Seit dem 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung. Sie bringt in vielen Bereichen des Datenschutzes Neuerungen und Erweiterungen, vielfach auch eine Verschärfung der datenschutzrechtlichen Anforderungen. Auch hinsichtlich der Rolle der Datenschutzbeauftragten sind mit der EU-DSGVO einige veränderte Gesichtspunkte verbunden. Der deutsche Gesetzgeber hat mit einem neugefassten Bundesdatenschutzgesetz von der Öffnungsklausel in Art. 37 Abs. 4 DSGVO Gebrauch gemacht, auf dessen Grundlage die EU-Mitgliedstaaten die Benennungspflicht des Datenschutzbeauftragten im eigenen Ermessen konkretisieren dürfen. Wer sich also zukünftig mit der Position des Datenschutzbeauftragten in Unternehmen auseinandersetzt, muss nicht nur auf die Regelungen der EU Datenschutzgrundverordnung schauen, sondern ergänzend auch die Neufassung des Bundesdatenschutzgesetzes heranziehen, weil letztere die EU-Datenschutzgrundverordnung an dieser Stelle teilweise konkretisiert.
Der Datenschutzbeauftragte - alte/neue Rechtslage im Überblick
Bis Anfang Juli 2017 galt das Bundesdatenschutzgesetz (BDSG), welches das Thema Datenschutzbeauftragter in den §§ 4f BDSG ff. geregelt hat.
Am 5. Juli 2017 wurde im Rahmen des Datenschutz-Anpassungs-und Umsetzungsgesetzes EU das Bundesdatenschutzgesetz in einer neuen Fassung veröffentlicht. In Unterscheidung zum BDSG wird es als BDSG-Neu oder BDSG n.F. geführt. Die Position des Datenschutzbeauftragten wird dabei im Hinblick auf die Anforderungen der EU-Datenschutzgrundverordnung in einigen Punkten angepasst, orientiert sich aber überwiegend am alten Bundesdatenschutzgesetz.
Folgende Unterschiede zwischen der bisherigen und der neuen Rechtslage bestehen :
Das Thema Datenschutzbeauftragter ist nunmehr in den §§ 38 ff. BDSG n.F. für private Stellen und § 5 ff. BDSG n.F. für öffentliche Stellen geregelt. Inhaltlich nimmt § 38 BDSG n.F. direkten Bezug auf Art. 37 der EU- Datenschutzgrundverordnung und ergänzt diesen.
Es bestehen Unterschiede in de, Normenwortlaut. So spricht § 38 BDSG n. F. davon, einen Datenschutzbeauftragten zu benennen. In der alten Fassung des Bundesdatenschutzgesetzes war der Datenschutzbeauftragte zu bestellen. Obwohl die Worte "bestellen" und "benennen" sich sehr ähnlich sind, dürfte die "Benennung" in der neuen Fassung etwas weniger formal zu verstehen sein. Sowohl die EU-Datenschutzgrundverordnung als auch das Bundesdatenschutzgesetz in seiner neuen Fassung legen sich nicht darauf fest, in welcher Form und auf welcher Grundlage ein Datenschutzbeauftragter dem Unternehmen zur Seite gestellt wird.
Während die Verpflichtung zur Benennung eines Datenschutzbeauftragten im Wesentlichen dem alten § 4 BDSG entspricht, führt § 38 BDSG n. F. ergänzend den Gesichtspunkt der Datenschutzfolgeabschätzung ein. Letztere ist eine wichtige neue Anforderung in der EU-Datenschutzgrundverordnung.
Außerdem verweist § 38 Absatz 2 BDSG n. F. auf § 6 Abs. 4 und 5 BDSG n.F. Damit werden die Anforderungen für die Abberufung und Kündigung eines Datenschutzbeauftragten aus dem Bereich der öffentlichen Stelle auch auf die nicht-öffentliche Stelle übertragen.
Weiterhin kann nach der EU-Datenschutzgrundverordnung ein Konzerndatenschutzbeauftragter ernannt werden.
Zukünftig müssen außerdem die Kontaktdaten des Datenschutzbeauftragten veröffentlicht werden und der Aufsichtsbehörde durch Mitteilung zugänglich gemacht werden.
Fazit
Die Position des Datenschutzbeauftragten wird durch das BDSG neue Fassung teilweise auf nationaler Ebene konkretisiert
Nach der EU-Datenschutzgrundverordnung muss ein Datenschutzbeauftragter benannt werden, wenn die Kerntätigkeit eines Unternehmens in systematischer Überwachung oder Verarbeitung von personenbezogenen Daten besteht. Der Begriff "Kerntätigkeit" ist dabei so zu verstehen, dass es sich um primäre Tätigkeiten des entsprechenden Unternehmens handelt, beziehungsweise dass die genannten Zugriffe auf personenbezogene Daten bei der entsprechenden Tätigkeit nicht wegzudenken sind. Der deutsche Gesetzgeber konkretisiert mit § 38 BDSG n.F. Art. 37 der EU-Datenschutzgrundverordnung. Wie nach der bisherigen Rechtslage ist ein Datenschutzbeauftragter grundsätzlich zu benennen, wenn das Unternehmen mindestens 20 Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt.
Außerdem wird die Pflicht zur Benennung eines Datenschutzbeauftragten auch dahingehend näher erläutert, dass Unternehmen, die Verarbeitungen vornehmen und damit einer Datenschutzfolgeabschätzung im Sinne von Art. 35 der EU-Datenschutzgrundverordnung unterliegen, beziehungsweise die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder für Zwecke der Marktbeziehungs- oder Meinungsforschung verarbeiten unabhängig von der Anzahl der mit einer Datenverarbeitung personenbezogenen Daten beschäftigten Personen einen Datenschutzbeauftragten bestellen müssen.
Nach wie vor genießt der Datenschutzbeauftragte einen besonderen Kündigungsschutz, unterliegt der Verschwiegenheitspflicht und darf ein Zeugnisverweigerungsrecht für sich in Anspruch nehmen. Bei der Berechnung der 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden, legt sich der deutsche Gesetzgeber nicht darauf fest, ob hier nur das arbeitsrechtliche Verhältnis entscheidend ist oder nur volle Stellen mitzählen. Daraus folgt, dass man pro Kopf zu zählen hat und auch Teil- sowie Leiharbeiter ebenso wie Auszubildende und Praktikanten mit einbeziehen muss. Weiterhin ist zu beachten, dass die Anforderungen an eine automatisierte Verarbeitung nicht besonders hoch sind. Bearbeitet beispielsweise ein Mitarbeiter E-Mails in dem entsprechenden Bereich, wird dieser bereits dazu gezählt.
Grundsätzlich gibt die EU-Datenschutzgrundverordnung den allgemeinen gesetzlichen Rahmen zum Datenschutzbeauftragten vor, während das deutsche Bundesdatenschutzgesetz neue Fassung vereinzelte Konkretisierungen einführt. Für betroffene Unternehmen ist die Frage, ob sie einen Datenschutzbeauftragten benennen müssen, damit noch etwas schwieriger zu beantworten, weil die Vorschriften komplexer geworden sind und nicht mehr nur das Bundesdatenschutzgesetz für sich alleinsteht.
Artikel veröffentlicht am: 09. Oktober 2018