Datenschutzbeauftragter

Braucht Ihr Unternehmen einen Datenschutzbeauftragten?
Datenschutzbeauftragter

Unternehmen, bei denen regelmäßig mehr als 20 Personen mit der Verarbeitung personenbezogener Daten betraut sind, müssen einen Datenschutzbeauftragten haben.

Datenschutzbeauftragter

DSGVO DATENSCHUTZBEAUFTRAGTER

Während die Richtlinie 95/46/EG die Verpflichtung zur Bestellung von Datenschutzbeauftragten lediglich als Alternative vorsah, um die Meldepflicht gegenüber der Datenschutzaufsichtsbehörde entfallen zu lassen, ergibt sich eine Bestellpflicht erstmals unmittelbar aus der DSGVO selbst. Das deutsche Erfolgsmodell der datenschutzrechtlichen Selbstkontrolle hat sich damit auch auf europäischer Ebene durchgesetzt.

Ein betrieblicher Datenschutzbeauftragter ist zu bestimmen, wenn im Unternehmen sog. Kerntätigkeiten i.S.d. Art. 37 Abs. 1 lit. b) DSGVO als Haupttätigkeiten vorzunehmen sind: Diese sind bei Daten-Verarbeitungsvorgängen gegeben, die eine umfangreiche, „regelmäßige und systematische Überwachung der betroffenen Personen“ erfordern, sowie wenn nach Art. 37 Abs.1 lit. c) DSGVO in großem Umfang persönliche Daten von besonderer Kategorie (wie z.B. Gesundheitsdaten oder konfessionelle Daten) oder strafrechtlich relevante Daten wie z.B. Daten über gerichtliche Verurteilungen und Straftaten verarbeitet werden.

Die für Unternehmen maßgebliche Bestellpflicht der beiden letztgenannten Fallgruppen hat jeweils zwei Voraussetzungen. Erstens muss die die Bestellpflicht auslösende personenbezogene Datenverarbeitung zur „Kerntätigkeit“ des für die Verarbeitung Verantwortlichen bzw. Auftragsverarbeiters gehören. Zweitens muss die Tätigkeit bestimmte inhaltliche Voraussetzungen erfüllen, nämlich das Erfordernis einer umfangreichen regelmäßigen und systematischen Beobachtung oder die umfangreiche Verarbeitung von Daten im Sinne von Art. 37 Abs. 1 lit. c) DSGVO.

Mittels der am 13. Dezember 2016 veröffentlichten Stellungnahme der Artikel 29 Gruppe gibt es bereits erste Klarstellungen was unter „Kerntätigkeit“ i.S.d. Art. 37 Abs. 1 b DSGVO zu verstehen ist. Im Zusammenhang mit Erwägungsgrund 97, ist hierunter demnach jede Tätigkeit zu verstehen, die essentiell für die Erreichung der Ziele des Unternehmens sind. Als Beispiel sei hier die Verarbeitung von Gesundheitsdaten in einem Krankenhaus genannt.

Eine Bestellpflicht nach Art. 37 Abs. 1 lit. b) DSGVO besteht daher für Auskunfteien; Detekteien; Versicherungsunternehmen (Risikomanagement oder individualisierte Tarife wie „Pay as you drive“), Marketing auf Basis detaillierter Kunden- und Interessentenprofile.

Die Regelung des Art. 37 Abs. 1 lit. c) DSGVO dürfte insbesondere für Unternehmen, deren Kerngeschäft der Handel mit personenbezogenen Daten ist („Daten als Ware“), Auskunfteien oder Adresshändler gelten. Hierzu führt die Artikel 29 Gruppe einige Faktoren auf, die maßgeblich für das Merkmal „umfangreiche Verarbeitung“ i.S.d. Ziffern b) und c) sind die Anzahl der Betroffenen, die Menge der betroffenen Daten und/oder die Vielzahl der verschiedenen Datensätze, die Dauer der Datenverarbeitung oder die geographische Reichweite der Datenverarbeitung. Unter Berücksichtigung von Erwägungsgrund 24 kann man unter dem Merkmal „umfangreiche regelmäßige und systematische Überwachung“ alle Arten des Internettrackings und – profilings verstehen.

