Benennungspflicht

Benennungspflicht nach DS-GVO

Nach der DS-GVO ist ein Datenschutzbeauftragter (DSB) in folgenden Fällen verpflichtend zu benennen (vgl. Art. 37 Abs. 1):

-        Art. 37 Abs. 1 Buchst. a) DS-GVO: Personenbezogene Datenverarbeitung durch Behörde / öffentliche Stelle (Ausnahme: justizielle Tätigkeit)

-        Art. 37 Abs. 1 Buchst. b) DS-GVO:  Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen. 

-        Art. 37 Abs. 1 Buchst. c) DS-GVO: Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Art. 9 DS-GVO) oder von Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DS-GVO).

Die für Unternehmen maßgebliche Benennungspflicht der beiden letztgenannten Fallgruppen hat jeweils zwei Voraussetzungen. Erstens muss die die Benennungspflicht auslösende personenbezogene Datenverarbeitung zur „Kerntätigkeit“ des Verantwortlichen bzw. Auftragsverarbeiters gehören. Zweitens muss die Tätigkeit bestimmte inhaltliche Voraussetzungen erfüllen, nämlich das Erfordernis einer umfangreichen regelmäßigen und systematischen Beobachtung von betroffenen Personen oder die umfangreiche Verarbeitung von Daten im Sinne des Art. 37 Abs. 1 Buchst. c) DS-GVO.

In der englischen Fassung der DS-GVO, die Gegenstand der Trilogverhandlungen war, ist anstelle von „Kerntätigkeit“ (Singular) von „core activities“ (Plural) die Rede. „Core activities“ sind alle Geschäftsbereiche, die entscheidend sind für die Umsetzung der Unternehmensstrategie, die ihren Ausdruck findet in Kundenservice, Marketing, Produktdesign etc. Keine Aktivitäten in diesem Sinne sind routinemäßige Verwaltungs- und Erhaltungsaufgaben. Es genügt also, wenn die die Benennungspflicht auslösende Tätigkeit einen (!) Hauptzweck der betreffenden Stelle darstellt. „Beobachtung“ meint umfangreiche regelmäßige und systematische personenbezogene Auswertungen, insbesondere die Vornahme von Profilbildungen.

-        Beispiele für Benennungspflicht nach Art. 37 Abs. 1 Buchst. b) DS-GVO: Auskunfteien; Detekteien; Versicherungsunternehmen (Risikomanagement oder individualisierte Tarife wie „Pay as you drive“); Marketing auf Basis detaillierter Kunden- und Interessentenprofile

-        Beispiele für Benennungspflicht nach Art. 37 Abs. 1 Buchst. c) DS-GVO:  Gesundheitseinrichtungen, wie z.B. Krankenhäuser; mit genetischen Untersuchungen befasste Labors; Beratungsstellen wie Pro Familia; Dienstleister im biometrischen ID-Management oder Anbieter von Erotikartikeln

Benennungspflicht nach BDSG

Die Pflicht zur Benennung eines Datenschutzbeauftragten kann sich aber nicht nur aus der DS-GVO selbst ergeben. Art. 37 Abs. 4 Satz 1 Hs. 2 DS-GVO gestattet dem Unionsgesetzgeber wie auch den nationalen Gesetzgebern, im Verhältnis zur DS-GVO weitergehende Pflichten zur Benennung eines Datenschutzbeauftragten vorzusehen. Von dieser Befugnis hat der deutsche Gesetzgeber Gebrauch gemacht.

Nach § 38 Abs. 1 Satz 1 BDSG haben Verantwortliche und Auftragsverarbeiter ergänzend zu den Vorgaben der DS-GVO einen Datenschutzbeauftragten zu bestellen, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.[1] Zudem schreibt § 38 Abs. 1 Satz 2 BDSG vor, dass schwellenwertunabhängig ein Datenschutzbeauftragter zu benennen ist, sofern der Verantwortliche oder Auftragsverarbeiter Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung (Art. 35 DS-GVO)[2] unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.

Der 20-Personen-Schwellenwert muss „in der Regel“ erreicht werden. Maßgeblich ist die Anzahl der normalerweise mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten Personen. Entscheidend ist, ob der Schwellenwert über einen Zeitraum von einem Jahr erreicht wurde bzw. im Rahmen einer vorausschauenden Betrachtung erreicht werden wird. „Ständig“ beschäftigt ist die Person, wenn sie die Aufgabe, die nicht ihre Hauptaufgabe zu sein braucht, regelmäßig wahrnimmt. Nicht notwendig ist insoweit, dass der Umgang mit personenbezogenen Daten den Kern der Tätigkeit des Beschäftigten bildet, wie dies z.B. bei Mitarbeitern der Personalabteilung der Fall ist. Ausreichend ist vielmehr, dass im Rahmen der konkreten Tätigkeit auch mit personenbezogenen Daten umgegangen wird. Dies ist bereits bei Anbindung an Kommunikationssysteme wie z.B. Outlook und/oder Zugriff auf unternehmenseigene Adressverzeichnisse der Fall. Solche Mitarbeiter sind im Hinblick auf die Benennungspflicht ebenso mitzuzählen wie Mitarbeiter, die keine weiteren Kompetenzen haben, als sich personenbezogene Daten anzeigen zu lassen.