Wann braucht Ihr Unternehmen einen Datenschutzbeauftragten? – Ein Leitfaden.

Trotz der zahlreichen Gesetzesänderungen im Bundesdatenschutzgesetz (BDSG) existiert heute immer noch keine eindeutige Struktur, wann ein Unternehmen einen Datenschutzbeauftragten – sei es intern oder extern – beschäftigen muss. Das Ergebnis nach mehreren Novellen ist nach wie vor eine inkonsequente Verknüpfung verschiedener Elemente, die einem konsequenten Datenschutz widersprechen.

Im Folgenden stellen wir für Sie kurz dar, in welchen Fällen auch Sie einen Datenschutzbeauftragten benennen müssen.

Eigenkontrolle der verantwortlichen Stelle

Das BDSG stellt in § 4g Abs. 1 S. 1 BDSG klar: Der Beauftragte für den Datenschutz wirkt auf die Einhaltung des BDSG und anderer datenschutzrechtlicher Vorschriften hin.

Grundlegend geht das BDSG für Unternehmen vom Prinzip der Eigenkontrolle bzw. Selbstkontrolle durch die speichernde Stelle aus. Das heißt, dass das Unternehmen und damit letztlich die Unternehmensleitung selbst für die Einhaltung der Datenschutzvorschriften verantwortlich ist. Die Kontrolle durch die jeweils zuständige Datenschutzbehörde erhält insofern lediglich eine sekundäre Funktion. Die Eigenkontrolle soll nach dem Willen des Gesetzgebers durch einen weisungsunabhängigen, der Geschäftsleitung direkt unterstellten Datenschutzbeauftragten ausgeübt werden.

Ein Datenschutzbeauftragter ist regelmäßig bei Verarbeitung personenbezogener Daten zu bestellen. Wann ein eigener Datenschutzbeauftragter bestellt werden muss, bestimmt das Bundesdatenschutzgesetz in § 4f BDSG.

Nach dieser Norm sind grundsätzlich all jene Unternehmen dazu verpflichtet einen Beauftragten für den Datenschutz zu bestellen, die personenbezogene Daten automatisiert verarbeiten. Damit spielt grundsätzlich weder die Organisationsform des Unternehmens noch die rechtliche Grundlage der Verarbeitung eine Rolle. Mit personenbezogenen Daten sind dabei Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 BDSG) gemeint.

Die Systematik des Gesetzes: Regel-Ausnahme-Prinzip

Auch wenn grundsätzlich damit die meisten Unternehmen zur Bestellung verpflichtet sind, so hat das Gesetz in § 4f BDSG diverse Ausnahmen vorgesehen, wann eine Bestellung ausnahmsweise entfallen kann.

Zunächst muss in diesem Zusammenhang auf die mit der Datenverarbeitung beschäftigte Personenanzahl abgestellt werden.

Bei einer automatisierten Verarbeitung muss keine Bestellung eines Datenschutzbeauftragen erfolgen, wenn in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung der personenbezogenen Daten betraut sind (§ 4f Abs. 1 S. 4 BDSG).

Sinkt auf Grund der Reduzierung des Personalbestandes die Beschäftigtenanzahl nicht nur vorübergehend unter 10 Personen, so erlischt damit auch die Verpflichtung einen Datenschutzbeauftragten zu bestellen.

In die Berechnung sind auch diejenigen Personen mit einzubeziehen, die nur manchmal mit der Verarbeitung betraut sind. Voll- und Teilzeitbeschäftigte sind in die Berechnung gleichermaßen mit einzurechnen. Es ist darüber hinaus nicht relevant, ob die Datenverarbeitungsaufgaben von eigenen Angestellten, freien Mitarbeitern, Zeitarbeitern, Praktikanten oder Auszubildenden etc. ausgeführt werden.

