Der Gesetzgeber hat am 20.11.2019 das Bundesdatenschutzgesetz durch das sogenannte Zweites Gesetz zur Anpassung des Datenschutzrechts (2. DSAnpUG-EU) ausgearbeitet. Am 25.11.2019 wurde es im Bundesgesetzblatt verkündet und ist somit in Kraft getreten. Neben einer Menge begrifflicher Anpassungen, die in erster Linie der Harmonisierung im Datenschutz geschuldet sind, wurde auch eine Richtschnur für die Benennungspflicht eines Datenschutzbeauftragten für nichtöffentliche Stellen angepasst.
Unter nichtöffentliche Stellen sind „natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts“ zu verstehen.
Diese eine Richtschnur zur Benennung eines Datenschutzbeauftragten kennen wahrscheinlich einige unserer Leser: sie lag damals bei zehn Personen (Köpfe), die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Nach in Krafttreten der Änderung liegt sie nun bei 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Was viele dabei vielleicht nicht wissen, ist, dass nicht nur die Kopfanzahl der Mitarbeiter/innen für eine Benennungspflicht entscheiden ist, sondern auch noch viele andere Rechtsnormen beachten werden müssen. Daher sollte jede öffentliche und nichtöffentliche Stelle diese „vermeintliche Grenze“ mit Vorsicht betrachten und genau prüfen, ob nicht andere Bestimmungen eine Ernennungspflicht nach sich ziehen.
Wir haben die recht zahlreichen Bestimmungen aus dem Bundesdatenschutzgesetz und der Datenschutzgrundverordnung mit Erklärungen und Quellenangaben zusammengefasst und möchten Ihnen diese anhand eines übersichtlichen Ablaufdiagramms zur Verfügung stellen.
Abschließend kann natürlich jede nichtöffentliche Stelle auch freiwillig eine/n Datenschutzbeauftragte/n benennen und läuft somit nicht in die Gefahr fehlenden Compliance im Datenschutzrecht mit eventuellen Bußgeldern zahlen zu müssen.
Fußnoten und Quellen:
1. Notare sind öffentliche Stellen der Länder [https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/stellungnahmen/datenschutz-anpassungs-und-umsetzungsgesetz-eu-dsanpug-eu/bundesnotarkammer_bnotk_stn.pdf?__blob=publicationFile&v=2], als solche müssen sie gem. § 5 Abs. 1 BDSG n. F. [https://dejure.org/gesetze/BDSG/5.html], sowie Art. 37 Abs. 1 lit. a DSGVO [https://dejure.org/gesetze/DSGVO/37.html] auf jeden Fall einen Datenschutzbeauftragten benennen.
2. Gemäß den Änderungen des Bundesdatenschutzes vom 20.11.2019, bekanntgemacht durch das BGBl. I S. 1626 (Nr. 41) [https://www.bgbl.de/xaver/bgbl/start.xav#bgbl%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27%5D__1575560296845] haben nun Verantwortliche nichtöffentlicher Stellen gem. § 38 Abs. 1 S. 1 BDSG n. F. [https://dejure.org/gesetze/BDSG/38.html] – also juristische Personen – eine Pflicht zur Ernennung eines/einer Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. „Automatisierte Verarbeitung von Daten“ liegt dann vor, wenn jemand an einem Computer, Smartphone etc. mit Daten von natürlichen Personen umgeht. Ob dies ein Ehrenamtlicher, Praktikant oder Angestellter macht, ist unerheblich. „20 Personen“ bedeutet gemäß der Datenschutzgesetze, nicht die Anzahl der (Plan-)Stellen, sondern die Anzahl der Köpfe.
3. Gemäß Artikel 9 Abs. 1 Datenschutzgrundverordnung (DSGVO) [https://dejure.org/gesetze/DSGVO/9.html], sind die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person besondere Kategorien personenbezogener Daten. „Gesundheitsdaten“ sind gem. Art. 4 Abs. 1 Nr. 15 DSGVO [https://dejure.org/gesetze/DSGVO/4.html] personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen
4. a) Gemäß des Art. 37 Abs. 1 lit. c DSGVO [https://dejure.org/gesetze/DSGVO/37.html], hat die Verantwortliche Stelle auf jeden Fall einen Datenschutzbeauftragten, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht. Unter „Kerntätigkeit“ ist jede Tätigkeit zu verstehen, die essentiell für die Erreichung der Ziele des Unternehmens sind. Als Beispiel sei hier die Verarbeitung von Gesundheitsdaten in einem Krankenhaus genannt, [https://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_annex_en_40856.pdf], [https://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf] Beispiel: Zur Kerntätigkeit gehört es, wenn ein Hörgeräteakustiker Daten über die Hörfähigkeit (Gesundheitsdaten) verarbeitet, auch wenn dieser nur zwei Angestellte beschäftigt.
b) In den meisten Fällen werden durch die Personalbuchhaltung regelmäßig Gesundheitsdaten – z. B. in Form des BEM – oder Religionsdaten – z. B. für die Abrechnung der Kirchensteuer – verarbeitet.
5. „Regelmäßige und systematische Überwachung“ ist in der DSGVO zwar nicht definiert, beinhaltet jedoch jegliche Formen der Verfolgung und Profilerstellung im Internet, darunter auch zu Zwecken der verhaltensbasierten Werbung. Allerdings ist der Begriff „Überwachung“ nicht auf die Online-Umgebung beschränkt, z. B. Fallen hierunter auch Auskunfteien, Inkassobüros, [https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/wp243rev01_annex_de.pdf]
6. Eine freiwillige Ernennung eines Datenschutzbeauftragten steht jeder verantwortlichen Stelle offen.