Alles rund um die Bestellpflicht – und warum ein externer Datenschutzbeauftragter immer sinnvoll ist
In wenigen Wochen wird sie drei Jahre alt: die Europäische Datenschutzgrundverordnung (DS-GVO). In vielen Kanzleien bestehen jedoch noch Unklarheiten – insbesondere rund um die Bestellung eines Datenschutzbeauftragten (DSB). Brauche ich in meiner Kanzlei überhaupt einen? Kann ich einen DSB intern oder extern bestellen? Muss ich diesen an die Aufsichtsbehörde melden? Und bin ich aus dem Schneider, falls ich nicht der Bestellpflicht unterliege? Diese und viele weitere Fragen beschäftigen die Kanzleien seit dem DS-GVO-Stichtag am 25. Mai 2018. In meinem heutigen Blog-Beitrag will ich Ihnen die Antworten liefern.
Wann besteht eine Pflicht zur Bestellung eines Datenschutzbeauftragten in der Kanzlei?
Nach der DS-GVO sind Verantwortliche – in den Kanzleien sind dies in der Regel die Geschäftsführer – unter bestimmten Voraussetzungen verpflichtet, einen Datenschutzbeauftragten zu ernennen. Es werden insgesamt sechs Voraussetzungen für die Bestellung eines Datenschutzbeauftragten beschrieben, für eine Bestellpflicht muss allerdings nur eine davon zutreffen. Für die meisten Kanzleien sind zwei der sechs nachfolgenden Kriterien relevant.
- In der Kanzlei sind mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Abs. 1 S. 1 BDSG).
Für die Prüfung einer Bestellpflicht sind mitzuzählen:
- Geschäftsführer/-in, Chef/Chefin, Inhaber/-in, Partner/-in
- Mitarbeiter in Telearbeit
- Praktikanten
- Freie Mitarbeiter
- Leiharbeiter
- Freiwillige
- Auszubildende
Was bedeutet ständig? Dieses Kriterium ist erfüllt, wenn die Datenverarbeitung zu den (arbeitsvertraglich/weisungsgemäß) zugeordneten Aufgaben zählt und nicht nur ausnahmsweise und ad hoc ohne dauerhafte Zuordnung erfolgt.
Was bedeutet automatisiert? Eine automatisierte Datenverarbeitung liegt vor, wenn für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten von den Beschäftigten Datenverarbeitungsanlagen wie PCs, Tablets oder Smartphones eingesetzt werden.
Wichtig: Es ist dabei egal, ob es sich um Voll- oder Teilzeitkräfte handelt. Ebenso irrelevant ist es, ob die Beschäftigtenzahl kurzzeitig unter oder über 20 Beschäftigten liegt. Entscheidend ist der auf ein Jahr zu betrachtende, durchschnittliche Personalbestand.
- Die Kerntätigkeit umfasst die umfangreiche Verarbeitung besonderer Kategorien von Daten oder strafrechtlicher Verurteilungen (Art. 37 Abs.1 Buchst. c DS-GVO).
Folgende Kriterien müssen kumulativ gegeben sein, um nach dieser Vorschrift die risikobasierte Benennungspflicht auszulösen:
- Verarbeitung von besonderen Kategorien von Daten nach Art. 9, 10 DS-GVO als Kerntätigkeit und
- im Rahmen einer umfangreichen Verarbeitung
Hinweis: Bei der Lohnbuchhaltung scheinen auf den ersten Blick die oben genannten Kriterien erfüllt zu sein. In den meisten Fällen ist der Prozess „Lohnbuchhaltung“ jedoch nicht die Kerntätigkeit der Kanzlei. Es gilt, individuell zu prüfen und zu entscheiden, ob dieses Kriterium relevant ist und eine DSB-Bestellpflicht auslöst.
- Es ist eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen (§ 38 Abs. 1 S. 2 1. HSBDSG in Verbindung mit Art. 35 DS-GVO).
Eine Kanzlei muss eine Datenschutz-Folgenabschätzung durchführen, sobald die Form der Datenverarbeitung, insbesondere bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, voraussichtlich ein hohes Risiko zur Folge hat. Ob eine DSFA durchzuführen ist, ergibt sich aus einer Abschätzung der Risiken der Verarbeitungsvorgänge („Schwellwertanalyse“).
- Verantwortlicher ist eine öffentliche Stelle oder Behörde (Art. 37 Abs. 1 Buchst. a DS-GVO). Hier muss immer ein Datenschutzbeauftragter benannt werden.
(Für Kanzleien im Regelfall nicht relevant.)
