Wer braucht einen Datenschutz-Beauftragten?

740px 535px

In rund vier Wochen ist die Europäische Datenschutz-Grundverordnung (DSGVO) anzuwenden. Derzeit besteht noch viel Unsicherheit über die Auslegung mancher Regeln.

Volle 156 Seiten umfasst die "Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG", kurz Datenschutz-Grundverordnung. Ab 25. Mai muss sie jeder beachten, der zu beruflichen oder gewerblichen Zwecken personenbezogene Daten ganz oder teilweise automatisiert verarbeitet oder selbst bei nichtautomatisierter Verarbeitung diese in einem Dateisystem speichert.

Mitgaberecht und Recht auf Vergessenwerden
Neben vielen aus dem bisherigen Bundesdatenschutzgesetz bekannten Regeln kommen einige neue hinzu. Wohl am wichtigsten sind die überaus empfindlichen Strafen, die bei Missachtung drohen.

Stirnrunzeln bei den Unternehmen löst auch das Recht auf Herausgabe der personengebundenen Daten in einer digitalen Version aus, also beispielsweise eines CSV- oder ähnlichen Datensatzes, um diese "mitnehmen" zu können. Wer sich in Sozialen Netzwerken oder sonst im Internet bewegt, wo Inhalte auf verschiedensten fremden Seiten geteilt und weitergegeben werden, sollte sich mit der Frage beschäftigen, wie er das "Recht auf Vergessenwerden" umsetzt, wenn ein Betroffener dieses verlangt.

Unklare Pflicht zur Bestellung eines Datenschutzbeauftragten
Vor allem werden organisatorische Maßnahmen verlangt, mit denen die Einhaltung der Datenschutzregeln sichergestellt werden. Eine besonders häufige Frage in diesem Zusammenhang wird im Vertrieb nach Aussagen des AfW Bundesverbands Finanzdienstleistung danach gestellt, wann ein Unternehmen einen Datenschutzbeauftragten braucht.

Der ist in jedem Fall vorgeschrieben, wenn ein Unternehmen mindestens zehn Mitarbeiter aufweist. Dazu gehören nach Aussagen des Verbands auch freie Mitarbeiter und Praktikanten.

Verarbeiten Vermittler erhebliche personengebundene Daten?
Allerdings sieht die DGSVO unabhängig von der Mitarbeiterzahl einen Datenschutzbeauftragten vor, wenn in erheblichem Umfang besonders geschützte, personengebundene Daten verarbeiten. Als besonders schützenswert dürften wohl unter anderem Gesundheitsfragen im Rahmen von Lebens-, Kranken- und Unfallversicherungen gelten.

Da wohl mindestens neun von zehn Vermittlerbetrieben in Deutschland unter zehn Mitarbeitern aufweisen, aber mit solchen besonders schützenswerten Daten zu tun haben, stellt sich die Frage, ob sie doch einen Datenschutzbeauftragten benötigen. Im ebenfalls häufig vorkommenden Ein-Mann-Betrieb würde das allerdings nicht bedeuten können, dass sich der Inhaber oder die Inhaberin selbst zum Datenschutzbeauftragten ernennt. Dass dann keine unabhängige Kontrolle mehr möglich ist, liegt auf der Hand. Je kleiner der Betrieb, desto eher könnte er gezwungen sein, gegen entsprechende Honorare Dienstleister anzuheuern, die die Funktion des Datenschutzbeauftragten übernehmen.

Kleinere Maklerbetriebe eher nicht betroffen
Der AfW hat jetzt die Landesdatenschutzbeauftragten in Deutschland angefragt, ob sie einen typischen Maklerbetrieb unter zehn Mitarbeitern für einen Betrieb halten, der in erheblichem Umfang schützenswerte personengebundene Daten verarbeitet und daher einen Datenschutzbeauftragten braucht. "Das Ergebnis ist insgesamt nicht ganz eindeutig, aber doch mit einer sehr klaren Tendenz", heißt es dazu vom Verband.

Nur die beiden Landesdatenschutzbeauftragten von Bayern und Berlin haben sich nach einer beigefügten Übersicht eindeutig gegen die Pflicht ausgesprochen, als Kleinst-Maklerbetrieb einen Datenschutzbeauftragten ernennen zu müssen. Hamburg teilt etwas vorsichtiger mit, dass es der dortige Beauftragte für mindestens zweifelhaft hält, ob eine solche Pflicht besteht. Mecklenburg-Vorpommern verweist auf diese Einschätzung.

Auch Hessen äußert sich zurückhaltend und führt als Beispiel aus, dass es wohl nicht das Ziel sei "jede kleine Arztpraxis oder Apotheke" zur Bestellung eines Datenschutzbeauftragten zu verpflichten. Niedersachsen verneint in einer Auskunft an einen Makler die Pflicht zur Berufung, empfiehlt aber "sich Rat von einem externen Datenschutzbeauftragten zu holen", mit der Begründung, dass die DSGVO "ein umfangreiches und für einen Laien meist unverständliches Regelwerk ist". Die übrigen Landesdatenschutzbeauftragten haben sich gegenüber dem AfW nicht oder nicht rechtzeitig mit einer eigenständigen Einschätzung geäußert.

Autor(en): Matthias Beenken

Zum Themenspecial "DSGVO"

 

Mehr zu DSGVO

Alle Branche News