DSGVO im Fokus: Der Datenschutzbeauftragte und wann er eingestellt werden muss

Man darf getrost davon ausgehen, dass Unternehmen in der EU (und den USA), die von der Datenschutz-Grundverordnung (DSGVO) betroffen sind, die Zeitpläne ihrer Compliance-Projekte derzeit etwas genauer unter die Lupe nehmen. Die DSGVO soll ab Mai 2018 in Kraft treten, es bleibt also nicht mehr viel Zeit.

Im Rahmen der neuen Verordnung gibt es noch viele ungeklärte Fragen. Fragen, die auch die Regulierungsbehörden noch nicht eindeutig beantwortet haben. Eine davon: Unter welchen Umständen muss ein Unternehmen einen Datenschutzbeauftragten einstellen?

Die DSGVO sieht drei Szenarien vor (siehe Artikel 37), in denen ein Datenschutzbeauftragter benannt werden muss: wenn die Kerntätigkeit a) die Verarbeitung personenbezogener Daten durch eine Behörde oder öffentliche Stelle umfasst, b) eine „umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen“ beinhaltet oder c) die umfangreiche Verarbeitung besonderer Kategorien von Daten erforderlich macht, darunter biometrische, genetische und standortbezogene Daten.

In Unternehmen der zweiten Kategorie, vermutlich die größte Gruppe, fragt man sich, was genau mit „regelmäßige und systematische Überwachung“ und „umfangreich“ gemeint ist. Sogar Nichtjuristen ist aufgefallen, dass der Wortlaut der Bestimmungen einigermaßen schwammig bleibt. Selbst wenn man bei Juristen und DSGVO-Spezialisten nachfragt, erhält man oft nur die Antwort, dass man weitere Hinweise der Regulierungsbehörden abwarten müsse.

Und so sprach die Artikel-29-Datenschutzgruppe…

Die „Artikel-29-Datenschutzgruppe“ (G29) fungiert als eine Art übergeordneter Datenschutzbehörde, die gemäß DSGVO Empfehlungen abgeben und für eine einheitliche Ausrichtung der nationalen Datenschutzbehörden sorgen soll.

Letzten Monat veröffentlichte die G29 Leitlinien zu den unklaren Kriterien für die Benennung von Datenschutzbeauftragten. Und wer die Entstehung der DSGVO mitverfolgt hat, hat feststellen können, dass die Bestimmungen zu Datenschutzbeauftragten zu den eher umstrittenen Klauseln gehörten. An der Frage, ob die Benennung eines Datenschutzbeauftragten obligatorisch oder optional sein und worin überhaupt die Grundvoraussetzungen bestehen sollten, schieden sich die Geister. Die einen waren der Ansicht, die Mitarbeiterzahl des Unternehmens (250) sollte ausschlaggebend sein, andere hielten die Zahl der verarbeiteten personenbezogenen Datensätze (500) für entscheidender.

Die beteiligten Parteien – EU-Kommission, Parlament und Rat – einigten sich schließlich darauf, dass die Benennung eines Datenschutzbeauftragten obligatorisch sei, entschieden sich jedoch gegen die Festsetzung von Schwellenwerten. Das heißt, dass sich die Betroffenen weiterhin mit einer mehrdeutigen Formulierung herumschlagen müssen.

Immerhin, die neuen Leitlinien bringen zumindest etwas Licht ins Dunkel.

Laut der G29 bedeutet „regelmäßig und systematisch“ im normalen Sprachgebrauch, dass eine vorab geplante Tätigkeit im Laufe der Zeit wiederholt durchgeführt wird.

Was aber bedeutet „umfangreich“?

Bei dieser Frage müssen laut G29 die folgenden Faktoren berücksichtigt werden:

  • die Anzahl der betroffenen Personen, in Zahlen oder in Prozent der relevanten Bevölkerungsteile ausgedrückt
  • die Datenmenge und/oder die Bandbreite der verarbeiteten Datenelemente
  • die Dauer oder Konstanz der Datenverarbeitungsvorgänge
  • die räumliche Ausdehnung der Verarbeitungsvorgänge

Wir alle überwachen Online-Aktivitäten

Man beginnt zu ahnen, was den Gesetzgeber bei der Eingrenzung der Faktoren umgetrieben hat. Klar und eindeutig ist aber noch nichts. Versicherungsgesellschaften, Banken und Einzelhändler, die personenbezogene Daten von Millionen von Kunden erheben, benötigen also einen Datenschutzbeauftragten.

Was aber ist mit einem vergleichsweise kleinen Internet-Start-up, das mit einer Handvoll Mitarbeiter durchaus umfassende Überwachungsaktivitäten durchführen kann. Nehmen wir an, die kostenlose Webanwendung des Unternehmens verzeichnet jeden Monat Zehntausende oder Hunderttausende Besucher. Über die Website des Start-ups werden keine oder nur sehr wenige personenbezogene Daten erfasst. In erster Linie werden die Browseraktivitäten mithilfe von Cookies oder mit anderen Methoden überwacht. Ein Beispiel sind kostenlose Plattformen, vor allem Nachrichtenseiten. An der jeweils angezeigten Werbung ist gut ersichtlich, inwieweit die Vorlieben der Nutzer bekannt sind.

Doch gemäß Leitlinien und Klauseln der DSGVO ist die Überwachung der Online-Aktivitäten genau die Art von Überwachung, die in den Bestimmungen zum Datenschutzbeauftragten erwähnt wird.

Man gewinnt so den Eindruck, dass jedes Unternehmen, das über eine einigermaßen gut besuchte Website verfügt, einen Datenschutzbeauftragten benennen muss. Und darunter fallen zahlreiche B2B-Unternehmen, die im Vergleich zum B2C-Bereich nicht unbedingt einen großen Kundenstamm haben. Eine Bestätigung dieser Interpretation findet sich beispielsweise in diesem Artikel eines Juristen-Blogs.

An diesem Punkt herrschen also noch große Verwirrung und juristischer Klärungsbedarf. Bis dahin empfehlen wir einen Artikel, verfasst von einem der klugen Köpfe der internationalen Vereinigung von Datenschutzexperten IAPP zur Lektüre.