Datenschutzbeauftragter auch bei besonderer Verarbeitungsaktivität nötig

Aber selbst wenn ein Unternehmen die oben genannte Anzahl der mit der Datenverarbeitung beschäftigten Personen nicht erreicht, so kann es dennoch notwendig sein, einen Datenschutzbeauftragten zu bestellen (also eine „Ausnahme der Ausnahme“).

Der Gesetzgeber hat insoweit in § 4f Abs. 1 S. 6 BDSG verschiedene Fälle zusammengefasst, in denen wegen besonderer Verarbeitungen oder besonders sensibler Daten eine erhöhte Gefahr für die personenbezogenen Daten der Betroffenen besteht.

Eine besondere Gefahr liegt demnach vor, wenn entweder eine automatisierte Datenverarbeitung zur geschäftsmäßigen anonymisierten oder nicht anonymisierten Übermittlung von Daten oder für Zwecke der Markt- oder Meinungsforschung stattfindet oder eine automatisierte Verarbeitung vorgenommen wird, die einer Vorabkontrolle im Sinne von § 4d Abs. 5 BDSG unterliegt.

Daten unterliegen einer Vorabkontrolle, wenn die Datenverarbeitung „besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist“. Dies ist insbesondere der Fall bei professionellen Adresshändlern sowie Unternehmen zur Mitglieder- oder Personalverwaltung, Telefondatenerfassung, Videoüberwachung oder der Kundenbetreuung

Auch wenn ein Unternehmen mit besonders sensiblen Daten im Sinne von § 3 Abs. 9 BDSG (beispielsweise Daten über die rassische und ethnische Herkunft, über politische Meinungen oder religiöse oder philosophische Überzeugungen) umgeht, kann ein Datenschutzbeauftragter nötig sein. Sollten Sie an dieser Stelle unsicher sein, ob Ihr Unternehmen einen Datenschutzbeauftragten benötigt, empfehlen wir Ihnen Rechtsrat einzuholen (lesen Sie hier, warum Sie einen Datenschutzbeauftragten bestellen sollten).

Wer darf zum Datenschutzbeauftragten bestellt werden?

Müssen Sie einen Datenschutzbeauftragten bestellen so stellt sich natürlich die Frage, wer zu diesem berufen werden kann.

Es kann hierbei sowohl ein eigener Mitarbeiter (so genannter „interner Datenschutzbeauftragter“) sowie auch eine externe Person (so genannter „externer Datenschutzbeauftragter“) bestellt werden.
Nach dem BDSG ist die Bestellung dabei zum einen an das Vorliegen einer gewissen Fachkunde sowie an die Zuverlässigkeit der Person geknüpft. Der Gesetzgeber hat aber kein festes Anforderungsprofil festgelegt.

Ob der Bestellte den Anforderungen genügt, muss damit am Einzelfall und je nach der Schwerpunktsetzung des Unternehmens sowie anhand einer branchenspezifisch erforderlichen Fachkunde festgestellt werden. Da sich die Verarbeitungstechnologie ständig fortentwickelt muss sich der Datenschutzbeauftragten laufend über die neuen datenschutzrechtlichen Rahmenbedingungen informieren.

Seit dem 1.9.2009 hat der Arbeitgeber daher dem internen Datenschutzbeauftragte gemäß § 4f Abs. 3 S. 7 BDSG die Teilnahme an Schulungsmaßnahmen zu ermöglichen. Das IITR bietet derartige Fort- und Weiterbildungsveranstaltungen an.

Schließlich sollte der Datenschutzbeauftragte auch über die nötigen rechtlichen Kenntnisse verfügen, um auch den Hintergrund der datenschutzrechtlichen Regelungen verstehen und darauf aufbauend die Konsequenzen für die verantwortliche Stelle richtig einschätzen zu können.

Fazit

Einen Datenschutzbeauftragten müssen Sie bestellen, wenn in Ihrem Unternehmen wenigstens 10 Personen mit der automatisierten Datenverarbeitung betraut sind oder einer der besonderen Fälle des § 4f Abs. 1 S. 6 BDSG auf Ihr Unternehmen zutrifft.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.