- Die Kerntätigkeit besteht in der umfangreichen oder systematischen Überwachung von betroffenen Personen (Art. 37 Abs. 1 Buchst. b DS-GVO).
Achtung: Überwachung meint nicht nur Videoüberwachung oder die Tätigkeiten von Detekteien und privaten Sicherheitsunternehmen, sondern z.B. auch die Nachverfolgung des Surfverhaltens im Internet oder des Kaufverhaltens durch ein Treueprogramm.
(Für Kanzleien im Regelfall nicht relevant.)
- Es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet (§38 Abs. 1 S. 2 2. HSBDSG).
(Für Kanzleien im Regelfall nicht relevant.)
Welche Personen können den Datenschutzbeauftragten für eine Kanzlei stellen?
Ein Datenschutzbeauftragter kann gemäß Art. 37 Abs. 6 DS-GVO sowohl intern als auch extern bestellt werden. Wichtig hierbei ist, dass bei der Bestellung des Datenschutzbeauftragten keine Interessenkollision entsteht. Dies ist der Fall, wenn der Datenschutzbeauftragte eine dieser Positionen bekleidet:
- Leitungs-, Chef- und Inhaberebene
- Leiter oder Verantwortlicher für die IT
- Familienangehöriger
Tipp: Fordern Sie ein unverbindliches Angebot für den externen Datenschutzbeauftragten bei der DATA Security GmbH an. (Kostenlos: Erstgespräch, ca. 60 Minuten)
Welche Aufgaben hat ein Datenschutzbeauftragter?
Der DSB hat nach Art. 39 DS-GVO folgende Aufgaben:
- Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Datenschutz-Pflichten (lit. a)
- Überwachung der Einhaltung der Datenschutzvorschriften sowie der Strategien des Verantwortlichen (Kanzlei) für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen (lit. b)
- Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO und Überwachung ihrer Durchführung (lit. c)
- Zusammenarbeit mit der Aufsichtsbehörde (lit. d) und Tätigkeit als Anlaufstelle für die Aufsichtsbehörde (lit. e)
- Hinzu kommt die Beratung der betroffenen Personen zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß der DS-GVO im Zusammenhang stehenden Fragen (Art. 38 Abs. 4 DS-GVO).
Muss die Kanzlei ihren Datenschutzbeauftragten melden?
Da die DS-GVO lediglich von einer Benennung des Datenschutzbeauftragten spricht, ist eine Schriftform – im Gegensatz zum § 4f Abs. 1 S. 1 BDSG-alt – nicht mehr vorgeschrieben. Aus Beweisgründen im Hinblick auf die Nachweispflichten gemäß Art. 24 Abs. 1 DS-GVO und Art. 5 Abs. 2 DS-GVO und zur Rechtssicherheit ist es jedoch empfehlenswert, die Benennung eines DSB in geeigneter Form zu dokumentieren. Die bereits vor Geltung der DS-GVO und dem BDSG-neu unterzeichneten Bestellungsurkunden gelten vor diesem Hintergrund fort. Die Urkunde und etwaige darin enthaltenen Zusatzvereinbarungen und Aufgabenzuweisungen sollten auf ihre Vereinbarkeit mit den neuen Regelungen der DS-GVO überprüft und gegebenenfalls angepasst werden.
Die Aufsichtsbehörden haben für diesen Zweck zudem ein eigenes Portal auf der jeweiligen Website geschaffen, damit die verantwortliche Stelle (Kanzlei) ihren Datenschutzbeauftragten bei der für sie zuständigen Aufsichtsbehörde melden kann.
Die jeweils zuständige Aufsichtsbehörde finden Sie hier:
Liste der Aufsichtsbehörden für den nicht-öffentlichen Bereich
Fazit:
Durch die Lockerung der Bestellpflicht und die Erhöhung der Grenze von 10 auf 20 Mitarbeiter könnte der Eindruck entstehen, dass damit ebenfalls eine Lockerung der datenschutzrechtlichen Anforderungen für Kanzleien erfolgt ist. Leider ist dies nicht der Fall. Und auch wenn Sie keinen Datenschutzbeauftragten benötigen sollten, kann es trotzdem sinnvoll sein, einen zu bestellen, da dieser die notwendigen Fachkenntnisse mitbringt und Ihnen hilft, Ihre Prozesse datenschutzkonform zu gestalten.
Apropos Prozesse – wissen Sie, ob in Ihrer Kanzlei alle Prozesse DS-GVO-konform ablaufen? Erfahren Sie dazu mehr in unserem nächsten Blogbeitrag.
Quellen: