Bestellung eines Datenschutzbeauftragten nach EU-DSGVO – was ändert sich?

Die neue Datenschutzgrundverordnung, die am 25.05.2018 in Kraft tritt, bringt auch Änderungen in Bezug auf die Bestellung des Datenschutzbeauftragten mit sich.

Hier gelten nicht nur die EU-DSGVO, sondern zusätzlich das sogenannte „BDSG-NEU“ und die sogenannten „Erwägungsgründe“. Diese Erwägungsgründe dienen als Hilfestellung zur Interpretation der offiziellen Rechtnormen.

Eine wesentliche Neuerung ist die Pflicht, die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der Aufsichtsbehörde mitzuteilen.

Nach aktuellem Gesetz muss ein Datenschutzbeauftragter schriftlich bestellt werden (§ 4f BDSG). Die Pflicht der schriftlichen Ernennung erlischt jedoch mit der EU-DSGVO und dem BDSG-NEU. Ab dem 25.05.2018 müssen lediglich die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde gemeldet werden, womit die Benennung offiziell vollzogen ist (Artikel 37 Abs. 1 DSGVO und § 38 Abs. 1 BDSG-NEU). Der Formzwang „schriftlich“ entfällt und ein Datenschutzbeauftragter kann somit formfrei ernannt werden; die Meldepflicht zur Übermittlung der Kontaktdaten an die Aufsichtsbehörde muss allerdings zwingend erfüllt sein.

Auch der Zeitpunkt der Bestellung ist neu geregelt: Während nach § 4f Satz 2 BDSG der Datenschutzbeauftragte spätestens innerhalb eines Monats nach der Aufnahme seiner Tätigkeiten schriftlich bestellt werden muss, ist weder in der DSGVO noch im BDSG-NEU eine genaue Frist enthalten. Daher empfiehlt es sich, den Beauftragten unverzüglich zu benennen, wenn die Voraussetzungen erfüllt sind.

Doch welche Voraussetzungen zur Ernennung eines Datenschutzbeauftragten müssen erfüllt sein – oder anders gefragt – wann muss ich als Unternehmen einen Datenschutzbeauftragten benennen?

Im aktuellen Gesetz (§ 4f BDSG) sind dies folgende Regelungen:

  • Mehr als neun Mitarbeiter haben regelmäßig mit automatisierter Datenverarbeitung zu tun (Datenerhebung und Datennutzung).
  • Mindestens 20 Mitarbeiter haben regelmäßig mit nicht automatisierter Datenverarbeitung zu tun.
  • Werden personenbezogene Daten geschäftsmäßig übermittelt, erhoben, verarbeitet oder genutzt, muss die Ernennung eines Datenschutzbeauftragten unabhängig von der Anzahl der Beschäftigten im Unternehmen erfolgen.
  • Werden sensible personenbezogene Daten erhoben, muss auch hier eine Benennung unabhängig von der Anzahl der Beschäftigten erfolgen.

Eine Änderung ist diesbezüglich im BDSG-NEU nur in kleinen Teilen vorgesehen (§ 38 BDSG-NEU). Lediglich die Formulierung ändert sich im ersten genannten Punkt. Im BDSG-NEU ist die Rede von „mindestens zehn Personen, die ständig mit automatisierter Datenverarbeitung beschäftigt sind“. Der Punkt der nicht automatisierten Datenverarbeitung entfällt. Die oben genannten Punkte dienen als Ergänzung zu den Richtlinien der DSGVO. Demnach muss ein Datenschutzbeauftragter nach Artikel 37 Abs.1 b) und c) DSGVO für nicht-öffentliche Stellen bestellt werden, wenn:

b) „die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder“

c ) „die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“

Dient die Verarbeitung personenbezogener Daten also dem primären Geschäftszweck oder können ohne die Verarbeitung personenbezogener Daten die primären Ziele des Unternehmens nicht erreicht werden, muss ein Datenschutzbeauftragter im Unternehmen bestellt werden. (Erwägungsgrund 97 DSGVO)

Zu der Begrifflichkeit „systematische Überwachung“ kann Erwägungsgrund 24 herangezogen werden: Hierzu zählen alle Fälle der Nachverfolgung von Internetaktivitäten (digital footprints) und Profilbildung, wobei der Begriff nicht auf Anwendungsfälle im Bereich der Internetnutzung beschränkt ist.

Sollte ein Datenschutzbeauftragter im Unternehmen nicht nach den oben genannten Kriterien bestellt werden, obwohl die Voraussetzungen gegeben sind, können ab dem 25.05.2018 Geldstrafen in Höhe von bis zu 2% des gesamten weltweit erzielten Jahresumsatzes oder 10.000.000 € verhängt werden, je nachdem welcher Betrag höher ist.