Änderungen zur Bestellpflicht des Datenschutzbeauftragten

Wie schon hier geschrieben, wurde das DSAnpUG-EU Anfang des Monats vom Kabinett verabschiedet und wird nun hoffentlich möglichst schnell seinen Weg durch die Gesetzgebungs-Instanzen gehen. Dieses Gesetz sorgt auch für die Reform des Bundesdatenschutzgesetzes (BDSG) zum 25.05.2018.

Weniger Kriterien in der DSGVO

Die DSGVO schreibt nur in wenigen Fällen die Benennung eines Datenschutzbeauftragten vor (die Bestellung wird begrifflich in der DSGVO abgelöst durch die Benennung). Dies würde bedeuten, dass ohne das BDSG-neu in vielen Fällen kein Datenschutzbeauftragter zu benennen wäre. In Art. 37 regelt die DSGVO, dass sowohl für die Verarbeitung Verantwortliche als auch Auftragsverarbeiter einen Datenschutzbeauftragten benennen müssen, wenn

die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Das war es schon. Gegenüber dem alten BDSG würde zukünftig also der bislang häufigste Grund für eine Pflicht zur Benennung eines Datenschutzbeauftragten, nämlich die zahlenmäßige Grenze von 10 Personen, wegfallen.

Weitere Kriterien im BDSG-neu

Der Gesetzgeber hat mit dem BDSG-neu unter Nutzung der in Art. 37 DSGVO enthaltenen Öffnungsklausen, in § 36 weitere Kriterien einführt, welche die Pflicht zur Benennung auslösen. Hier wurde weitestgehend an Bewährtem festgehalten. So behält das BDSG-neu die Grenze von 10 Personen, die ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind als Kriterium für die Pflicht zur Benennung eines Datenschutzbeauftragten bei. Gleiches gilt für die bereits in der Vergangenheit bekannten Kriterien “Verarbeitung zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung”.

Neu: Datenschutz-Folgenabschätzung = Pflicht zur Benennung

Ein Kriterium kommt sogar neu hinzu: Nehmen der Verantwortliche oder Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen, ist ebenfalls ein Datenschutzbeauftragter zu benennen. Hiermit möchte man vermutlich das bisherige Kriterium “Verarbeitung von besonderen Arten personenbezogener Daten (§ 3 Abs. 9 BDSG)” ersetzen. Allerdings könnte es sein, dass hier etwas über das Ziel hinausgeschossen wird.

Was ist zukünftig mit Ärzten?

Eine Datenschutz-Folgenabschätzung ist nämlich laut Art. 37 Abs. 3 lit. b) unter anderem dann verpflichtend, wenn eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO erfolgt. Dieses dürfte beispielsweise bei Arztpraxen gegeben sein – und zwar bereits bei Einzelpraxen mit nur ein oder zwei Mitarbeitenden. Schließlich verarbeitet ein Arzt nahezu ausschließlich Gesundheitsdaten.

War das gewollt?

Ob das wirklich beabsichtigt war, ist fraglich. Ebenso fraglich ist, ob es tatsächlich so weit kommen wird. Schließlich wird den Aufsichtsbehörden in Art. 35 Abs. 5 die Möglichkeit eingeräumt, eine Liste von Arten von Verarbeitungsvorgängen zu erstellen, für die keine Datenschutz-Folgenabschätzung nötig ist. Diese unterliegen allerdings gem. Art. 35 Abs. 6 dem Kohärenzverfahren, sind also EU-weit abzustimmen. Unklar ist auch, ob die Aufnahme von Gesundheitsdienstleistungen in Arztpraxen in eine solche Liste nicht gegen Art. 37 Abs. 1 lit. c) verstieße. Dort werden für die Pflicht zur Benennung eines Datenschutzbeauftragten ein zweites Mal dieselben Kriterien wie für die Durchführung der Datenschutz-Folgenabschätzung aufgeführt. § 36 BDSG-neu könnte in diesem Zusammenhang also auch einfach nur als Klarstellung der in der DSGVO bereits enthaltenen Regelung interpretiert werden.

Wieder ein Fall für die Gerichte?

Vielleicht passt der Gesetzgeber diesen Teil bis zur endgültigen Verabschiedung noch an. Falls nicht, wird hier vermutlich die Rechtsprechung aktiv werden und für Klarheit sorgen müssen. Im Zweifel wird der EuGH als letzte Instanz alle Fragen ausräumen (müssen). Als problematisch könnte sich nun das Verbandsklagerecht erweisen. Sollten findige Verbraucherschutzverbände die Auffassung vertreten, dass hier ab 25.05.2018 durch kleinere Arztpraxen gegen die Regelungen der Pflicht zur Benennung von Datenschutzbeauftragten verstoßen wird, könnte es eine Klagewelle geben…

Meldepflicht für Datenschutzbeauftragte

Neu ist übrigens die in Art. 37 Abs. 7 definierte Verpflichtung, den Datenschutzbeauftragten der Aufsichtsbehörde zu melden. Anhand dieser Meldungen, bzw. anhand ausgebliebener Meldungen, könnten die Aufsichtsbehörden zukünftig tätig werden und auf Unternehmen, bei denen eine Pflicht zur Benennung vermutet wird, zugehen und “anlasslos” nachfragen…

Ist Ihr Unternehmen schon fit für DSGVO und BDSG-neu? Falls Sie unsicher sind: Rufen Sie uns an, wir ermitteln gemeinsam mit Ihnen den Handlungsbedarf und bereiten Sie auf die DSGVO vor.