DSGVO-Leitfaden – Thema: Der Datenschutzbeauftragte

Über 100 Tage ist es nun her, dass die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten ist. Das neue Datenschutz-Niveau ist aus deutscher Sicht zwar gar nicht viel höher, als das bisher im deutschen Bundesdatenschutzgesetz (BDSG) und diversen weiteren Einzelgesetzen (Telemediengesetz, Telekommunikationsgesetz usw.) verankerte Datenschutzrecht, aber die deutschen Datenschutzbehörden haben in der Vergangenheit nicht alles sanktioniert.

Sebastian Karch, Rechtsanwalt / Gesellschaftsrecht, Kanzlei Michaelis Rechtsanwälte Partnerschaftsgesellschaft

Autor: Sebastian Karch, Rechtsanwalt / Gesellschaftsrecht, Kanzlei Michaelis Rechtsanwälte Partnerschaftsgesellschaft

Dies hat sich mit der DSGVO nun aber geändert und um das neue Datenschutz-Niveau erfolgreich im Unternehmen zu integrieren, bedarf es einer guten Compliance-Strategie. Dabei darf dies nicht als einmalige Anstrengung, sondern sollte als fortlaufende, jeden Unternehmensprozess durchziehende Anforderung verstanden werden.

In diesem DSGVO-Leitfaden werden 15 Punkte für eine gute Compliance-Strategie aufgezeigt. Im ersten Teil ist das Thema der Datenschutzbeauftragte (Art. 37 DSGVO):

Eine der ersten Fragen, die Sie sich als Versicherungsmakler stellen sollten, ist die, ob Sie einen Datenschutzbeauftragten bestellen müssen beziehungsweise freiwillig bestellen wollen.

Mitarbeiterzahl

Die Bestellpflicht für einen Datenschutzbeauftragten (Art. 37 Abs. 4 DSGVO i.V.m. § 38 Abs. 1 BDSG-neu) wird zum einen ausgelöst, wenn im Unternehmen mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Welche Personen dies sind, ist irrelevant. Es zählt jeder Kopf, also auch jeder Praktikant und jede Teilzeitkraft, Azubi, Aushilfe, Schwangerschaftsvertretung etc.

 „Kerntätigkeit“

Unabhängig von der Mitarbeiterzahl ist für den Versicherungsmakler aber die Bestellpflicht nach Art. 37 Abs. 1 Buchstabe c) DSGVO. Diese wird nämlich (unabhängig von der Mitarbeiterzahl!) ausgelöst, wenn die „Kerntätigkeit“ in der umfangreichen Verarbeitung besonderer Kategorien von Daten (u.a. Gesundheitsdaten und biometrische Daten, vgl. Begriffe in Art. 4 DSGVO) besteht. Das bedeutet, dass es nicht auf die Mitarbeiterzahl ankommt, wenn z.B. Gesundheitsdaten „umfangreich“ in der „Kerntätigkeit“ verarbeitet werden.

Die Begriffe „Kerntätigkeit“ und „umfangreich“ sind sehr weit gefasst und lösen somit Unklarheiten aus. Aus dem Erwägungsgrund 97 zur DSGVO ergibt sich die Hilfestellung, dass sich die „Kerntätigkeit eines Verantwortlichen“ auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit bezieht. Eine klare Abgrenzung, wann die Bestellpflicht noch nicht ausgelöst wird, ist derzeit allerdings nicht möglich.

Zur Klärung der Frage, ob eine umfangreiche Verarbeitungstätigkeit vorliegt, ist am Ende jeder Einzelfall für sich zu betrachten. Entscheidungserhebliche Parameter, wie etwa die Kundenzahl sowie Art und Umfang der Verarbeitung von besonderen personenbezogenen Daten, dürfte von Versicherungsmakler zu Versicherungsmakler unterschiedlich ausfallen. Je kleiner das Unternehmen, umso mehr Argumente sollten für den Versicherungsmakler sprechen, dass keine Bestellpflicht ausgelöst wird. Je umfangreicher die Verarbeitung von „sensiblen“ Daten der Versicherungsnehmer, umso mehr Argumente sprechen für eine „umfangreiche“ Verarbeitung besonderer personenbezogener Daten.

In der derzeitigen Umbruchphase scheint es bezüglich der konkreten Fragstellung, ob der  Versicherungsmakler unter die Bestellpflicht fällt oder nicht, überdies noch regionale Unterschiede je nach zuständige datenschutzrechtlichen Aufsichtsbehörden  zu geben. Deshalb ist unbedingt darauf zu achten, was von der für Sie zuständigen Landesdatenschutzbehörde zu diesem Thema veröffentlicht wird.

Für einzelne Makler mag es hier daher einen gewissen Argumentationsspielraum geben, wenn kein DSB genommen wird. Diese Entscheidung, keinen DSB zu bestellen, sollte aber in jedem Fall mit Argumenten dokumentiert werden. Das unternehmerische Risiko besteht darin, dass die Datenschutzbehörde im Nachhinein zu dem Ergebnis kommen könnte, dass die Bestellpflicht gegeben ist. Entsprechend könnte dann die Nichtbestellung von der Behörde mit einem empfindlichen Bußgeld sanktioniert werden.

Interner oder externer Datenschutzbeauftragter

Die Folgefrage ist, ob man einen internen Mitarbeiter zum Datenschutzbeauftragten ernennen soll oder sich lieber einen externen Datenschutzbeauftragten nimmt.

Ein interner Datenschutzbeauftragter wird im Rahmen seines Anstellungsverhältnisses für das Unternehmen tätig, ein externer Datenschutzbeauftragter aufgrund eines Dienstleistungsvertrages. Der externe Datenschutzbeauftragte ist also einfach auszutauschen, der interne Datenschutzbeauftragte nicht. Für die Qualifikation eines externen Datenschutzbeauftragten muss auch der Geschäftsführer nicht sorgen. Ein interner Datenschutzbeauftragter muss regelmäßig zu Fortbildungsmaßnahmen geschickt und somit von der Arbeit freigestellt werden. Der externe Datenschutzbeauftragte kostet das, was Sie mit ihm vereinbaren.

Verantwortlicher bleibt der Unternehmer

Nur um es einmal klar gesagt zu haben. Die Datenschutzpflichten des Unternehmers können nicht auf einen Datenschutzbeauftragten abgewälzt werden. Der Verantwortliche bleibt der Unternehmer. Der Datenschutzbeauftragte muss ihn „lediglich“ darauf hinweisen, was im Unternehmen in Sachen Datenschutz gemacht werden sollte. Die Umsetzung verbleibt Sache des Unternehmers.

DSGVO-Leitfaden – Thema: Verzeichnis und Datenschutz-Folgenabschätzung

 

Bilder: (1) © peshkov / fotolia.com (2) © Kanzlei Michaelis Rechtsanwälte Partnerschaftsgesellschaft

Themen: