Wann muss ein DSB benannt werden?

Diese Frage bekomme ich ziemlich oft gestellt. Häufig wird angenommen, weil man klein ist, dass man keinen Datenschutzbeauftragten braucht. Doch was ist wirklich dran an dieser Argumentation?

Der Datenschutzbeauftragte ist nicht nur eine Position, die die Rechenschaftspflichten eines Unternehmens wesentlich erleichtert, die sich um die Einhaltung der Vorschriften kümmert und als Vermittler zwischen Aufsichtsbehörden, betroffenen Personen und Geschäftsführung tätig ist, sondern ist auch ein Wettbewerbsinstrument.

Wann muss man einen Datenschutzbeauftragten benennen?

Nach der Gesetzeslage unter DSGVO bzw. BDSG-neu gibt es mehrere Kriterien, wann man einen Datenschutzbeauftragten benennen muss.

1. Zahl der Mitarbeiter

Im BDSG-neu wird man in § 38 (1) fündig. Hier heißt es, der Verantwortliche (Unternehmen) und der Auftragsverarbeiter benennen eine Datenschutzbeauftragte/n, soweit sie in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. An dieser Stelle kommt oft die Frage, wie Geschäftsführer, Teilzeitmitarbeiter und Home-Office-Mitarbeiter gezählt werden. Die Antwort ist einfach. Die Personen werden pro Kopf gezählt. Also auch Geschäftsführer, Teilzeitkräfte und Home-Office-Mitarbeiter werden voll gerechnet.

2. Kerntätigkeit

Mit der Kerntätigkeit ist die Haupttätigkeit eines Unternehmens gemeint (Erwägungsgrund 97 DSGVO). Also die Arbeitsabläufe, die zur Erreichung der Unternehmensziele des Verantwortlichen oder Auftragsverarbeiters nötig sind. Bei der Betrachtung der Haupttätigkeit muss beachtet werden, dass die Verarbeitung von Daten untrennbarer Bestandteil sein kann. Ein Beispiel hierfür sind Krankenhäuser. Die Kerntätigkeit besteht in der medizinischen Versorgung. Diese kann aber nur mit der Führung von Krankenakten durchgeführt werden. Unterstützungsfunktionen wie Entlohnung von Mitarbeitern oder Leistung von Standard IT-Support sind zwar notwendig für ein Unternehmen, aber keine Kerntätigkeit.

3. Umfangreiche Verarbeitung

Eine klare Definition wann man umfangreich Daten verarbeitet gibt es derzeit nicht. Aber an folgenden Faktoren kann man sich orientieren:

  • Die Zahl der betroffenen Personen
  • Das Datenvolumen und/oder das Spektrum der sich in Bearbeitung befindlichen Daten
  • Die Dauer der Verarbeitungstätigkeit
  • Die geografische Ausdehnung der Verarbeitungstätigkeit

Im Grunde kann man sagen, wenn eine große Masse von Personen betroffen ist, viele unterschiedliche Daten zu Personen verarbeitet werden, wenn personenbezogene Daten permanent verarbeitet werden. Wenn Unternehmen z.B. Register oder Listen führen oder Portale anbieten, sollte dieser Punkt genau unter die Lupe genommen werden

4. Regelmäßige und systematische Überwachung

In Erwägungsgrund 24 DSGVO wird die regelmäßige und systematische Überwachung definiert. Dort heißt es, Beobachtung des Verhaltens von betroffenen Personen. Vorab kann man sagen, dass damit die Verfolgung und Profilbildung im Internet, wie zum Zwecke der verhaltensbasierenden Werbung gemeint ist. Dass erstreckt sich natürlich auch auf den Offline-Bereich.

Was bedeutet nun regelmäßig?

  • Fortlaufend
  • In bestimmten Abständen während eines bestimmten Zeitraums
  • Immer wieder
  • Wiederholt zu bestimmten Zeitpunkten
  • Ständig stattfindend

Was bedeutet systematisch?

