Richtlinien zur Bestellung eines Datenschutzbeauftragten

Der Zusammenschluss der nationalen Datenschutzbehörden in Europa, die sog. Art. 29 Datenschutzgruppe hat im Dezember 2016 einen Leitfaden veröffentlicht, welcher die nicht immer eindeutigen Regelungen der DS-GVO zur Bestellung eines Datenschutzbeauftragten konkretisieren soll.

Bestellung eines Datenschutzbeauftragten

Die DSG-VO sieht zwingend die Bestellung eines Datenschutzbeauftragten in nachfolgenden Fällen vor:

  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Einzelnen Mitgliedsstaaten bleibt es vorbehalten, darüber hinaus Regelungen zur verpflichtenden Benennung eines Datenschutzbeauftragten zu erlassen. Ebenso können Organisationen auf freiwilliger Basis einen Datenschutzbeauftragten bestellen.

Bestellung eines Datenschutzbeauftragten im Unternehmen

In der Praxis tauchten in den letzten Monaten immer wieder Fragen zu einzelnen Begriffen in der DSG-VO auf, deren ordnungsgemäße Beantwortung für die zwingend erforderliche Benennung eines Datenschutzbeauftragten in privaten Unternehmen von zentraler Bedeutung ist.

Im einzelnen sind dies:

  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters
  • ihrer Art, ihres Umfangs und/oder ihrer Zwecke sowie
  • regelmäßige und systematische Überwachung

Die Art. 29 Datenschutzgruppe hat nun im Leitfaden zu Datenschutzbeauftragte diese Begriffe genauer spezifiziert und bietet damit eine wertvolle Hilfestellung bei der Entscheidung zur notwendigen Benennung eines Datenschutzbeauftragten im Unternehmen.

Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters

Als Kerntätigkeiten des Unternehmens sind die Hauptaktivitäten des Unternehmens zur Erreichung des Unternehmensziels zu verstehen. Am Beispiel eines Krankenhauses, dessen wichtigstes Ziel die öffentliche Gesundheitsversorgung ist, wird die Notwendigkeit zur Benennung eines Datenschutzbeauftragten dadurch verdeutlicht, dass eine sichere und effektive Gesundheitsversorgung ohne die Verarbeitung von Gesundheitsdaten in der heutigen Zeit unmöglich sei. Die Verarbeitung von Gesundheitsdaten zählt somit zur Kerntätigkeit eines Krankenhauses uns damit wird die Benennung eines Datenschutzbeauftragten obligatorisch.

Andererseits verarbeiten alle Unternehmen auch Lohnzahlungen oder andere grundlegende Datenanwendungen. Diese Verarbeitungen sind als notwendige Unterstützungsaktivitäten für die Kerntätigkeit des Unternehmens zu sehen und begründen an sich keine Verpflichtung zur Benennung eines Datenschutzbeauftragten.

Art, Umfang und/oder Zweck der personenbezogenen Datenanwendungen

In früheren Fassungen der DSG-VO hat man noch versucht, diesen Begriff abhängig von der Anzahl der mit der Bearbeitung beschäftigten Mitarbeiter oder betroffenen Personen zu quantifizieren. Die endgültige Fassung der DSG-VO verzichtet auf eine derartige Quantifizierung udn trägt damit nicht unerheblich zur Auslegungsunsicherheit bei.

Die Art.29 Gruppe empfiehlt vor allem nachfolgende Faktoren bei der Beurteilung von Art, Umfang und/oder Zweck der personenbezogenen Datenanwendung zu beachten:

  • Anzahl der betroffene Personen, als absolute bzw relative Zahl des betroffenen Personenkreises
  • Umfang und/oder Bandbreite der verschiedenen, verarbeiteten Daten
  • die Dauer der Verarbeitungsaktivitäten
  • die geografische Ausbreitung der Verarbeitungsaktivitäten

Datenanwendungen die aufgrund ihrer Art, ihres Umfangs und/oder ihres Zweckes die Bestellung eines Datenschutzbeauftragten lt Leitfaden notwendig machen wären ua die Verarbeitung

  • von Kundendaten im regulären Geschäft einer Versicherung oder Bank
  • von personenbezogenen Daten für verhaltensorientierte Werbung

Umfangreiche regelmäßige und systematische Überwachung

Hiermit sind alle Formen des umfangreichen Trackings und Profilings von personenbezogenen Daten für verhaltensorientierte Werbung, Retargeting, Scoring, Gesundheitsdatenmonitoring uvam gemeint.

Der Begriff „regelmäßig“ umfasst dabei andauernde, regelmäßige, ständige oder periodische Verarbeitungsaktivitäten. Der Begriff „systematisch“ bezieht sich auf einem System folgende, organisierte, methodische, geplante und strategische Verarbeitungsaktivitäten.

Fazit

Der Leitfaden der Art.29-Gruppe stellt eine wertvolle Orientierungshilfe für die Entscheidung hinsichtlich der Notwendigkeit zur Bestellung eines Datenschutzbeauftragten dar. Trotzdem werden in der Praxis weitere Fallkonstellationen auftauchen, in denen weiterhin nach klaren Antworten intensiv zu suchen sein wird.

Anmerkung: Oben angeführte Informationen stammen überwiegend  veröffentlichten, englischen Version des Leitfadens“Guidelines on Data Protection Officers“. Ich habe mich bemüht, die deutsche Übersetzung möglichst im Sinne des englischen Wortlauts und in Abstimmung mit den Begrifflichkeiten der deutschsprachigen DSG-VO durchzuführen. Sollten sich daraus etwaige Unklarheiten oder Missverständnisse ergeben, bitte ich Sie diese zu entschuldigen bzw mich zu informieren.

Links

Der Leitfaden der Art.29-Gruppe im englischsprachigen Original, „Guidelines on Data Protection Officers„.