Brauchen Sie eine (externe) Datenschutzbeauftragte?

Wie funktioniert die Bestellung eines betrieblichen Datenschutzbeauftragten?

Das Bundesdatenschutzgesetz verpflichtet nichtöffentliche Stellen, die personenbezogene Daten verarbeiten, unter bestimmten Umständen zur Bestellung eines betrieblichen Datenschutzbeauftragten. In diesem Artikel erfahren Sie, unter welchen Bedingungen Ihr Unternehmen davon betroffen ist und wann Sie mich und die PrivCom Datenschutz GmbH dafür engagieren können.

Anfang ist, wo Sie stehen

Gut, dass Sie hier sind und sich dem Thema widmen! Es ist egal, wie lange Sie schon überlegen und welche Schritte Sie bisher unternommen haben. Wir holen Sie da ab, wo Sie gerade stehen.
Im Laufe der Jahre habe ich als Beraterin gelernt, mit der Führungsebene in Unternehmen Geduld zu haben, was die Bewertung der Wichtigkeit des Datenschutzes und seiner Umsetzung im Unternehmen angeht. Mehr als einmal erlebte ich, dass auch Geschäftsführungen, die Datenschutz zunächst als ein Thema betrachteten, dass zwar irgendwie bearbeitet werden müsste, aber kein weiteres Engagement bräuchte, im Laufe der Zeit umgedacht haben. Dieses Umdenken führte dann oft zu einem Engagement, das aus einer gewachsenen Überzeugung resultierte.

Die ungeliebten Themen endlich angehen

Insofern sind die mir liebsten Geschäftsführungen diejenigen, die Datenschutz und Informationssicherheit zwar mit einer gewissen Skepsis betrachten und von der Wichtigkeit im Grunde ihres Herzens nicht überzeugt sind, die aber gleichzeitig wissen, dass gute Standards ein Baustein ihres geschäftlichen Erfolgs sind. Bestenfalls wächst aus dieser Haltung eben jene Überzeugung, aus der heraus das Thema unternehmensintern bearbeitet wird.

Die Pflicht zur Bestellung einer / eines Datenschutzbeauftragten

…besteht für Unternehmen und Organisationen, sofern sie

„in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“;
§ 38 BDSG

und unabhängig von der Anzahl der beschäftigten Personen, wenn

"die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht"
Art. 37 Abs. 1 lit. c DSGVO

oder

"die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen"
Art. 37 Abs. 1 lit. b DSGVO

Datenschutzbeauftragte können unternehmensintern oder extern bestellt werden.

Bitte beachten Sie: Sofern Ihr Unternehmen nach den Vorgaben des § 38 BDSG nicht verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, sind Sie trotzdem gehalten, die Anforderungen der DSGVO umzusetzen!

Bitte beachten Sie außerdem: Die mögliche Verpflichtung, eine Datenschutzbeauftragte zu bestellen, gilt sowohl für Verantwortliche (Unternehmen, die ihre eigenen Daten verarbeiten) als auch für Auftragsverarbeiter (Unternehmen, die die Daten anderer verarbeiten, z.B. Rechenzentren).

Auslagern hat Vorteile

Auch und gerade für kleine Unternehmen kann es vorteilhaft sein, die Bearbeitung der Datenschutz-Aufgaben auszulagern, anstatt sie selber bearbeiten zu wollen. Wir lösen Probleme in 15 Minuten, für die Sie Tage bräuchten, da wir uns seit vielen Jahren ausschließlich mit diesen Themen beschäftigen. Und wir übernehmen die Gewähr, dass unsere Lösungen richtig und rechtskonform sind.

... und die Kosten?

Für kleine Unternehmen haben wir Bausteine zu den wichtigsten Themen, die Sie auch ohne Bestellung als Datenschutzbeauftragte buchen können.

Für größere Unternehmen vereinbaren wir eine individuelle Beratung.

In beiden Fällen gilt: eine Auslagerung und externe Beratung ist günstiger als selber machen.

Automatisierte Erhebung, Verarbeitung oder Nutzung

Automatisiertes Erheben, Verarbeiten oder Nutzen liegt vor, soweit personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen verarbeitet oder genutzt oder dafür erhoben werden (§ 1 Abs. 2 Nr. 3 BDSG).

Datenverarbeitungsanlagen sind Anlagen, mit denen sich Daten digital speichern, verändern, übertragen oder anzeigen bzw. ausdrucken lassen. Hierzu gehören Computer aller Art unabhängig von der Größe (elektronische Organizer, PC, Großrechner usw.), Netzwerke, Scanner, CD-ROM-Laufwerke, Drucker, Computerbildschirme.

