Ab dem 25.05.2018 ist auch in Deutschland die europäische Datenschutzgrundverordnung (DSGVO) als unmittelbar geltendes Recht u.a. von privatwirtschaftlichen Unternehmen zu beachten. Zeitgleich gilt das neue Bundesdatenschutzgesetz (nBDSG), das das bis zum 24.05.2018 geltende Bundesdatenschutzgesetz (BDSG) ablöst. Um zukünftig die datenschutzrechtlichen Verpflichtungen zu erfassen müssen die Bestimmungen in beiden Regelungswerken, also in der DSGVO und im nBDSG, gleichzeitig beachtet werden.
Vor diesem Hintergrund sollten Unternehmen u.a. prüfen, ob sie zur Bestellung (Benennung) eines Datenschutzbeauftragten (DSB) verpflichtet sind (Benennungspflicht). Dabei ist die Pflicht zur Benennung eines DSB ist nicht neu. Bereits nach dem BDSG gab es unter bestimmten Voraussetzungen eine solche Pflicht. Durch das nBDSG und die erstmals geltende DSGVO ändert sich hinsichtlich dieser Benennungspflicht in Deutschland für die meisten Unternehmen nichts Wesentliches. Dieses liegt zum einen daran, dass die neuen europäischen Regelungen der DSGVO eine Pflicht zur Benennung eines DSB nur für relativ wenige Unternehmen vorsehen, zum anderen daran, dass das BDSG und das nBDSG sich diesbezüglich kaum unterscheiden, sich also die im Hinblick auf die Benennungspflicht viel „schärfere“ nationale Rechtslage in Deutschland insoweit kaum verändert hat.
Dennoch sollten Unternehmen, die bisher keinen DSB benannt haben, den Rechtswechsel zum 25.05.2018 zum Anlass nehmen zu prüfen, ob sie zur Benennung eines DSB verpflichtet sind. Denn – und das ist neu – Unternehmen sind ab dem 25.05.2018 verpflichtet, von sich aus die Kontaktdaten des DSB zu veröffentlichen und diese Daten der Aufsichtsbehörde mitzuteilen (Art. 37 VII DSGVO). Da man wohl den meisten Unternehmen schon „von außen ansehen kann“, ob sie benennungspflichtig sind und zudem sehr viele Unternehmen bereits nach dem BDSG benennungspflichtig waren, bedarf es meistens keiner besonderen Prüfungstiefe, um einen Verstoß gegen die datenschutzrechtliche Regelung zur Benennung eines DSB offensichtlich werden zu lassen. Hier drohen zudem Bußgelder.
Sofern eine Benennungspflicht besteht, ist es dem Unternehmen freigestellt, ob es einen externen oder einen internen DSB benennt. Auch wenn keine Benennungspflicht besteht, müssen die Unternehmen dennoch Datenschutz gemäß des BDSG bzw. nBDSG und der DSGVO praktisch umsetzen; dann ggf. ohne Hilfe eines externen oder internen DSB.
Die 10-Personen-Grenze
Nach § 38 I 1 nBDSG benennen Unternehmen einen DSB, soweit sie „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“. An dieser Stelle soll nicht näher ausgeführt werden, was genau unter „personenbezogenen Daten“ und unter „automatisierter Verarbeitung“ zu verstehen ist. Vergegenwärtigt man sich nämlich, dass im Zweifel jede E-Mail schon allein aufgrund der Zuordnung einer natürlichen Person zu einer bestimmten E-Mail-Adresse personenbezogene Daten enthält und bereits die bloße Nutzung solcher Daten mittels eines IT-Gerätes als „automatisierte Verarbeitung“ angesehen wird, kommt der Erforschung dieser Begrifflichkeiten in vielen Fällen wohl nur theoretischer Erkenntnisgewinn ohne praktischen Anwendungsnutzen zu.
Auch die Begriffe „in der Regel“ und „ständig beschäftigt“ haben in der Praxis zumeist nicht wirklich eingrenzenden Charakter. „In der Regel“ beschreibt, dass auf die Beschäftigtenzahl abzustellen ist, die normalerweise im Unternehmen mit personenbezogenen Daten automatisiert umgeht, so dass lediglich außergewöhnliche Arbeitsanhäufungen oder zeitweiser Arbeitsrückgang außer Betracht bleiben dürften (so Gola/Schomerus, Kommentar zum BDSG). „Ständig“ beschäftigt soll eine Person mit einer automatisierten Verarbeitung personenbezogener Daten bereits dann sein, wenn die Aufgabe selbst nur gelegentlich anfällt, die Person sie jedoch stets für längere oder unbestimmte Zeit wahrzunehmen hat, auch wenn es nicht ihre Hauptaufgabe ist (so Gola/Schomerus, Kommentar zum BDSG).
Auch der Umstand, dass es hinsichtlich der Personen nur auf die Anzahl, nicht hingegen auf Zeitanteile (Vollzeit/Teilzeit) ankommt, führt nicht zu einer weiteren Eingrenzung der benennungspflichtigen Unternehmen.
Zuletzt ist zu berücksichtigen, dass die Regelung von „Personen“ spricht. Es wird also nicht auf einen bestimmten arbeitsrechtlichen Status abgestellt, so dass neben Arbeitnehmern, Auszubildenden, leitenden Angestellten, Geschäftsführern, etc. auch freie Mitarbeiter und Leiharbeitnehmer vom Personenbegriff umfasst sind und mitgezählt werden müssen.
Eine Eingrenzung findet jedoch dadurch statt, dass die Person bei dem Unternehmen „beschäftigt“ sein muss, so dass eine Person dann nicht mitzuzählen ist, wenn sie z.B. von einer Fremdfirma zur Wartung einer IT-Anlage entsandt ist (so Gola/Schomerus, Kommentar zum BDSG).
Sofern also mehr als neun Personen in einem Unternehmen entsprechend beschäftigt werden, besteht für das Unternehmen die Pflicht einen DSB zu benennen.
Benennungspflicht trotz Unterschreitens der 10-Personen-Grenze
Auch wenn eine gewissenhafte Prüfung zu dem Ergebnis geführt hat, dass das Unternehmen eindeutig nicht regelmäßig mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, kann dennoch eine Pflicht zur Benennung eines DSB bestehen; und zwar sowohl nach den Regelungen des BDSG als auch des nBDSG. Hierzu informieren wir im nächsten Rechtsnewsletter.
Sollten Sie Rückfragen oder Anregungen haben, sprechen Sie mich gerne an – Martin Peßara