Die Datenschutzgrundverordnung (DSGVO) gilt ab dem 25. Mai 2018 in allen Mitgliedsstaaten der EU unmittelbar. Im Hinblick auf die Umsetzungsfrist, stellt sich bei vielen Unternehmen die Frage: Brauche ich einen betrieblichen Datenschutzbeauftragten und was sagt das Gesetz?
____________________________________________________________________
Hintergrund
Mit der Datenschutzgrundverordnung (DSGVO) kommen eine Vielzahl an Pflichten auf Unternehmen zu. Einiges ist bereits nach aktuellem Recht bekannt und erforderlich, einiges ist inhaltlich und/ oder zumindest im Hinblick auf den Umfang neu. Das Stichwort lautet hier: Dokumentation!
Fragen tauchen in der Praxis immer wieder zum Datenschutzbeauftragten auf: Muss ich überhaupt einen Datenschutzbeauftragten bestellen und wenn ja, ab wie vielen Arbeitnehmern? Spielt es eine Rolle in welchen Geschäftsbereich ich tätig bin?
Wann muss ein Datenschutzbeauftragter bestellt werden?
Sind in einem Unternehmen mehr als 9 Personen ständig mit der automatisierten Verarbeitung personenbezogene Daten beschäftigt, muss ein Datenschutzbeauftragten bestellt werden.
Praxistipp: Als Datenschutzbeauftragter können Arbeitnehmer in Betracht kommen (interne Datenschutzbeauftragte) oder externe Dienstleister (externe Datenschutzbeauftragte). Beim internen Datenschutzbeauftragten ist immer der besondere Kündigungsschutz zu beachten.
Sind hingegen weniger als 10 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt, muss kein Datenschutzbeauftragter
bestellt werden. Eine Ausnahme hiervon besteht allerdings gemäß Art. 37 DSGVO in folgenden Fällen:
-
die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit
handeln,
-
die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres
Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.
In diesen Fällen muss ein Datenschutzbeauftragter, unabhängig von der Anzahl der Beschäftigten, bestellt werden.
Praxistipp: Ein Datenschutzbeauftragter ist nur dann verpflichtend zu bestellen, wenn mehr als 9 Mitarbeiter ständig personenbezogene Daten automatisiert verarbeiten. Die Kerntätigkeit muss mithin in einer systematischen Datenverarbeitung liegen. Das einfache „In-Berührung-Kommen“ mit personenbezogenen Daten bei der täglichen Arbeit reicht nicht aus.
Achtung: Externe Geschäftspartner zählen in der Regel nicht zu den 10 Beschäftigten.
Hat die Geschäftstätigkeit meines Unternehmens etwas mit der Pflicht zur Bestellung eines Datenschutzbeauftragten zu tun?
Die Antwort hierauf lautet: Nein. Die Pflicht einen Datenschutzbeauftragten zu bestellen hängt nicht von der Geschäftstätigkeit bzw. der Branche ab. Ist die Kerntätigkeit beispilesweise der Verkauf von Waren, rechtfertigt dies keinen Ausschluss von der Bestellpflicht, wenn mehr als 9 Mitarbeiter ständig mit der Datenverarbeitung betraut sind.
Bei Rückfragen stehe ich gerne zur Verfügung
Anna Rehfeldt, LL.M.
Rechtsanwältin und externe Datenschutzbeauftragte