Auf eine Speicherung in einer Datei kommt es danach bei der automatisierten Datenverarbeitung seit der Neufassung des BDSG 2001 nicht mehr an. Von einer automatisierten Verarbeitung ist demnach auch auszugehen, wenn die Daten (unstrukturiert) mittels gängiger Büro-Software (z.B. Textverarbeitungsprogramme) bearbeitet werden. Von einer automatisierten Datenverarbeitung ist ferner auszugehen, soweit nur teilweise Datenverarbeitungsanlagen eingesetzt werden und die Erhebung, Verarbeitung oder Nutzung der Daten im übrigen nicht-automatisiert erfolgt.

Besondere Arten personenbezogener Daten

§ 3 Absatz 9 BDSG definiert "besondere Arten personenbezogener Daten" als Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Für derartige besonders sensible Daten ist eine ganze Reihe von Sonderregelungen zu beachten.

Soweit "besondere Arten personenbezogener Daten" genutzt werden sollen, sind Datennutzungen nur ausnahmsweise und in der Regel nur mit der Einwilligung der Betroffenen erlaubt.

Einwilligung

Der Betroffene hat verschiedene Möglichkeiten, die Verwendung seiner Daten direkt zu beeinflussen. Hierzu gehören insbesondere die Einwilligung und das Widerspruchsrecht.

Das Datenschutzrecht gestattet die Erhebung, Verarbeitung und Nutzung personenbezogener Daten, soweit eine Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat (Gesetzesvorbehalt - § 4 Abs. 1 BDSG). Gemäß § 4a BDSG bedarf die Einwilligung der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.

Nach § 4a Abs. 1 BDSG ist eine Einwilligung

"...nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben."

Begriffserklärung: Erheben

Erheben ist das Beschaffen von personenbezogenen Daten über den Betroffenen (§ 3 Abs. 3 BDSG). Zum Erheben gehören sämtliche Aktivitäten, die der Speicherung und weiteren Verwendung der Daten vorgelagert sind. Der Begriff umfasst nicht die zufällig erlangten oder aufgedrängten Informationen. Das Erheben setzt nach allgemeiner Auffassung ein finales, zielgerichtetes Beschaffen personenbezogener Daten voraus. Dabei kommt es allerdings nicht darauf an, ob die verantwortliche Stelle bereits bei der Beschaffung eine bestimmte Verwendung der Daten beabsichtigt. Der Erhebungsbegriff ist ferner methodenoffen, d.h. das Vorliegen einer Erhebung ist nicht an bestimmte Verfahren gebunden.

Das Datenschutzrecht geht in erster Linie vom Beschaffen personenbezogener Daten bei Betroffenen selbst aus. Es müssen jedoch bei der Unterschiedlichkeit der Aufgabenstellung auch andere Formen der Informationsbeschaffung mit einbezogen werden. Die von der verantwortlichen Stelle ausgeübte Tätigkeit kann es erforderlich machen, Informationen bei anderen Stellen oder Personen zu beschaffen. Das Erheben umfasst folglich jede Form gezielt betriebener Gewinnung personenbezogener Daten, auch wenn dies ohne Mitwirkung Betroffener durch andere öffentliche Stellen oder private Dritter sowie durch zweckgerichtete Beobachtung geschieht. Insoweit stellt jede Datenübermittlung für die Stelle, die die Daten empfängt, eine Erhebung dar.

Geschäftsmäßige Verarbeitung zum Zwecke der Übermittlung

Es ist zu unterscheiden zwischen der Erfüllung eigener Geschäftszwecke (§ 28 BDSG) und dem geschäftsmäßigen Erheben, Speichern oder Verändern personenbezogener Daten zum Zwecke der Übermittlung, insbesondere für Zwecke die Werbung, durch Auskunfteien, den Adresshandel oder zur Markt- und Meinungsforschung (§ 29 BDSG). Zu den Stellen, die an § 29 BDSG gebunden sind, gehören ggf. auch Detekteien, soweit sie personenbezogene Daten verarbeiten.

Die Regelungen von § 29 BDSG beziehen sich auf die geschäftsmäßige Verarbeitung personenbezogener Daten zum Zwecke der Übermittlung, insbesondere auf Unternehmen des Adressenhandels, auf Auskunfteien, Markt- und Meinungsforschungsinstitute. Hier besteht im Regelfall kein Vertragsverhältnis und auch kein vertragsähnliches Vertrauensverhältnis zwischen der verantwortlichen Stelle und dem Betroffenen. Dem entsprechend sind die Befugnisse gem. § 29 BDSG restriktiver gehalten als diejenigen für die Datenverarbeitung für eigene Zwecke. Die Vorschrift erlaubt die Erhebung, Verarbeitung und Nutzung, wenn

kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat, oder
die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Speicherung oder Veränderung offensichtlich überwiegt, oder
die Voraussetzungen des § 28a Abs. 1 oder Abs. 2 erfüllt sind; Daten im Sinne von § 28a Abs. 2 S. 4 dürfen nicht erhoben oder gespeichert werden.

