Wer braucht einen Datenschutzbeauftragten?

Wann ist ein Datenschutzbeauftragter erforderlich?

Einige Entscheider meinen, die Bestellung des Datenschutzbeauftragten würde freiwillig erfolgen.

Aber diese Annahme ist falsch.

Der Gesetzgeber hat im BDSG definiert, ab wann das Bestellen eines DSB als Pflicht gilt. Ebenso gibt die EU DSGVO vor, wann die Geschäftsleitung der Pflicht unterliegt, einen Datenschutzbeauftragten zu bestellen. Sollte man sich im Unternehmen mit den Voraussetzungen der Bestellung eines Datenschutzbeauftragten noch nicht befasst haben, ist eine Überprüfung der Notwendigkeit ratsam.

Es sind folgende drei Bereiche zu überprüfen, um mit Gewissheit sagen zu können, ob eine Bestellung erforderlich ist.

Das Bundesdatenschutzgesetz (BDSG) verpflichtet Unternehmen zur Ernennung eines Datenschutzbeauftragten,

• wenn ein Unternehmen Computer/EDV nutzt
  und mindestens vorübergehend mehr als neun Personen beschäftigt: § 4f Abs. 1 S. 3 BDSG
• unabhängig von der Zahl der Beschäftigten, wenn ein Unternehmen
  
  
• personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung erhebt, 
  verarbeitet oder nutzt: § 4f Abs. 1 S. 5 BDSG – z.B. Auskunfteien, Adressverlage, Markt- und Meinungsforschungsinstitute
• unabhängig von der Zahl der Beschäftigten, wenn das Unternehmen einer Vorabkontrolle unterliegt, weil besonders sensitive Daten verarbeitet werden:  § 4f Abs. 1 S. 5 BDSG – z.B. Scoringverfahren, Religion, Gesundheitsdaten, Angaben über ethnische Herkunft, Rasse, etc. 

Ein Datenschutzbeauftragter ist schriftlich zu bestellen.
Zweckmäßig ist dabei die Festlegung der wichtigsten Aufgaben in der Bestellungsurkunde oder die Bezugnahme auf die Vorschriften der §§ 4f, 4g BDSG.

Ein Datenschutzbeauftragter kann

• (unter Auflagen) aus den Reihen des Unternehmens (interner Datenschutzbeauftragter) oder
• als unabhängiger, externer Dienstleister mit flexibel und frei zu vereinbarendem Aufgabenumfang

bestellt werden. Eine Vernachlässigung dieser Pflicht kann empfindliche Folgen haben, vor allem, wenn tatsächlich etwas passieren sollte.

Verpflichtung zur Benennung eines Datenschutzbeauftragten nach EU DS-GVO

Die Regelungen zum Datenschutzbeauftragten unter der DS-GVO waren lange unklar. Doch mit der Einführung gilt eine europaweite Verpflichtung für Unternehmen, deren Kerngeschäft die Überwachung und der Umgang mit personenbezogenen Daten ist. Eine Mindestanzahl an Beschäftigte, wie sie das BDSG vorsah, existiert so nicht mehr.

Auch eine Bestellung muss nicht mehr schriftlich erfolgen. Mit der DS-GVO ist nun eine Benennung nach Art. 37 ausreichend. Zudem kann auch ein Konzern Datenschutzbeauftragter ernannt werden, wenn dieser von der jeweiligen Niederlassung leicht erreicht werden kann. Gehören zu diesem Konzern auch nicht EU-ansässige Unternehmen, muss sich der Sitz des des Datenschutzbeauftragten in der EU befinden.

Zwar unterliegt der Datenschutzbeauftragte einer Überwachungspflicht, diese macht ihn jedoch nicht für das Nichteinhalten der Datenschutzvorschriften verantwortlich. Auch hier haben sich die Sanktionen drastisch erhöht. Somit beträgt die Summe bei einem Verstoß gegen die Verordnung bis zu 10 Mio. Euro oder im Fall eines Unternehmens 2 % des gesamten weltweit ezielten Jahresumsatzes.

