Aktuell im ITRB

Erforderlichkeit der Benennung eines Datenschutzbeauftragten für nicht-öffentliche Stellen nach Art. 37 DSGVO und § 38 BDSG (Ernst, ITRB 2018, 188)

Die Frage nach der Erforderlichkeit der Benennung eines Datenschutzbeauftragten wird derzeit oft gestellt. Der Beitrag gibt anhand einer Checkliste Leitlinien zu ihrer Beantwortung. Diese richtet sich seit dem 25.5.2018 bei nicht-öffentlichen Stellen (namentlich Unternehmen, aber auch Vereinen) nach Art. 37 DSGVO und § 38 BDSG n.F.

1. Sind in Ihrem Unternehmen zehn (oder mehr) Personen damit beschäftigt, personenbezogene Daten automatisiert zu verarbeiten?

a) Zahl der Köpfe und arbeitsrechtlicher Status

b) Geschäftsleitung und andere ausgenommene Personen

c) Beschäftigung

d) Ständige Beschäftigung

e) Kopfzahl „in der Regel“

2. Verarbeiten Sie in Ihrem Unternehmen besondere personenbezogene Daten?

3. Ist die Verarbeitung von Daten gem. Frage 2 eine Kerntätigkeit Ihres Unternehmens?

4. Gehört es zur Kerntätigkeit Ihres Unternehmens, Personen in umfangreicher Weise regelmäßig und systematisch zu überwachen?

5. Nehmen Sie Verarbeitungen vor, die insb. bei Verwendung neuer Technologien aufgrund der Art, des Umfangs, der Umstände und ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben?

6. Verarbeiten Sie personenbezogene Daten für Zwecke der Übermittlung, auch der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung (§ 38 Abs. 1 Satz 2 Alt. 2 BDSG)?

7. Freiwillige Benennung eines Datenschutzbeauftragten


1. Sind in Ihrem Unternehmen zehn (oder mehr) Personen damit beschäftigt, personenbezogene Daten automatisiert zu verarbeiten?
Diese Frage ist in den meisten Fällen die entscheidende. Wird sie mit Ja beantwortet, benötigt das Unternehmen einen Datenschutzbeauftragten. Wird sie mit Nein beantwortet, können die nachfolgenden Fragen zwar eine solche Pflicht ebenfalls begründen, doch gilt dies in der überwiegenden Zahl der Fälle nicht.

Gemäß § 38 Abs. 1 Satz 1 BDSG n.F. sind Unternehmen dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen, sofern mit der automatisierten Verarbeitung personenbezogener Daten mindestens zehn Personen ständig beschäftigt sind. Eine entsprechende Bestellpflicht wurde bereits in § 4f BDSG a.F. normiert, der Parallelen zu § 38 Abs. 1 BDSG n.F. aufweist, weshalb die Erwägungen des alten Rechts weitgehend herangezogen werden können. Allerdings ist die Feststellung und Zählweise nicht ganz selbstverständlich. Indem jede einzelne Person in einem Unternehmen einer anderen Tätigkeit nachgeht und jeder eine andere Position in der Unternehmensstruktur aufweist, ist oft ungewiss, ob es eines Datenschutzbeauftragten bedarf.

a) Zahl der Köpfe und arbeitsrechtlicher Status
Maßgeblich ist zunächst die Zahl der Köpfe, nicht der Stellen. Teilzeitkräfte zählen (anders als im Arbeitsrecht) datenschutzrechtlich als „ganze“ Mitarbeiter. Einbezogen sind ferner alle Personen, sofern sie einer Tätigkeit nachgehen, die als Phase der automatisierten Datenverarbeitung anzusehen ist. Eine räumliche Einheit ist nicht erforderlich, weshalb auch Telearbeitnehmer miterfasst sind. Das gilt auch, wenn der Telearbeitnehmer grenzüberschreitend tätig ist.

Obgleich früher vertreten wurde, dass lediglich auf die Position des Arbeitnehmers abzustellen ist, ist heute unstrittig, dass die Anzahl der mit der Verarbeitung beschäftigten Personen maßgeblich ist, unabhängig von ihrem arbeitsrechtlichen Status. Erstfasst werden somit sowohl Voll- als auch Teilzeitbeschäftigte sowie freie Mitarbeiter, Praktikanten und Auszubildende. Auch Leiharbeiter fallen hierunter, wenn sie weisungsgebunden Tätigkeiten nach Vorstellung des Arbeitgebers ausführen. Mitarbeiter eines externen Dienstleister zählen hingegen nicht mit, selbst wenn ...

 

Verlag Dr. Otto Schmidt vom 22.08.2018 10:34
Quelle: Verlag Dr. Otto Schmidt

zurück zur vorherigen Seite