Obwohl die Datenschutzgrundverordnung (DSGVO) schon seit 2018 in Kraft getreten ist, besteht bei vielen Unternehmen Unsicherheit, ob ihre Datenschutzmaßnahmen den derzeitigen gesetzlichen Anforderungen genügen. Ein Teilaspekt des Pflichtenpakets der DSGVO ist die Bestellung eines Datenschutzbeauftragten. Vorliegend soll beleuchtet werden, wann in der Regel eine Pflicht zur Bestellung eines Datenschutzbeauftragen von einem Unternehmen überhaupt besteht und welche Konsequenzen bei einer pflichtwidrigen Nichtbestellung drohen.
Welche Unternehmen müssen in der Regel einen Datenschutzbeauftragen bestellen?
Gemäß Art. 37 DSGVO ist ein Datenschutzbeauftragter zu bestellen, wenn die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 (personenbezogene Daten, aus denen die rassische/ethnische Herkunft, politische Meinungen, religiöse/weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht. Dies bedeutet, dass insbesondere Unternehmen deren Kerntätigkeit im Scoring-, Headhunter- oder Profiling-, Markt- oder Meinungsforschungs-, Sicherheits- und Überwachungssektor liegen hierunter fallen. Aber auch Social-Media-Unternehmen oder Versicherungen lassen sich in diese Kategorie fassen. Daten nach Art. 9 DSGVO werden vor allem durch Arztpraxen, Krankenhäuser und Labore verarbeitet. Nach § 38 Bundesdatenschutzgesetz (BDSG) haben nichtöffentliche Stellen einen Datenschutzbeauftragen zu ernennen, wenn in der Regel mindestens 20 Personen im Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. “Automatisierten Verarbeitung” meint jegliche IT-gestützte Datenverarbeitung. Darunter gefasst werden Computer, Netzwerksysteme, Videoüberwachungssysteme, Tablets, Smartphones etc. “In der Regel” und “ständig” bedeutet, dass es sich um eine Dauerbeschäftigung handeln muss, die nicht nur kurzzeitig oder vorrübergehend ausgeführt wird, mithin um den beruflichen “Normalzustand”. Darunter fallen typischerweise Sachbearbeiter, Vertriebsmitarbeiter, IT-Personal sowie Mitarbeiter der Personal- und Finanzabteilung. Ein reiner Zugriff auf gespeicherte Daten zum Zweck der Nutzung reicht aus. Es sei darauf hingewiesen, dass das Gesetz unter weiteren, spezielleren Voraussetzungen ebenfalls eine Pflicht zur Bestellung eines Datenschutzbeauftragen statuiert, die aber den Rahmen eines ersten Überblicks sprengen würden.
Gem. Art. 37 Abs. 7 DSGVO müssen die Kontaktdaten des Datenschutzbeauftragten veröffentlicht und der Aufsichtsbehörde mitgeteilt werden.
Welche Konsequenzen drohen, wenn pflichtwidrig keine Eintragung erfolgt?
Nach Art. 83 Abs. 4 DSGVO können bei Verstößen gegen die Ernennung eines Datenschutzbeauftragen Geldbußen bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.
Die vorstehenden Angaben sollen nur der ersten Information dienen und einen Überblick über die Thematik verschaffen. Je nach Einzelfall kann sich eine erhebliche Änderung der Pflichten und Rechte ergeben. Sollten Sie Fragen oder Beratungsbedarf haben, können Sie uns gerne kontaktieren.
Marc Conrad
Rechtsanwalt
Mail: Conrad@kmbpartner.de
0621 4250890