragten kann für Online-Händler wie folgt zusammengefasst werden.

1. Mehr als 9 Personen verarbeiten ständig automatisiert personenbezogene Daten

Wenn mehr als 9 Personen ständig mit der automatisierten Verarbeitung personenbezogene Daten beschäftig sind, ist ein Datenschutzbeauftragten immer zu benennen

2. Weniger als 10 Personen verarbeiten ständig automatisiert personenbezogene Daten

Wenn weniger als 10 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, muss kein Datenschutzbeauftragter benannt werden, es sei denn:

• es wird eine Datenverarbeitung vorgenommen wird, die einer sogenannten Datenschutz-Folgeabschätzung (DFSA) unterliegt. Die Regeltätigkeiten eines Online-Händlers lösen keine DFSA aus. Bei Online-Händlern könnte eine DFSA bei einer automatisierten Bonitätsprüfung in Frage kommen. Im Regelfall wird ein Online-Händler aber nur bei Vorleistung eine Bonitätsprüfung veranlassen. Eine solche Bonitätsprüfung löst aber keine Datenschutz-Folgeabschätzung aus. Die Versagung eines Vertrages wegen fehlender Bonität ist keine Beeinträchtigung des Kunden und ist von ihm hinzunehmen. Ebenfalls nicht erfasst von einer Datenschutz-Folgeabschätzung sind personalisierte Werbung und Tracking.
• es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet. Dies trifft jedoch auf den Online-Händler nicht zu, dessen Haupttätigkeit der Vertrieb von Produkten ist. Hier ist die Datenverarbeitung von Auskunfteien, Adresshändlern und Instituten zur Markt- und Meinungsforschung gemeint.

Weitere Klarheit werden Positiv- und Negativlisten der Aufsichtsbehörden erbringen, aus denen konkret hervorgeht, wann die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung und damit die Pflicht zur Benennung eines Datenschutzbeauftragten besteht. Eine andere Frage ist es, ob es zweckmäßig sein kann, auf freiwilliger Basis einen Datenschutzbeauftragten zu benennen. Der freiwillig benannte Datenschutzbeauftragte hat die gleichen Pflichten und Rechte wie der Pflichtbeauftragte. Ein solcher Datenschutzbeauftragte kann größere Online-Händler auf Grund seiner fachlichen Kompetenz dabei unterstützen, die Vorgaben der Datenschutz-Grundverordnung einzuhalten.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.