Die Übermittlung an Dritte im Rahmen dieser Zwecke ist zulässig, wenn der Datenempfänger ein berechtigtes Interesse glaubhaft dargelegt hat und wenn kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an den Ausschluss der Übermittlung hat.

Die Gründe für das Vorliegen eines berechtigten Interesses und die Art und Weise ihrer glaubhaften Darlegung sind von der übermittelnden Stelle aufzuzeichnen.

Medienprivileg (Verarbeitung für eigene journalistisch-redaktionelle Zwecke)

§ 41 BDSG enthält Sonderregelungen für die Presse. Gemäß § 41 Abs. 1 BDSG haben die Länder

"in ihrer Gesetzgebung vorzusehen, dass für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von Unternehmen und Hilfsunternehmen der Presse ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken den Vorschriften der §§ 5,9 und 38a entsprechende Regelungen einschließlich einer hierauf bezogenen Haftungsregelung entsprechend § 7 zur Anwendung kommen."

§ 41 Abs. 1 BDSG wird gemeinhin als "Medienprivileg" bezeichnet, weil er die ausschließlich journalistisch-redaktionelle und literarische Verwendung personenbezogener Daten weitgehend von den ansonsten einzuhaltenden Datenschutzbestimmungen ausnimmt. § 41 BDSG enthält keine Vorgaben, die die Unternehmen direkt binden. Dies wird mit der Zuständigkeit der Länder für das Presserecht begründet. Dementsprechend hat sich der Bund auf die Ausübung seiner Kompetenz zur Rahmengesetzgebung beschränkt.

Nicht jede meinungsbildende bzw. journalistisch-redaktionelle oder literarische Verarbeitung personenbezogener Daten bei Mediendiensten im Internet ist privilegiert, sondern nur solche Angebote, die von Unternehmen verantwortet werden, die in § 41 BDSG ausdrücklich genannt sind, nämlich Unternehmen und Hilfsunternehmen der Presse. Die Privilegierung greift nur für diejenigen Inhalte, für die die privilegierten Unternehmen selbst verantwortlich sind. Dementsprechend können sich Unternehmen, die fremde Inhalte zur Nutzung bereithalten oder nur den Zugang zu diesen vermitteln nicht auf das Medienprivileg berufen.

Der Deutsche Presserat hat schon vor längerer Zeit in seinem Pressekodex Regeln zum Umgang mit personenbezogenen Daten (Redaktionsdatenschutz) aufgestellt und eine Beschwerdeordnung verabschiedet. Diese Regelungen sind im Rahmen der Selbstkontrolle für die angeschlossenen Medienunternehmen bindend.

Nicht-öffentliche Stellen

§ 2 Abs. 4 BDSG definiert nicht öffentliche Stellen als

"natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nicht öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes."

Nicht-öffentliche Stellen sind demnach

Unternehmen,
Vereine (nicht rechtsfähig und rechtsfähig),
BGB-Gesellschaften,
Selbständige (Anwälte, Ärzte, Handwerker, Architekten usw.),
sonstige natürliche oder juristische Personen des Privatrechts,

soweit sie personenbezogene Daten verarbeiten, unabhängig davon, ob die Verarbeitung in eigener Verantwortung (d.h. als verantwortliche Stelle) oder im Auftrag (d.h. als Auftragnehmer) erfolgt.

Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten (§ 4f BDSG) besteht grundsätzlich für alle nicht-öffentlichen Stellen.

Nicht-automatisierte Erhebung, Verarbeitung oder Nutzung

Nicht automatisiertes Erheben, Verarbeiten oder Nutzen liegt vor, soweit personenbezogene Daten nicht unter Einsatz von Datenverarbeitungsanlagen (automatisierte Verarbeitung) verarbeitet oder genutzt oder dafür erhoben werden (§ 1 Abs. 2 Nr. 3 BDSG).

Die nicht automatisierte Datenverarbeitung hat weiterhin die Voraussetzung, dass sie in oder aus einer Datei erfolgt, wobei ein mittelbarer Bezug zu einer Datei genügt. Beispiel Gehaltslisten von Arbeitnehmern: Sie sind regelmäßig gleichartig aufgebaut und können nach mehreren Kriterien ausgewertet werden. Nach § 3 Abs. 2 BDSG liegt damit eine nicht automatisierte Datei vor.