Eine Bestellpflicht nach Art. 37 Abs. 1 lit. c) DSGVO besteht deshalb für Gesundheitseinrichtungen, wie z.B. Krankenhäuser; mit genetischen Untersuchungen befasste Labore, Beratungsstellen wie Pro Familia, Dienstleister im biometrischen ID-Management oder Anbieter von Erotikartikeln.

Darüber hinaus kann sich eine Bestellpflicht nach Art. 37 Abs. 4 DSGVO auch dann ergeben, wenn die dort normierte Öffnungsklausel durch den nationalen Gesetzgeber genutzt wurde, um weitergehende Verpflichtungen zur Bestellung eines Datenschutzbeauftragten vorzusehen. Die Öffnungsklausel bezieht sich nur auf die Voraussetzungen, unter denen ein Beauftragter zu bestellen ist. Aufgaben und Stellung können nicht abweichend geregelt werden. Art. 37 Abs. 4 DSGVO stellt überdies klar, dass die freiwillige Bestellung von Datenschutzbeauftragten unbenommen ist.

Für Deutschland existiert eine ausdrückliche Positionierung des Bundestages (BT-Drs. 17/11325, Abschnitt II., Nr. 21), wonach das in Deutschland bestehende und bewährte System der Beauftragten für Datenschutz in Unternehmen und Verwaltung nicht gefährdet werden soll. Insoweit überraschte es nicht, dass der deutsche Gesetzgeber die Öffnungsklausel genutzt hat, um eine weitergehende Regelung im BDSG (neu) zu schaffen.

Gemäß §38 Abs. 1 BDSG (neu) ist ein betrieblicher Datenschutzbeauftragter zu bestellen, wenn sich im Unternehmen „in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“, sowie, wenn eine sog. Datenschutzfolgeabschätzung nach Art. 35 DSGVO erforderlich ist. Dies ist gegeben, wenn die automatisierte Datenverarbeitung die Wahrscheinlichkeit eines hohen Eintrittsrisikos für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Auch wenn geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden, hat die Bestellung eines Datenschutzbeauftragten zu erfolgen.

Die Bestellung des Datenschutzbeauftragten musste bisher schriftlich erfolgen. Der Wortlaut der Datenschutz-Grundverordnung spricht nur noch von einer „Benennung“ des Datenschutzbeauftragten. Eine tatsächliche schriftliche Bestellung ist nicht mehr erforderlich. Die DSGVO verlangt darüber hinaus die Mitteilung an die Aufsichtsbehörden, sofern eine „Benennungspflicht“ besteht.

Zwar ist es nach der Artikel 29 Gruppe hierfür ausreichend, dass den Betroffenen und/oder den Aufsichtsbehörden die Kontaktdaten des Datenschutzbeauftragten gegeben werden, die für eine Kontaktaufnahme „erforderlich“ sind und eine leichte Kommunikation ermöglichen – mithin also Anschrift, Telefonnummer und E-Mail. Es ist jedoch empfehlenswert, der Aufsichtsbehörde und den Mitarbeitern eines Unternehmens die konkreten Kontaktdaten des Datenschutzbeauftragten mitzuteilen. Auf der Webseite eines Unternehmens sei es hingegen ausreichend, wenn man beispielsweise eine Hotline oder spezifische Kontaktdaten veröffentlicht. Nicht erforderlich ist die Kundgabe des Namens des Datenschutzbeauftragten.

Grundsätzlich kann ein Unternehmen wählen, ob die Position des betrieblichen Datenschutzbeauftragten intern oder extern besetzt wird. Viele Unternehmen bedienen sich heutzutage der Möglichkeit einen externen Datenschutzbeauftragten zu bestellen, um ihre eigenen internen Ressourcen besser nutzen zu können und von den Vorteilen des spezifischen Fachwissens eines externen Datenschutzbeauftragten zu profitieren.

Diese Möglichkeit regelt die Datenschutzgrundverordnung nunmehr ebenfalls explizit in Art. 37 Abs. 6 DSGVO. Ein Unternehmen sollte daher die Vor- und Nachteile eines internen bzw. externen Datenschutzbeauftragten genau abwägen. In jedem Fall sollte die Bestellung eines Datenschutzbeauftragten geprüft werden. Denn das vorsätzliche oder fahrlässige Versäumnis einen betrieblichen Datenschutzbeauftragten zu bestellen löst nach der DSGVO die Sanktion eines Bußgeldes aus.

