Serie: Datenschutzgrundverordnung – was ist zu tun? (2-8)
Kategorien: Management-Wissen
Schlagwörter: Datenschutz,Gründung,KMU,Rechtliches
Die Datenschutzgrundverordnung (DSGVO) wurde am 25.05.2016 verabschiedet. Nach einer Übergangsfrist von zwei Jahren trat sie am 25.05.2018 in Kraft. Als Verordnung ist sie in den Mitgliedstaaten unmittelbar anwendbar (vgl. Art. 288 Abs. 2 AEUV); es bedarf insoweit keines Umsetzungsakts wie bei Richtlinien. Zur Ausfüllung von Öffnungsklauseln und zur Anpassung des nationalen Datenschutzrechts an die Vorgaben der DSGVO wurde das deutsche Bundesdatenschutzgesetz (BDSG) – inzwischen bereits zweimal – geändert; die neue Fassung trat ebenfalls am 25.05.2018 in Kraft, die Änderungen durch das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz sind am 26.11.2019 in Kraft getreten.
Die DSGVO bringt einige Änderungen mit sich; insbesondere wurden die Sanktionen drastisch verschärft. Unternehmen sollten die Vorgaben der DSGVO daher ernst nehmen; Grund zur Panik besteht allerdings nicht. In unserer Artikelserie zeigen wir Ihnen, worauf zu achten ist:
Artikel 1: Rechtsgrundlagen, Anwendungsbereich und Grundprinzipien
Artikel 2: Datenschutzbeauftragter (DSB) (dieser Artikel)
Artikel 3: Verfahrensverzeichnis, Schutzmaßnahmen und Folgeabschätzung
Artikel 4: Informationspflichten und Betroffenenrechte
Artikel 5: Datenpannen: Melde- / Benachrichtigungspflichten
Artikel 6: Auftragsverarbeitung
Artikel 7: Zivilrechtliche Haftungsrisiken und Sanktionen
Artikel 8: Wesentliche Begriffe
Artikel 2: Datenschutzbeauftragter (DSB)
Eine Regelung zum Datenschutzbeauftragten findet sich in Art. 37 ff. DSGVO.
1. Benennung(spflicht) und Stellung des DSB
Nach Art. 37 Abs. 5 DSGVO ist der DSB aufgrund seiner beruflichen Qualifikation und seines Fachwissens im Datenschutzrecht und der Datenschutzpraxis sowie zur Erfüllung seiner in Art. 39 DSGVO genannten Aufgaben zu benennen. Zwingend zu benennen ist ein Datenschutzbeauftragter bei nicht-öffentlichen Stellen (Behörden und öffentliche Stellen haben – mit Ausnahme von Gerichten – stets einen DSB zu benennen) dann, wenn
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gem. Art. 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 besteht.
Hinweis: Unter Kerntätigkeit ist (vgl. Erwägungsgrund 97) jeweils die Haupttätigkeit und nicht die Verarbeitung personenbezogener Daten als bloße Nebentätigkeit zu verstehen. Daher ist die Verarbeitung von Beschäftigtendaten durch den Arbeitgeber nicht erfasst.
Das neue und zum 26.11.2019 modifizierte Bundesdatenschutzgesetz statuiert – eröffnet durch die DSGVO (Art. 37 Abs. 4 DSGVO) – weitergehende Vorgaben: Gem. § 38 Abs. 1 Satz 1 BDSG n.F. ist ein Datenschutzbeauftragter zu benennen, soweit in der Regel mindestens, seit dem 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten im Unternehmen beschäftigt sind; bis zum 26.11.2019 lag der Schwellenwert bei zehn Personen. Geringfügig Beschäftigte, Auszubildende, Praktikanten, Teilzeitkräfte und freie Mitarbeiter sind bei der Ermittlung des Schwellenwerts ebenfalls zu berücksichtigen. Sie werden jeweils als eine Person gezählt. Eine „ständige“ Beschäftigung liegt vor, wenn die betreffende Person in Ausübung ihrer Tätigkeit immer wieder mit der automatisierten Verarbeitung personenbezogener Daten befasst ist, ohne dass dies den Schwerpunkt der Tätigkeit ausmachen muss.
Ferner statuiert § 38 Abs. 1 Satz 2 BDSG eine Benennungspflicht unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen, wenn der Verantwortliche oder Auftragsverarbeiter Verarbeitungen vornimmt, die einer Datenschutz-Folgeabschätzung nach Art. 35 DSGVO unterliegen oder sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.