  • Systematisch vorkommend
  • Vereinbart. Organisiert oder methodisch
  • Im Rahmen eines Datenerfassungsplans
  • Im Rahmen einer Strategie

Beispiele sind verfolgende E-Mail-Werbung, datengesteuerte Marketingaktivitäten, Standortverfolgung, Treueprogramme, verhaltensbasierte Werbung, Überwachung von Wellness-, Fitness- und gesundheitsbezogenen Daten über Wearables, Überwachungskameras oder vernetzte Geräte (IoT, Smart Home).

5. Besondere Kategorien von personenbezogenen Daten

In diese Kategorie fällt die Verarbeitung von folgenden Daten

  • Aus denen sich die rassische und ethische Herkunft,
  • Politische Meinungen,
  • Religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Genetische Daten
  • Biometrische Daten
  • Gesundheitsdaten
  • Daten zum Sexualleben oder der sexuellen Orientierung

Abschließend zu dieser Aufzählung möchte ich noch darauf hinweisen, dass nicht nur ein Unternehmen als Verantwortlicher verpflichtet sein kann einen Datenschutzbeauftragten zu benennen. Auch outgesourcte Dienstleister wie Virtuelle Assistenten (VA), Marketingagenturen, Buchhaltungsdienstleister, Softwareunternehmen etc. können verpflichtet sein, einen Datenschutzbeauftragten benennen zu müssen.

Was tun wenn man keinen Datenschutzbeauftragten braucht?

Auf jeden Fall, sollten Unternehmen, die keinen Datenschutzbeauftragten benennen müssen, eine interne Analyse machen und diese dokumentieren. Aus dieser Analyse sollte klar hervorgehen, warum man keinen Datenschutzbeauftragten braucht. Diese Analyse gehört zu den Rechenschaftspflichten und kann von Aufsichtsbehörden angefordert werden. Daher sollte sie auch immer aktuell gehalten werden.
Um Datenschutz personenbezogener Daten trotzdem zu gewährleisten, ist es möglich einen Datenschutzbeauftragten freiwillig zu benennen, Mitarbeiter oder externe Berater mit den Aufgaben zu betrauen. Nach außen sollte immer klar kommuniziert werden, dass es sich um einen Berater/in handelt und nicht um einen Datenschutzbeauftragten.

Ist ein Datenschutzbeauftragter haftbar?

Im Rahmen meiner Beratung werde ich auch immer wieder gefragt, ob ein Datenschutzbeauftragter haftbar gemacht werden kann. Ein Datenschutzbeauftragter kann nicht persönlich haftbar gemacht werden. Die Einhaltung der Gesetze liegt in der Verantwortung des Unternehmens und/oder Auftragsverarbeiters.

Wie muss ein Unternehmen den Datenschutzbeauftragten unterstützen?

Die Unternehmen sind dazu verpflichtet, genügend Ressourcen bereit zu stellen, damit der Datenschutzbeauftragte auch seiner Arbeit nachgehen kann und Unabhängigkeit des Datenschutzbeauftragten zu gewährleisten. Auch bei einer freiwilligen Benennung muss das Unternehmen seiner Unterstützungspflicht nachkommen.

Muss ein Datenschutzbeauftragter vor Ort sein?

Nein. Ein Datenschutzbeauftragte/r muss effektiv erreichbar sein. Dazu wird empfohlen, dass der Datenschutzbeauftragte sich in der EU befindet. Für Unternehmen, die nicht in der EU niedergelassen sind, ist es auch möglich einen Datenschutzbeauftragten an dem Niederlassungsort zu haben.

Brauchen Sie Hilfe bei diesem Thema? Dann berate ich Sie gerne. Ich erstelle auch die Dokumentation dazu und unterstütze Sie bei dem ganzen Prozess gerne. Schreiben Sie mir einfach eine E-Mail