Begriffserklärung: Nutzen

Nutzen ist jede Verwendung der personenbezogenen Daten, soweit es sich nicht um Verarbeitung handelt (§ 3 Abs. 5 BDSG). Damit beinhaltet der Nutzungsbegriff sämtliche Aktivitäten in Bezug auf den Umgang mit personenbezogenen Daten, die nicht unter den Verarbeitungsbegriff (Speichern, Übermitteln, Sperren, Löschen) fallen. Dabei kommt es entscheidend auf die Verwendung bzw. Kenntnisnahme des Informationsgehalts der Daten an. Der bloß technische Zugriff auf die Daten im Rahmen eines programminternen Sortierprozesses ist keine Nutzung im Sinne des Gesetzes. Dagegen stellt jeder Zugriff auf ein bestimmtes Datum, bei dem dieses zur Kenntnis genommen wird bzw. zu Kenntnis genommen werden kann eine Nutzung dar. Dies gilt z. B., wenn eine Reihe von Datensätzen auf einem Bildschirm angezeigt werden und auf diese Art und Weise einem Bearbeiter zur Kenntnis gelangen (selbst dann, wenn sich das gesuchte Datum nicht unter den angezeigten Daten befindet).

Personenbezogene Daten

Das Recht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts schützt Daten natürlicher Personen.

§ 3 Abs. 1 BDSG definiert - in Übereinstimmung mit den Landesdatenschutzgesetzen - personenbezogene Daten als "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)."

Daten juristischer Personen werden nicht durch das Datenschutzrecht geschützt.

Im Hinblick auf die Feststellung des Bundesverfassungsgerichts im Volkszählungsurteil, dass es unter den Bedingungen der modernen Datenverarbeitung kein belangloses Datum gibt, kennt das Datenschutzrecht keine unwichtigen Daten. Geschützt sind vielmehr sämtliche Informationen über eine Person: Name, Geburtstag, Familienstand und Beruf genauso wie Daten über Vertrags- und Eigentums- und Wohnverhältnisse, oder auch das Surfverhalten im Internet.

"Bestimmt" ist eine Person, wenn sie mit den zu ihr gespeicherten Daten eindeutig zu identifizieren ist. Zu den Bestimmungsdaten zählen neben Namen und Anschrift auch Sozialversicherungsnummer, Ausweisnummern, Konto- und Tefefonnummern, Personalnummern, Kfz-Kennzeichen.

Daten sind auch dann personenbezogen, wenn die Person zwar nicht direkt oder eindeutig durch die Daten identifiziert wird, die Zuordnung jedoch indirekt, ggf. durch Verwendung zusätzlicher Informationen, vorgenommen werden kann. Dabei ist irrelevant, auf welche Weise die Bezugsperson identifiziert werden kann. Entscheidend ist allein die Möglichkeit einer Zuordnung.

Für die Bestimmbarkeit der Person ist darauf abzustellen, ob unter realistischen Annahmen die Möglichkeit besteht, die Daten ohne unzumutbaren Aufwand auf eine natürliche Personen zurückzuführen. Dabei sind auch die Befugnisse und Möglichkeiten Dritter einzubeziehen. Wenn z. B. eine nicht-öffentliche Stelle aufgrund begrenzter Verarbeitungskapazitäten und Zugriffsmöglichkeiten selbst nicht dazu in der Lage ist, ein Datum einer Person zuzuordnen, jedoch andere Stellen, mit denen geschäftliche Kontakte bestehen oder hergestellt werden können, diese Zuordnung vornehmen könnten, ist das betreffende Datum personenbezogen. Gleiches gilt für den Fall, dass staatliche Stellen (z. B. Finanz- und Strafermittlungsbehörden) im Rahmen ihrer Kompetenzen die Möglichkeit haben, die Daten einzelnen Personen zuzuordnen.

Ein Personenbezug ist auch dann gegeben, wenn die Daten zwar zunächst nicht mit Sicherheit einer einzelnen Person, sondern einem Kreis von Personen (etwa einer Familie, den Bewohnern eines Hauses, einer Dienststelle) zuzuordnen ist, wenn jedoch durch zusätzliche Ermittlungen herausgefunden werden kann, um wessen Daten es sich handelt. Dies gilt zum Beispiel für den Fall, dass mehrere Familienangehörige oder Firmenmitarbeiter einen Telefonanschluss oder einen Personalcomputer nutzen.

Begriffserklärung: Verarbeiten

Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten (3 Abs. 4 Satz 1 BDSG). Weder das Erheben noch das Nutzen, Anonymisieren und Pseudonymisieren gehören zur Datenverarbeitung im Sinne dieser Definition. Diese Formen des Umgangs mit personenbezogenen Daten werden deshalb stets gesondert in bundesgesetzlichen Datenschutzbestimmungen erwähnt.