Wann euer Start-up einen Datenschutzbeauftragten braucht + was er tun muss



Wenn die neue Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 unmittelbare Geltung in allen EU- Mitgliedsstaaten entfaltet, dann enthält sie auch Änderungen und Neuerungen in Hinblick auf den Datenschutzbeauftragten. Wann ein Datenschutzbeauftragter im Unternehmen zwingend bestellt werden muss und welche Aufgaben er übernehmen muss, erklärt Anwältin Alia von Werder von der Kanzlei Loewenheim Rechtsanwälte in diesem Beitrag.



Wann muss ein Datenschutzbeauftragter nach DSGVO bestellt werden?

Eine Antwort auf diese Frage enthält Artikel 37 DSGVO. Danach besteht eine Bestellpflicht für Unternehmen in den folgenden zwei Fällen:

  1. Zum einen besteht eine Bestellpflicht, wenn die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht und diese aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht.
  2. Eine Bestellpflicht besteht zudem, wenn die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht. Zu den besonderen Kategorien von Daten im Sinne des Art. 9 DSGVO gehören besonders sensible Daten wie solche, aus denen u.a. die rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung, sexuelle Überzeugung oder Gesundheitsdaten hervorgehen.

Die in der Datenschutzgrundverordnung normierten Fälle für Unternehmen zeigen, dass die neue Verordnung auf die Risiken der Datenverarbeitung abstellt und nicht auf die Anzahl der Personen, die in der Regel mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Allerdings dürften die genannten Fälle in der Praxis eine wesentliche Frage aufwerfen. Denn wie meist in juristischen Angelegenheiten, steckt der Teufel im Detail. Jedes Unternehmen wird sich fragen müssen, ob die Verarbeitung der oben bezeichneten Daten denn auch die Kerntätigkeit des Unternehmens darstellt. Denn nur dann besteht die Verpflichtung zur Bestellung eines Datenschutzbeauftragten. Der Erwägungsgrund 97 zur DSGVO stellt klar, dass mit Kerntätigkeit die Haupttätigkeit des Unternehmens gemeint ist. Haupttätigkeit meint in erster Linie den primären Geschäftszweck, demnach den Unternehmensschwerpunkt und die Unternehmensausrichtung. Stellt die Verarbeitung personenbezogener Daten lediglich eine Nebentätigkeit dar, besteht keine Bestellpflicht.

Datenschutz

Und außerdem ist Datenschutzbeauftragter zu bestellen, wenn…

Ergänzend zu Art. 37 DSGVO sind zudem noch die nationalen Vorschriften in Hinblick auf den Datenschutzbeauftragten zu beachten. Dies ergibt sich aus der Öffnungsklausel des Art. 37 Abs.4 DSGVO, wonach die Mitgliedsstaaten die Bestellungspflicht durch nationale Datenschutzvorschriften regeln können. Davon hat der deutsche Gesetzgeber Gebrauch gemacht und in § 38 I BDSG nF eine entsprechende Regelung verfasst.

Danach besteht eine Bestellpflicht, sofern in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder wenn Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung i.S.d Art. 35 DSGVO unterliegen.  

Aber auch, wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden, besteht unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Verpflichtung zur Benennung eines Datenschutzbeauftragten.

Eine Bestellpflicht für die nicht-automatisierte Verarbeitung sieht das neue BDSG nicht mehr vor.

Unternehmen müssen daher alle in Betracht kommenden Fälle möglicher Bestellpflicht prüfen und entsprechend handeln.

Besteht eine Bestellpflicht und wird diese falsch eingeschätzt oder gar ignoriert, droht ein Bußgeld in empfindlicher Höhe sowohl nach der DSGVO als auch nach dem BDSG nF.

Welche Qualifikationen muss der Datenschutzbeauftragte mitbringen?

Gemäß Art. 37 Abs. 5 DSGVO wird der Datenschutzbeauftragte entsprechend seiner beruflichen Qualifikation, insbesondere seines Fachwissens nach benannt. Was das genau bedeutet, lässt die DSGVO offen. Grundsätzlich werden vertiefte Kenntnisse der datenschutzrechtlichen Vorschriften erforderlich sein. Darüber hinaus wird der Datenschutzbeauftragte aber auch über technisches Verständnis verfügen müssen, um die maßgeblichen Sachverhalte einordnen und lösen zu können. Eines bestimmten Berufsbildes bedarf es jedoch nicht. Abgestellt wird auf die Fähigkeiten in fachlicher Hinsicht. Dabei ist auch nicht relevant, wo und wann der Datenschutzbeauftragte seine Fachkenntnisse erworben hat. Wichtig ist nur, dass er über sie verfügt. In persönlicher Hinsicht sollte der Datenschutzbeauftragte zuverlässig und kommunikationsstark sein, um seine Aufgaben verantwortlich wahrnehmen zu können.

