ds-gvo one stop shop oss bdsg-neu datenschutzbeauftragter benennung bestellpflicht werbung drittstaaten transfer google analytics verboten

BSDG-neu: Was ändert sich an der Bestellpflicht für Datenschutzbeauftragte?

/von

Wie schon hier geschrieben, wurde das DSAnpUG-EU Anfang des Monats vom Kabinett verabschiedet und wird nun hoffentlich möglichst schnell  seinen Weg durch die Gesetzgebungs-Instanzen gehen. Dieses Gesetz sorgt auch für die Reform des Bundesdatenschutzgesetzes (BDSG) zum 25.05.2018.

Weniger Kriterien in der DSGVO

Die DSGVO schreibt nur in wenigen Fällen die Benennung eines Datenschutzbeauftragten vor (die Bestellung wird begrifflich in der DSGVO abgelöst durch die Benennung). Dies würde bedeuten, dass ohne das BDSG-neu in vielen Fällen kein Datenschutzbeauftragter zu benennen wäre. In Art. 37 regelt die DSGVO, dass sowohl für die Verarbeitung Verantwortliche als auch Auftragsverarbeiter einen Datenschutzbeauftragten benennen müssen, wenn

  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Das war es schon. Gegenüber dem alten BDSG würde zukünftig also der bislang häufigste Grund für eine Pflicht zur Benennung eines Datenschutzbeauftragten, nämlich die zahlenmäßige Grenze von 10 Personen, wegfallen.

Weitere Kriterien im BDSG-neu

Der Gesetzgeber hat mit dem BDSG-neu unter Nutzung der in Art. 37 DSGVO enthaltenen Öffnungsklausen, in § 36 weitere Kriterien einführt, welche die Pflicht zur Benennung auslösen. Hier wurde weitestgehend an Bewährtem festgehalten. So behält das BDSG-neu die Grenze von 10 Personen, die ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind als Kriterium für die Pflicht zur Benennung eines Datenschutzbeauftragten bei. Gleiches gilt für die bereits in der Vergangenheit bekannten Kriterien “Verarbeitung zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung”.

Neu: Datenschutz-Folgenabschätzung = Pflicht zur Benennung

Ein Kriterium kommt sogar neu hinzu:  Nehmen der Verantwortliche oder Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen, ist ebenfalls ein Datenschutzbeauftragter zu benennen. Hiermit möchte man vermutlich das bisherige Kriterium “Verarbeitung von besonderen Arten personenbezogener Daten (§ 3 Abs. 9 BDSG)” ersetzen. Allerdings könnte es sein, dass hier etwas über das Ziel hinausgeschossen wird.

Was ist zukünftig mit Ärzten?

Eine Datenschutz-Folgenabschätzung ist nämlich laut Art. 37 Abs. 3 lit. b) unter anderem dann verpflichtend, wenn eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO erfolgt. Dieses dürfte beispielsweise bei Arztpraxen gegeben sein – und zwar bereits bei Einzelpraxen mit nur ein oder zwei Mitarbeitenden. Schließlich verarbeitet ein Arzt nahezu ausschließlich Gesundheitsdaten.

War das gewollt?

Ob das wirklich beabsichtigt war, ist fraglich. Ebenso fraglich ist, ob es tatsächlich so weit kommen wird. Schließlich wird den Aufsichtsbehörden in Art. 35 Abs. 5 die Möglichkeit eingeräumt, eine Liste von Arten von Verarbeitungsvorgängen zu erstellen, für die keine Datenschutz-Folgenabschätzung nötig ist. Diese unterliegen allerdings gem. Art. 35 Abs. 6 dem Kohärenzverfahren, sind also EU-weit abzustimmen. Unklar ist auch, ob die Aufnahme von Gesundheitsdienstleistungen in Arztpraxen in eine solche Liste nicht gegen Art. 37 Abs. 1 lit. c) verstieße. Dort werden für die Pflicht zur Benennung eines Datenschutzbeauftragten ein zweites Mal dieselben Kriterien wie für die Durchführung der Datenschutz-Folgenabschätzung aufgeführt. § 36 BDSG-neu könnte in diesem Zusammenhang also auch einfach nur als Klarstellung der in der DSGVO bereits enthaltenen Regelung interpretiert werden.

Wieder ein Fall für die Gerichte?

Vielleicht passt der Gesetzgeber diesen Teil bis zur endgültigen Verabschiedung noch an. Falls nicht, wird hier vermutlich die Rechtsprechung aktiv werden und für Klarheit sorgen müssen. Im Zweifel wird der EuGH als letzte Instanz alle Fragen ausräumen (müssen). Als problematisch könnte sich nun das Verbandsklagerecht erweisen. Sollten findige Verbraucherschutzverbände die Auffassung vertreten, dass hier ab 25.05.2018 durch kleinere Arztpraxen gegen die Regelungen der Pflicht zur Benennung von Datenschutzbeauftragten verstoßen wird, könnte es eine Klagewelle geben…

Meldepflicht für Datenschutzbeauftragte

Neu ist übrigens die in Art. 37 Abs. 7 definierte Verpflichtung, den Datenschutzbeauftragten der Aufsichtsbehörde zu melden. Anhand dieser Meldungen, bzw. anhand ausgebliebener Meldungen, könnten die Aufsichtsbehörden zukünftig tätig werden und auf Unternehmen, bei denen eine Pflicht zur Benennung vermutet wird, zugehen und “anlasslos” nachfragen…

Ist Ihr Unternehmen schon fit für DSGVO und BDSG-neu? Falls Sie unsicher sind: Rufen Sie uns an, wir ermitteln gemeinsam mit Ihnen den Handlungsbedarf und bereiten Sie auf die DSGVO vor.


Diesen Beitrag teilen

Das könnte Dich auch interessieren
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungBesondere Kategorien personenbezogener Daten nach der DSGVO
besondere kategorien 9Serie Rechtsgrundlagen: Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO
datenpanne finnland psychotherapieDatenpanne in Finnland – Psychotherapiedaten gehackt!
home office telearbeit mobiles arbeiten videokonferenz datenschutzhinweise webseiteVideokonferenzsysteme – sind die Vorgaben des Datenschutzes erfüllt?
datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigertDatenverarbeitung zu Werbezwecken unter der DSGVO
fotos datenschutz kugAnfertigung und Veröffentlichung von Fotoaufnahmen – was ist erlaubt?