Ob ein Datenschutzbeauftragter benannt werden muss, richtet sich nach Artikel 37 DSGVO bzw. § 38 BDSG.

Bei der Bewertung der Kriterien ist es unerheblich, ob ein Unternehmen selbst Verantwortlicher ist oder ob es als Auftragsverarbeiter tätig wird. Neben den Regelungen aus Artikel 37 DSGVO ist wohl die Anforderung aus § 38 Absatz 1 BDSG am bekanntesten: Ein Datenschutzbeauftragter ist zu benennen, “soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen".

Leider ist noch nicht abschließend geklärt, was "ständig (...) beschäftigen" bedeutet. Es besteht jedoch weitgehend Übereinstimmung darin, dass bei Unternehmen z.B. Mitarbeiter im Versand, die Adressaufkleber auf Pakete kleben, oder Monteure, die die Adresse des Kunden erhalten, um die Dienstleistung vor Ort erbringen zu können, nicht dazuzählen.

Bevor wir uns die weiteren Voraussetzung überblicksartig ansehen, eine kurze Anmerkung: Immer wieder ist zu beobachten, dass Verantwortliche meinen, wenn ihr Unternehmen bzw. ihr Verein nicht dazu verpflichtet ist, einen Datenshutzbeauftragten zu benennen, müssten auch die Datenschutzgestze (DSGVO, BDSG etc.) nicht eingehalten werden. Dieser Eindruck ist falsch!

Deshalb sei an dieser Stelle deutlich angemerkt: Jedes Unternehmen und jede Institution, das Mitarbeiter und/oder Kunden und Lieferanten oder Mitglieder hat, verarbeitet personenbezogene Daten und hat damit die Pflicht, die Datenschutzgesetze zu beachten. Es kommt dabei überhaupt nicht auf die Größe des Unternehmens, den Umsatz, die Produkte oder Dienstleistungen oder die Art des Unternehmens an.

Kommen wir aber nun zu den weiteren (außerhalb der "20 Mitarbeiter-Regel"), nicht so bekannten Bedingungen, die dazu führen, dass ein Datenschutzbeauftragter zu benennen ist. Beginnen wir mit der Regelung des Artikel 37 DSGVO:

Artikel 37 Absatz 1 Buchstabe a) DSGVO

die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln.

Dieses Kriterium spricht praktisch für sich selbst und muss nicht weiter erläutert werden.

Artikel 37 Absatz 1 Buchstabe b) DSGVO

die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht, (...)

Als Kerntätigkeiten werden solche Geschäftsbereiche bezeichnet, die für die Umsetzung der Unternehmensstrategie entscheidend sind und nicht bloß routinemäßige Verwaltungsaufgaben darstellen (Paal in Paal/Pauly, DS-GVO BDSG, Artikel 37 Randnummer 8). Eine Kerntätigkeit liegt ist dann etwa gegeben beim Betrieb eines Werbenetzwerkes, innerhalb dessen Nutzerdaten zur Auslieferung von Werbung analysiert werden, aber nicht bei der üblichen Verarbeitung von Mitarbeiterdaten in der Personalabteilung.

Umfangreich ist eine Verarbeitung beispielsweise, wenn eine große Menge an Daten oder eine große Zahl an Betroffenen über eine lange Dauer in den Fokus geraten oder eine große geographische Reichweite erfasst wird (Paal aaO, Randnummer 8b). Der Begriff der Regelmäßigkeit soll hier nicht weiter erörtert werden, "systematisch" jedenfalls deutet auf eine gewisse methodische Vorgehensweise. Es muss letztlich auf die Gesamtumstände abgestellt werden und die Parameter in ihrem Zusammenspiel betrachtet werden. Eine Rolle spielt sicherlich auch das Risiko, das für die Grundfreiheiten und Grundrechte der betroffenen Personen bestehen könnte.

Mit Überwachung meint der Gesetzgeber alle Dienstleistungen oder Tätigkeiten eines Unternehmens, die sich mit der Feststellung des Aufenthaltsortes von betroffenen Personen, der Kontrolle ihrer Leistungserbringung oder beispielsweise der Konatktaufnahme zu anderen Personen beschäftigen.

Letztlich zielt die Vorschrift im Wesentlichen auf Profiling- bzw. Scoringmaßnahmen, also Auskunftteien, Detekteien, Unternehmen mit datengestützten Marketingstrategien und Treueprogrammen, Social-Media, Videoüberwachung u.ä.

Artikel 37 Absatz 1 Buchstabe c) DSGVO

die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Die besonderen Kategorien sind laut Artikel 9 Absatz 1 DSGVO:

  • die rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen oder die
  • Gewerkschaftszugehörigkeit
  • genetischen Daten,
  • biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,
  • Gesundheitsdaten oder
  • Daten zum Sexualleben oder der
  • sexuellen Orientierung einer natürlichen Person

Sind keine solchen besonderen Kategorien betroffen, dann stellt sich die Frage, ob im Kern Daten über strafrechtliche Verurteilungen oder Straftaten verarbeitet werden. Dieses Kriterium könnte ggf. auf bestimmte Hilfsvereine zutreffen.

So, das waren die Tatbestände, die nach Artikel 37 DSGVO zur Benennung eines Datenschutzbeauftragten verpflichten. Schauen wir uns an, was § 38 BDSG noch zu bieten hat.

§ 38 Absatz 1 Satz 1 BDSG

Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Das ist der wohl berühmteste Tatbestand, wann ein Datenschutzbeauftragter zu benennen ist. Wir hatten uns am Beginn dieses Beitrags mit der Regelung beschäftigt (s.o.).

Es bleibt also noch:

§ 38 Absatz 1 Satz 2 BDSG

Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Was eine Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO ist, wird an anderer Stelle in diesem Webprojekt behandelt. Kurz gesagt: Der Verantwortliche soll in bestimmten Fällen die Folgen seiner Verarbeitungen für die Rechte und Freiheiten der Beroffenen im Vorfeld abschätzen. Die Folge einer Verarbeitung kann ein tatsächlich entstehender Schaden beim Betroffenen sein oder den Betroffenen in seinen Rechten und Freiheiten (Persönlichkeitsrecht) erheblich einschränken. Und da die DSGVO dieses Persönlichkeitsrecht schützen möchte, ist es nur logisch, dass sie dem Verantwortlichen vorschreibt, vor einer Verarbeitung das Risiko dieser Verarbeitung zu betrachten. Das ist in Artikel 35 DSGVO geregelt und soll an anderer Stelle behandelt werden.