Bestellungspflicht eines betrieblichen Datenschutzbeauftragten anpassen
ZDH, 11.2018: Nach aktuellem Bundesdatenschutzgesetz (BDSG) sind Betriebe verpflichtet, einen Datenschutzbeauftragten zu bestellen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Warum diese Regelung in der Praxis für einen Großteil der Betriebe zu Problemen führt, darüber informiert der ZDH in ZDH-Kompakt, Ausgabe November 2018
HINTERGRUND
Nach dem neuen Bundesdatenschutzgesetz (BDSG) sind Betriebe verpflichtet, einen Datenschutzbeauftragten zu bestellen, „soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“ (§ 38 Abs. 1 S. 1 BDSG). Damit geht der deutsche Gesetzgeber als einziger Mitgliedstaat der Europäischen Union über die Anforderungen der Datenschutzgrundverordnung (DSGVO) hinaus.
BEWERTUNG
Betriebliche Datenschutzbeauftragte können in großen Unternehmen oder bei umfassender Datenverarbeitung wie z. B. Big Data eine hilfreiche und bürokratiearme Unterstützung bieten. Jedoch beschränkt die vorstehende Vorschrift die Pflicht zur Bestellung eines Datenschutzbeauftragten nicht auf solche Unternehmen oder Datenverarbeitungen.
Zu kritisieren ist in diesem Zusammenhang die Auslegung des Begriffs „stän- dig“: Nach Auffassung einiger Landesaufsichtsbehörden für den Datenschutz müssen auch solche Betriebe einen Datenschutzbeauftragten bestellen, wenn in dem Betrieb mindestens zehn Personen Smartphones, Tablets und andere digitale Geräte regelmäßig nutzen. Das ist jedoch selbst bei kleinen Betrieben im Handwerk der Normalfall. Außendienstmitarbeiter erhalten die Adressdaten der Kunden auf ihr Smartphone, Dachdecker setzen Drohnen zur Prüfung der Dachgegebenheiten ein, Bauhandwerker fertigen Fotos von zu reparierenden Stellen an und Orthopädietechniker scannen die Fußstellung zur Anfertigung passgenauer Hilfsmittel.
Folge dieser weiten Auslegung ist, dass auch solche Betriebe einen Daten- schutzbeauftragten bestellen müssen, bei denen ein Datenschutzbeauftragter keine praktische Hilfe bietet, sondern ausschließlich eine bürokratische und finanzielle Belastung darstellt. So ist die Benennung eines betrieblichen Daten- schutzbeauftragten mit nicht unerheblichen Kosten für dessen Ausbildung, Schulung und Freistellung zur Tätigkeitsausübung verbunden.
Das Merkmal „ständig“ ist angesichts der alltäglichen Nutzung digitaler Geräte ungeeignet, das Risiko für den Schutz personenbezogener Daten von Kunden und Mitarbeitern praxisgerecht zu beurteilen. Dasselbe gilt für den Schwellen- wert von zehn Personen, die mit solchen digitalen Geräten arbeiten. Im moder- nen Arbeitsalltag nutzen nahezu sämtliche Mitarbeiter in sämtlichen Branchen digitale Geräte.
WAS ZU TUN IST
Für einen effektiven Datenschutz kommt es nicht darauf an, wie viele Personen mit digitalen Hilfsmitteln arbeiten, sondern, ob ihre Kerntätigkeit darin besteht, Daten von Personen zu verarbeiten. Es macht einen qualitativen Unterschied, ob ein PC genutzt wird, um eine E-Mail zu schreiben oder einen Scoring-Wert für die Kreditwürdigkeit einer Person zu ermitteln.
Für solche Fälle, in denen die Kerntätigkeit betroffen ist oder die Datenverarbei- tung besondere Risiken aufweist, sieht das BDSG bereits eine ausdrückliche Pflicht zur Bestellung eines Datenschutzbeauftragten vor (§ 38 Abs. 1 S. 2 BDSG i.V.m. Art. 35 DSGVO). Diese Regelung ist richtig und praxisgerecht. Darüber hinaus bedarf es keiner weiteren Regelungen. Die Vorschrift des § 38 Abs. 1 S. 1 BDSG sollte deshalb ersatzlos gestrichen werden.
Stand: November 2018 Verantwortlich: Franz Peter Altemeier Telefon: 030/20619 350