Holen Sie sich Unterstützung

SIE HABEN NOCH FRAGEN?

Online Termin vereinbaren

Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.

Antworten per WhatsApp

LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.

LEGAL SMART Anwaltshotline

Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.

VORTEILE

LEGAL TECH PLUS

LEGAL SMART | Die innovative Legal Tech Kanzlei aus Berlin vereint alle Vorteile. LEGAL SMART vereint sämtliche Vorteile einer klassischen Anwaltskanzlei mit dem userfreundlichen Angebot eines Legal Tech Unternehmens. Wir haben unsere Prozesse wie ein Legal Tech Unternehmen ausgerichtet und können Sie trotzdem mit der Kompetenz einer Rechtsanwaltskanzlei in allen Fragen des Wirtschafts- und Zivilrechts beraten.

Wie geht das? Wir entwickeln seit Jahren innovative Technologie, welche uns bei der täglichen Arbeit für optimale und schnelle Ergebnisse für unsere Mandanten unterstützt oder die wir Ihnen direkt online zur Verfügung stellen können.

LEGAL SMART ist eine im Wirtschats- und Zivilrecht tätige Rechtsanwaltskanzlei und berät und vertritt Unternehmen und Verbraucher im vorgerichtlichen wie im gerichtlichen Verfahren. Dabei entwickeln wir für unsere Mandanten immer eine auf den wirtschaftlichen Erfolg ausgerichtete Strategie; wir sprechen eine klare Sprache mit unseren Mandanten und begleiten Sie regelmäßig auch bei der Umsetzung der erzielten Ergebnisse.
Legal Tech wird dort angeboten, wo für ein bestimmtes rechtliches Problem eine Lösung unter Einsatz einer Online-Assistenten möglich ist. Legal Tech zeichnet sich dabei dadurch aus, dass schnelle Lösungen erzielt werden und das Problem komplett abgegeben werden kann. Aber warum sollte das nur außerhalb einer Anwaltskanzlei möglich sein? Das haben wir uns auch gedacht und deshalb mit der hohen Kompetenz unserer Rechtsanwälte für unsere Mandanten schnelle Lösungen in Anwaltsqualität entwickelt. Nutzen Sie unsere einfachen Online-Assistenten und wir erledigen den Rest für Sie.
Digitale Rechtsprodukte sind ein Teil der Zukunft des Rechtsmarkts. LEGAL SMART war die erste Rechtsanwaltskanzlei in Deutschland, die digitale Rechtsprodukte angeboten hat, um Mandanten jederzeit online verfügbare Lösungen in Anwaltsqualität zur Verfügung zu stellen. Und unser Team entwickelt dort stämdig neue Lösungen, wo die Ergebnisse online und offline dieselbe Qualität aufweisen und für den konkreten Einzelfall geeignet sind.
Bei LEGAL SMART arbeiten Anwälte mit Visionen und dem Ziel, die Zukunft des Rechtsmarkts neu zu gestalten. Sie werden durch innovative, junge Leute aus verschiendenen Bereichen unterstützt, um durch effiziente Prozesse immer wieder neue Wege zum besten Rechtsschutz zu finden. Denn wir glauben, dass nicht nur Start-Ups innovativ sein können.
LEGAL SMART RECHTSPRODUKTE

ANWALTLICHE LEISTUNG ZUM FESTPREIS

LEGAL SMART Rechtsprodukt Anwaltliche Erstberatung
149,00 €

Anwaltliche Erstberatung

Lassen Sie sich umfassend und invidiuell beraten zu Ihrer rechtlichen Frage. Fast 85% aller rechtlichen Probleme lassen sich bereits mit der anwaltlichen Erstberatung klären.

MEHR PRODUKTE Anwaltliche Leistung zum Festpreis

LEGAL SMART Rechtsanwaltsgesellschaft mbH

LEGAL SMART ist die Legal Tech Kanzlei für wirtschaftsrechtliche Themen. Durch konsequente Prozessoptimierung interner und externer Prozesse bieten wir neue Lösungen für verschiedene Fragestellungen. So ist das Recht für jeden zugänglich; schnell, digital und trotzdem mit der Expertise und Kompetenz einer erfahrenen Wirtschaftsrechtskanzlei. Denn Legal Tech ist mehr als nur der Einsatz von Technologie. Legal Tech ist die Bereitstellung juristischer Kompetenz.