Der Datenschutzbeauftragte muss zudem seine Tätigkeit in vollständiger Unabhängigkeit ausüben können. Es gilt, Interessenskonflikte zu vermeiden.

Unternehmen sollten bei der Auswahl eines geeigneten Datenschutzbeauftragten großen Wert auf die Kriterien Rechtskenntnisse, IT-Verständnis und Zuverlässigkeit legen und genau überprüfen, ob der Datenschutzbeauftragte geeignet ist, seinen verantwortungsvollen und haftungsträchtigen Verpflichtungen nachzukommen.

Die Aufgaben des Datenschutzbeauftragten sind…

Mit einfachen Worten lässt sich die Hauptaufgabe des Datenschutzbeauftragten wie folgt beschreiben:

Er hat die Einhaltung und Umsetzung datenschutzrechtlicher Vorschriften sicherzustellen.

Konkret bedeutet das, dass der Datenschutzbeauftragte im Mindestmaß die folgenden Aufgaben hat:

  • Beratung des Verantwortlichen und der Mitarbeiter, die personenbezogene Daten verarbeiten, in Hinblick auf Ihre Verpflichtungen nach dem Datenschutzrecht.
  • Überwachung der Einhaltung datenschutzrechtlicher Vorschriften.
  • Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und der Überwachung ihrer Durchführung.
  • Zusammenarbeit mit den Aufsichtsbehörden.

Die Qual der Wahl: interner oder externer Datenschutzbeauftragter?

Unternehmen stellen sich häufig die Frage, ob sie einen externen Datenschutzbeauftragten auf Grundlage eines Dienstleistungsvertrages benennen oder sich eines internen Datenschutzbeauftragten bedienen sollten. Die Antwort auf die Frage kann jedenfalls nicht pauschal beantwortet werden. Allerdings bestehen durchaus gewichtige Gründe für die Beauftragung eines externen Dienstleisters. So haftet bspw. ein externer Datenschutzbeauftragter für die richtige Beratung, wohingegen der interne Datenschutzbeauftragte lediglich im Rahmen der beschränkten Arbeitnehmerhaftung zur Verantwortung gezogen werden kann. Die Geschäftsführung haftet dafür aber gänzlich.

Ein weiterer rechtlich interessanter Aspekt, der für den externen Datenschutzbeauftragten spricht, ist in arbeitsrechtlich relevanter Hinsicht die Tatsache, dass das Vertragsverhältnis mit dem Externen durch Kündigung oder Ablauf der Vertragslaufzeit beendet werden kann. Der interne Datenschutzbeauftragte, der nach dem neuen BDSG bestellt wurde, genießt zudem besonderen Kündigungsschutz. Weitere Gründe ließen sich aufzählen. Letztlich empfiehlt es sich, eine Gegenüberstellung sämtlicher Aspekte (Kosten, Haftung, Kompetenz, Kündigungsschutz etc.) vorzunehmen und eine darauf basierende Einzelfallentscheidung zu treffen.

Pflicht zur Veröffentlichung und Meldung der Kontaktdaten

Art. 37 Abs. 7 DSGVO normiert eine grundlegende Pflicht zur Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten und Mitteilung dieser an die Aufsichtsbehörde. In welcher Form konkret diese Verpflichtung zu erfolgen hat, darüber gibt die DSGVO keine Auskunft.

Es dürfte jedoch ausreichend sein, die Veröffentlichung der Kontaktdaten auf einer für die Allgemeinheit zugänglichen Webseite in leicht auffindbarer Weise zur Verfügung zu stellen.

Fazit: Jedes Start-up sollte sich unbedingt Gedanken machen

Abschließend lässt sich festhalten, dass sich jedes Unternehmen unabhängig von seiner Größe fragen muss, ob eine Bestellpflicht sowohl nach DSGVO als auch nach dem neuen BDSG notwendig sein könnte. Da sich zunehmend Start-ups auf dem Markt etablieren, die die Voraussetzungen der Bestellpflicht nach der DSGVO begründen, sollte diesem Aspekt des „neuen“ Datenschutzrechts Aufmerksamkeit gewidmet werden. Dies insbesondere, um den drastischen Bußgeldern zu umgehen, die die Aufsichtsbehörden bei Nichtbeachtung der Bestellpflicht verhängen können.