Trotz zahlreicher Änderungen im Bundesdatenschutzgesetz (BDSG) gibt es bis heute keine eindeutige Struktur, aus der hervorgeht, wann in Unternehmen ein Datenschutzbeauftragter erforderlich ist. Deshalb nachfolgend eine kurze Darstellung, in welchen Fällen Unternehmen einen Datenschutzbeauftragten benennen müssen.
Die Frage, ob ein Unternehmen einen Datenbeauftragter berufen muss, entscheidet sich an zwei Faktoren: die Anzahl der Mitarbeiter, die mit einer ständigen automatisierten Datenverarbeitung betraut sind, sowie dem Ziel bzw. Zweck der Datenverarbeitung.
Grundlegend geht das Bundesdatenschutzgesetz (BDSG) für Unternehmen vom Prinzip der Eigenkontrolle bzw. Selbstkontrolle durch die speichernde Stelle aus. Das heißt, dass das Unternehmen und damit letztlich die Unternehmensleitung selbst für die Einhaltung der Datenschutzvorschriften verantwortlich ist. So stellt das BDSG in § 4g Abs. 1 S. 1 BDSG klar: „Der Beauftragte für den Datenschutz wirkt auf die Einhaltung des BDSG und anderer datenschutzrechtlicher Vorschriften hin.“ Die Kontrolle durch die jeweils zuständige Datenschutzbehörde erhält insofern lediglich eine sekundäre Funktion. Die Eigenkontrolle soll nach dem Willen des Gesetzgebers durch einen weisungsunabhängigen, der Geschäftsleitung direkt unterstellten Datenschutzbeauftragten ausgeübt werden.
Ein Datenschutzbeauftragter ist regelmäßig bei Verarbeitung personenbezogener Daten zu bestellen. Wann ein eigener Datenschutzbeauftragter bestellt werden muss, bestimmt das Bundesdatenschutzgesetz in § 4f BDSG. Nach dieser Norm sind grundsätzlich all jene Unternehmen dazu verpflichtet einen Beauftragten für den Datenschutz zu bestellen, die personenbezogene Daten automatisiert verarbeiten. Damit spielt grundsätzlich weder die Organisationsform des Unternehmens noch die rechtliche Grundlage der Verarbeitung eine Rolle. Mit personenbezogenen Daten sind dabei Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 BDSG) gemeint.
Die Systematik des Gesetzes: Regel-Ausnahme-PrinzipAuch wenn grundsätzlich die meisten Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, so hat das Gesetz in § 4f BDSG diverse Ausnahmen vorgesehen, wann eine Bestellung ausnahmsweise entfallen kann. Zunächst muss in diesem Zusammenhang auf die mit der Datenverarbeitung beschäftigte Personenanzahl abgestellt werden. Danach gilt
- Bei einer automatisierten Verarbeitung muss keine Bestellung eines Datenschutzbeauftragen erfolgen, wenn in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung der personenbezogenen Daten betraut sind (§ 4f Abs. 1 S. 4 BDSG).
- Sinkt auf Grund der Reduzierung des Personalbestandes die Beschäftigtenanzahl nicht nur vorübergehend unter 10 Personen, so erlischt damit auch die Verpflichtung einen Datenschutzbeauftragten zu bestellen.
In die Berechnung sind auch diejenigen Personen mit einzubeziehen, die nur manchmal mit der Verarbeitung betraut sind. Voll- und Teilzeitbeschäftigte sind in die Berechnung gleichermaßen mit einzurechnen. Es ist darüber hinaus nicht relevant, ob die Datenverarbeitungsaufgaben von eigenen Angestellten, freien Mitarbeitern, Zeitarbeitern, Praktikanten oder Auszubildenden etc. ausgeführt werden.
Beauftragter für Datenschutz auch bei besonderer Verarbeitungsaktivität nötigSelbst wenn ein Unternehmen die oben genannte Anzahl der mit der Datenverarbeitung beschäftigten Personen nicht erreicht, kann es dennoch notwendig sein, einen Datenschutzbeauftragten zu bestellen (also eine „Ausnahme der Ausnahme“). So hat der Gesetzgeber hat in § 4f Abs. 1 S. 6 BDSG verschiedene Fälle zusammengefasst, in denen wegen besonderer Verarbeitungen oder besonders sensibler Daten eine erhöhte Gefahr für die personenbezogenen Daten der Betroffenen besteht.
Eine besondere Gefahr liegt demnach vor, wenn entweder eine automatisierte Datenverarbeitung zur geschäftsmäßigen anonymisierten oder nicht anonymisierten Übermittlung von Daten oder für Zwecke der Markt- oder Meinungsforschung stattfindet oder eine automatisierte Verarbeitung vorgenommen wird, die einer Vorabkontrolle im Sinne von § 4d Abs. 5 BDSG unterliegt.
Daten unterliegen einer Vorabkontrolle, wenn die Datenverarbeitung „besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist“. Dies ist insbesondere der Fall bei professionellen Adresshändlern sowie Unternehmen zur Mitglieder- oder Personalverwaltung, Telefondatenerfassung, Videoüberwachung oder der Kundenbetreuung
Auch wenn ein Unternehmen mit besonders sensiblen Daten im Sinne von § 3 Abs. 9 BDSG (beispielsweise Daten über die rassische und ethnische Herkunft, über politische Meinungen oder religiöse oder philosophische Überzeugungen) umgeht, kann ein Datenschutzbeauftragter nötig sein. Sollten Sie an dieser Stelle unsicher sein, ob Ihr Unternehmen einen Datenschutzbeauftragten benötigt, empfehlen wir Ihnen Rechtsrat einzuholen (lesen Sie hier, warum Sie einen Datenschutzbeauftragten bestellen sollten).
Wer darf zum Datenschutzbeauftragten berufen werden?Nach dem BDSG kann sowohl ein eigener Mitarbeiter (so genannter „interner Datenschutzbeauftragter“) sowie auch eine externe Person (so genannter „externer Datenschutzbeauftragter“) zum Datenschutzbeauftragten bestellt werden. Dabei ist die Bestellung zum einen an das Vorliegen einer gewissen Fachkunde sowie an die Zuverlässigkeit der Person geknüpft. Der Gesetzgeber hat aber kein festes Anforderungsprofil festgelegt. Ob der Bestellte den Anforderungen genügt, muss damit am Einzelfall und je nach der Schwerpunktsetzung des Unternehmens sowie anhand einer branchenspezifisch erforderlichen Fachkunde festgestellt werden.
Da sich die Verarbeitungstechnologie ständig fortentwickelt muss sich der Datenschutzbeauftragten laufend über die neuen datenschutzrechtlichen Rahmenbedingungen informieren. Daher hat der Arbeitgeber seit dem 1.9.2009 dem internen Datenschutzbeauftragte gemäß § 4f Abs. 3 S. 7 BDSG die Teilnahme an Schulungsmaßnahmen zu ermöglichen. Schließlich sollte der Datenschutzbeauftragte auch über die nötigen rechtlichen Kenntnisse verfügen, um auch den Hintergrund der datenschutzrechtlichen Regelungen verstehen und darauf aufbauend die Konsequenzen für die verantwortliche Stelle richtig einschätzen zu können.
FazitEinen Datenschutzbeauftragten müssen Sie bestellen, wenn in Ihrem Unternehmen wenigstens 10 Personen mit der automatisierten Datenverarbeitung betraut sind oder einer der besonderen Fälle des § 4f Abs. 1 S. 6 BDSG auf Ihr Unternehmen zutrifft.