Somit kann man zusammenfassen:
Bei der Pflicht zur Bestellung eines Datenschutzbeauftragten wird auch nach der neuen DSGVO zwischen öffentlichen und nicht-öffentlichen Stellen unterschieden. Nach Art. 37 Abs. 1 a DSGVO sind öffentliche Stellen grundsätzlich verpflichtet, einen Datenschutzbeauftragten zu bestellen, wenn durch die öffentliche Stelle personenbezogene Daten verarbeitet werden. Eine Ausnahme hiervon stellen Gerichte im Rahmen ihrer justiziellen Tätigkeit dar. Öffentliche Stellen können unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe einen gemeinsamen Datenschutzbeauftragten bestellen; dies kann auch ein externer Datenschutzbeauftragter sein.

Nicht-öffentliche Stellen müssen dann einen Datenschutzbeauftragten bestellen, wenn ihre „Kerntätigkeit [...] in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen“ (Art. 37 Abs. 1 b DSGVO) oder ihre „Kerntätigkeit [...] in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“ (Art 37 Abs. 1 c DSGVO). Diese Bestellpflicht gilt sowohl für Verantwortliche als auch für Auftragsverarbeiter in Europa, soweit einzelne Nationalstaaten der EU nicht von der Öffnungsklausel in der DSGVO Gebrauch machen, die Bestellpflicht national gesondert zu regeln. 

Hinweis auf Bußgelder bei Verstößen

Sollte nach geltendem Datenschutzrecht (BDSG oder EU DSGVO) die Pflicht zur Bestellung eines Datenschutzbeauftragten bestehen, ist dieser Verpflichtung nachzukommen. Ein Mitarbeiter mit entsprechender Fachkunde oder ein externer DSB hat die Einhaltung der Datenschutzvorschriften nach BDSG zu überwachen. Ansonsten ist die zuständige Aufsichtsbehörde dazu berechtigt, den Verstoß mit einem hohen Bußgeld zu ahnden.

Weiter ist zu beachten:

• Meldepflicht für alle Datenverarbeitungs-Vorhaben: betrieblicher Datenschutz ist mit dem Gesetzgeber als Form der Selbstkontrolle vereinbart worden, um keine neue Kontroll-Behörde zu schaffen. Ist aber kein Datenschutzbeauftragter bestellt, dann besteht Meldepflicht an die Aufsichtsbehörde. Man verstößt also automatisch gegen noch mehr Vorschriften, das Bußgeld-Risiko steigt.
• Bußgelder bis zu 50.000 EUR bei Fahrlässigkeit, in schweren Fällen bis 300.000 EUR. Zur Verhängung von Bußgeldern kommt es in der Regel noch nicht, wenn „nur“ kein Datenschutzbeauftragter bestellt ist. Sollte aber etwas vorfallen, dann werden vermutlich Konsequenzen gezogen.
  
  Ein „Vorfall“ kann dabei ein tatsächliches Datenleck sein, es reicht aber auch schon eine berechtigte Beschwerde bei der zuständigen Aufsichtsbehörde, z.B. von einem entlassenen Mitarbeiter, einem abgelehnten Bewerber oder einem abgewiesenen Lieferanten.
  
  Betrachten Sie daher die Erfüllung der Vorschriften als „Versicherung“
  Wie für alle Bußgelder gilt: das Bußgeld ist so hoch anzusetzen, dass durch die Tat kein Vorteil erlangt wird. Das heisst: ein Datenschutzbeauftragter wäre in jedem Fall billiger gewesen. 
• Freiheitsstrafen bei Vorsatz bis zu 2 Jahren Haft (Datenschutz Straftaten). Das ist aber wirklich selten…
• Schadensersatzansprüche im Falle eines Datenverlustes gegenüber den Geschädigten können leicht erhebliche Summen annehmen und evtl. in einer Durchgriffshaftung in das Privatvermögen des Geschäftsführers vollstreckt werden.
• Ausfall der Versicherung: Hat der Geschäftsführer die gesetzlichen Bestimmungen nicht eingehalten, dann wird auch eine etwaig bestehende Versicherung nicht zahlen.
• Imageschäden im Falle eines Daten-Lecks bei Kunden, Lieferanten und Mitarbeitern behindern das Unternehmen auf Jahre.
• Publikationspflicht bei Datenschutz-Verstößen: geraten Daten in falsche Hände muss das Unternehmen die Betroffenen unverzüglich persönlich warnen (anschreiben) oder in zwei überregionalen Zeitungen halbseitige Anzeigen schalten