Die im Jahr 1995 von der Europäischen Gemeinschaft erlassene Datenschutzrichtlinie zur Verarbeitung personenbezogener Daten (Richtlinie 95/46/EG) wird zum 25. Mai 2018 von der EU Datenschutz-Grundverordnung (DSGVO) mit dem Ziel abgelöst, einen einheitlichen Datenschutz in Europa zu ermöglichen. Zu den Neuerungen, die durch die DSGVO ab Mai 2018 zu erwarten sind, hatten wir auf unserem Blog in diesem Jahr bereits mehrfach berichtet. Der nachfolgende Beitrag beschäftigt sich nunmehr mit der Frage, welche Neuerungen sich durch die DSGVO in Bezug auf die Pflicht zur Bestellung eines betrieblichen und behördlichen Datenschutzbeauftragten ergeben und welche Besonderheiten für deutsche Unternehmen durch das neue Bundesdatenschutzgesetz gelten, das ebenfalls zum 25. Mai 2018 in Kraft tritt.
Bestellpflicht
Bei der Pflicht zur Bestellung eines Datenschutzbeauftragten wird auch nach der neuen DSGVO zwischen öffentlichen und nicht-öffentlichen Stellen unterschieden. Nach Art. 37 Abs. 1 a DSGVO sind öffentliche Stellen grundsätzlich verpflichtet, einen Datenschutzbeauftragten zu bestellen, wenn durch die öffentliche Stelle personenbezogene Daten verarbeitet werden. Eine Ausnahme hiervon stellen Gerichte im Rahmen ihrer justiziellen Tätigkeit dar. Öffentliche Stellen können unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe einen gemeinsamen Datenschutzbeauftragten bestellen; dies kann auch ein externer Datenschutzbeauftragter sein.
Nicht-öffentliche Stellen müssen dann einen Datenschutzbeauftragten bestellen, wenn ihre „Kerntätigkeit […] in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen“ (Art. 37 Abs. 1 b DSGVO) oder ihre „Kerntätigkeit […] in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“ (Art 37 Abs. 1 c DSGVO). Diese Bestellpflicht gilt sowohl für Verantwortliche als auch für Auftragsverarbeiter in Europa, soweit einzelne Nationalstaaten der EU nicht von der Öffnungsklausel in der DSGVO Gebrauch machen, die Bestellpflicht national gesondert zu regeln.
Deutschland nutzt Öffnungsklauseln
Genau dies ist für deutsche Unternehmen und öffentliche Stellen des Bundes der Fall: Am 12. Mai 2017 hat der Bundesrat ein sogenanntes Datenschutz Anpassungs- und Umsetzungsgesetz-EU (BDSG-neu genannt) verabschiedet, das ebenfalls zum 25. Mai 2018 in Kraft treten wird und u.a. die Bestellpflicht für Datenschutzbeauftragte in Deutschland strenger regelt als in der DSGVO. Die §§ 5-7 BDSG-neu regeln die Benennung, die Stellung und die Aufgaben des Datenschutzbeauftragten für öffentliche Stellen des Bundes komplett neu.
Etwas anders sieht es für nicht-öffentliche Stellen aus: Gemäß § 38 Abs. 1 S. 1 BDSG-neu ist ergänzend zu Artikel 37 Absatz 1 b DSGVO ein Datenschutzbeauftragter von dem Verantwortlichen sowie dem Auftragsverarbeiter zu benennen, wenn diese „mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“. „Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“
Wenig Änderungen für Unternehmen
Vergleicht man die Regelungen des BDSG-neu mit der aktuell noch gültigen Regelung aus § 4f BDSG (alt), so hat sich für in Deutschland ansässige Unternehmen nicht viel verändert: Die Anzahl der mit der automatisierten Datenverarbeitung betrauten Personen ist gleichgeblieben. Anstelle der Vorabkontrolle, die bislang eine Bestellpflicht unabhängig von der Beschäftigtenzahl zur Folge hatte, ist die Datenschutz-Folgenabschätzung getreten, aus der sich generell die Bestellung eines Datenschutzbeauftragten ergibt.
Zu den Aufgaben des betrieblichen und behördlichen Datenschutzbeauftragten nehmen wir demnächst in diesem Blog Stellung.