Es kann ein interner oder ein externer Datenschutzbeauftragter benannt werden (Art. 37 Abs. 6 DSGVO). Auch der interne Datenschutzbeauftragte – der zugleich Beschäftigter des Unternehmens ist – muss im Hinblick auf die Erfüllung seiner Aufgaben als Datenschutzbeauftragter weisungsfrei sein und direkt der obersten Managementebene (Geschäftsführung resp. Vorstand) berichten. Ferner genießt der interne Datenschutzbeauftragte Sonderkündigungsschutz, d.h. er kann nur aus wichtigem Grund gekündigt werden (§ 6 Abs. 4 BDSG n.F). Die Anhebung des Schwellenwerts (auf 20 Personen) dürfte einen wichtigen Grund für Unternehmen, die die Schwelle nicht mehr erreichen, zur Abberufung eines bestellten Datenschutzbeauftragten darstellen. Der Gesetzgeber hat keine Übergangsregelung zum Schutz hiervon betroffener interner Datenschutzbeauftragter vorgesehen.
Hinweis: Eine „Unternehmensgruppe“ (= Konzern) darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung (= Tochtergesellschaft) aus der Datenschutzbeauftragte leicht erreicht werden kann (vgl. Art. 37 Abs. 2 DSGVO). Zum Erfordernis der leichten Erreichbarkeit dürfte – neben dem Beherrschen der deutschen Sprache sowie die ggf. abweichenden Unternehmenssprache – gehören, dass der gemeinsame Datenschutzbeauftragte die Tochtergesellschaften binnen eines angemessenen Zeitrahmens aufsuchen kann. Innerhalb Europas dürfte dies (ggf. mit dem Flugzeug) gewährleistet sein.
Der Verantwortliche oder der Auftragsverarbeiter haben die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen (z.B. auf der Unternehmenshomepage im Rahmen des Impressums) und diese der zuständigen Aufsichtsbehörde mitzuteilen.
2. Aufgaben des DSB
Die Aufgaben des Datenschutzbeauftragten ergeben sich aus Art. 39 DSGVO. Hiernach obliegen dem Datenschutzbeauftragten folgende Pflichten:
- Unterrichtung oder Beratung des Verantwortlichen oder des Auftragsverarbeiters und der mit der Datenverarbeitung Beschäftigten bzgl. ihrer datenschutzrechtlichen Pflichten,
- umfassende Überwachung der Einhaltung der DSGVO sowie der unternehmensinternen Strategie für den Schutz personenbezogener Daten sowie Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter sowie deren Sensibilisierung für datenschutzrechtliche Fragestellungen,
- Beratung im Zusammenhang mit der Datenschutzfolgenabschätzung und Überwachung ihrer Durchführung sowie
- Zusammenarbeit mit der Aufsichtsbehörde und Tätigkeit als Anlaufstelle für diese in mit der Verarbeitung zusammenhängenden Fragen.
3. Haftung des DSB
In zivilrechtlicher Hinsicht kommen haftungsrechtlich insbesondere Schadenersatzansprüche gegen den Datenschutzbeauftragten in Betracht, sofern dieser gegen seine Pflichten verstößt.
Art. 82 DSGVO regelt zwar zunächst nur einen Schadensersatzanspruch des Betroffenen gegenüber der verantwortlichen Stelle im Fall unzulässiger oder unrichtiger Datenverwendungen. Diese Haftung ist gem. Art. 82 Abs. 3 DS-GVO ausgeschlossen, wenn der Verantwortliche nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Nach den allgemeinen schuldrechtlichen (vgl. § 280 BGB) oder deliktischen Grundsätzen (vgl. §§ 823 ff. BGB) ist allerdings ggf. ein Rückgriff beim Datenschutzbeauftragten möglich, wenn die verantwortliche Stelle einem Betroffenen zum Schadenersatz verpflichtet ist, sofern der Datenschutzbeauftragten eine Pflichtverletzung begangen hat. Beim internen Datenschutzbeauftragten greifen zu dessen Gunsten die Grundsätze über den innerbetrieblichen Schadensausgleich (vgl. Niklas, NZA 2017, 1091 ff.).
Hinweis: Es empfiehlt sich zu prüfen, ob einem internen Datenschutzbeauftragtem Versicherungsschutz eingeräumt werden kann. Im Hinblick auf die Haftungsrisiken und Rückgriffsmöglichkeiten empfiehlt sich u.U. die Ernennung eines externen Datenschutzbeauftragten auf der Grundlagen eines Geschäftsbesorgungsvertrags.
Teilen Sie diesen Artikel. Wählen Sie Ihre Plattform
Alle Informationen und Angaben in unseren Artikeln und Informationen haben wir nach bestem Wissen zusammengestellt. Sie erfolgen jedoch ohne Gewähr. Diese Information kann eine individuelle Beratung im Einzelfall nicht ersetzen.