Veranstaltungsort für Tagungen, Seminare, Produktpräsentationen oder Pressekonferenzen.
Informationen für private und gewerbliche Bauherrinnen und Bauherren, Städte und Kommunen.
DSGVO-Serie: Die Bestellung ist unter bestimmten Voraussetzungen verpflichtend.
Von Denise Primus und Dr. Daniel Schneidenbach, Rechtsanwälte bei Schlatter Rechtsanwälte Steuerberater PartG mbB, Heidelberg
Am 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Hierin ist auch die Verpflichtung zur Bestellung eines Datenschutzbeauftragten (DSB) enthalten. Im Folgenden wird erläutert, unter welchen Voraussetzungen ein DSB zu bestellen ist, welche Personen hiermit beauftragt werden können, und welche Aufgaben der DSB erfüllen muss.
Pflicht zur Bestellung?
Eine Pflicht zur Bestellung eines DSB ist gegeben, wenn entweder Verarbeitungen personenbezogener Daten die Kerntätigkeit des Unternehmens darstellen oder in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten (E-Mail-Account/Computer mit Zugang zu personenbezogenen Daten Dritter) befasst sind.
Da die Kerntätigkeit eines Architekturbüros in der Objekt- oder Freianlagenplanung besteht, sind Architekturbüros in aller Regel erst dann zur Bestellung eines DSB verpflichtet, wenn regelmäßig mindestens zehn Personen im Büro ständig personenbezogene Daten automatisiert verarbeiten.
Hierfür sei nach bisheriger Auffassung des Landesbeauftragten für Datenschutz von Baden- Württemberg zum alten Datenschutzrecht und der aktuellen Auffassung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit eine auch nur gelegentliche automatisierte Verarbeitung personenbezogener Daten ausreichend. Auf den Anteil an der Gesamttätigkeit des Einzelnen komme es hierbei nicht an. Demgegenüber wird für den Freistaat Bayern die Auffassung vertreten, dass nur solche Personen mitgezählt werden, deren Schwerpunkt die automatisierte Verarbeitung personenbezogener Daten darstellt (so Kranig in DAB 10-18, Seite 42). Jedenfalls empfehlen wir in Baden-Württemberg und Hessen solange keine gefestigte neue Rechtsauffassung oder Rechtsprechung bekannt ist, dass jede im Architekturbüro tätige Person mit E-Mail-/Computer-Account zur Nutzung der Kontaktdaten der Kunden, Geschäftspartner etc. mitzuzählen ist.
Hierbei ist auch zu beachten, dass der Begriff des personenbezogenen Datums weit definiert ist. Es genügt jede Angabe, die sich auf eine bestimmte oder bestimmbare natürliche Person bezieht (z.B. E-Mail-Adresse mit Namensbestandteilen). Erfasst sind sämtliche Daten, die sich auf konkrete oder konkretisierbare Personen beziehen (Name, Telefonnummer, in der Regel E-Mail-Adresse, d.h. z.B. auch die Daten eines Geschäftsführers einer GmbH). Bei der Zählung kommt es auf die Kopfzahl, nicht die Anzahl der Arbeitsstunden oder den Status der Person als Inhaber, Angestellter oder freier Mitarbeiter an. Gibt es planmäßig dagegen z.B. eine Stelle für einen Praktikanten/ Werkstudenten und wird die Stelle mit wechselnden Personen über das Jahr besetzt, zählt die Stelle, nicht die Zahl der Personen, die diese Stelle besetzt haben.
Person des DSB
Es kann sowohl ein interner, d.h. ein eigener Mitarbeiter, als auch ein externer DSB eingesetzt werden. Beides hat Vor- und Nachteile. In beiden Fällen ist jedoch darauf zu achten, dass der DSB seine Aufgaben unabhängig, d.h. ohne Einschränkungen in Bezug auf seine Kontroll- und Überwachungstätigkeit ausführen kann. Der DSB muss Qualifikationen/Fachwissen auf dem Gebiet des Datenschutzes mitbringen. Er berichtet unmittelbar der Geschäftsführung. Sowohl der interne als auch der externe DSB darf zudem nicht wegen der (ordnungsgemäßen) Erfüllung seiner Aufgaben abberufen oder benachteiligt werden.
Die Geschäftsführung/Unternehmensinhaber kommen als interne DSB nicht in Betracht, da sie bereits für die Einhaltung der datenschutzrechtlichen Regeln verantwortlich sind. Soll ein Mitarbeiter hiermit beauftragt werden, ist darauf zu achten, dass er nicht das Ergebnis seiner eigenen Tätigkeit kontrollieren darf, d.h. nicht in leitender Funktion tätig ist. Daher scheidet z.B. ein Personalabteilungsleiter ebenfalls aus. Bei der Bestellung eines Arbeitnehmers als internen DSB kommt außerdem hinzu, dass sodann besonderer Kündigungsschutz gilt: Die Abberufung als DSB kann nur aus wichtigem Grund erfolgen und eine ordentliche Kündigung dieses Arbeitnehmers ist bis zum Ablauf eines Jahres nach dem Ende der Tätigkeit als DSB unzulässig. Diesen Nachteilen bei der Bestellung eines eigenen Mitarbeiters stehen jedoch die Vorteile der in aller Regel jederzeitigen oder zumindest kurzfristigen Verfügbarkeit bei Rückfragen und der Kenntnis von den Arbeitsabläufen und Datenverarbeitungsvorgängen im Büro gegenüber.
Eine unabhängige Kontrolle kann demgegenüber wohl am besten durch einen externen DSB gewährleistet werden. Ein erheblicher Nachteil der Beauftragung eines bürofremden DSB ist jedoch, dass er sich zunächst in die Datenverarbeitungsvorgänge im Architekturbüro einarbeiten muss. Auch die zeitliche Verfügbarkeit kann bei externen Anbietern eingeschränkt sein. Bei der Auswahl eines externen DSB ist daher sorgfältig vorzugehen. Der mit ihm abzuschließende Vertrag sollte die Pflichten des DSB genau bezeichnen. In der Regel ist ein externer DSB meist teurer als ein interner DSB. Allerdings muss das Architekturbüro auch beim internen DSB sicherstellen, dass er für die Erfüllung seiner Aufgaben die erforderlichen Ressourcen, den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung gestellt bekommt. Es müssen ihm also Arbeitszeit und Arbeitsmittel (z.B. ein eigener Arbeitsplatz) für die Erfüllung seiner Aufgaben zur Verfügung gestellt sowie die erforderliche Fortbildung ermöglicht werden.
Aufgaben des DSB
Der DSB überwacht die Datenverarbeitung im Architekturbüro und die Einhaltung der hierzu maßgeblichen Gesetze. Der DSB steht aber auch der Geschäftsleitung und den Mitarbeitern stets als Berater bei der Umsetzung der datenschutzrechtlichen Vorschriften zur Verfügung. Er ist die Kontaktperson für die Aufsichtsbehörde und die von der Datenverarbeitung betroffene Personen.
Meldepflicht beachten
Der DSB muss der zuständigen Aufsichtsbehörde für den Datenschutz (meist Landesbeauftragter für den Datenschutz) gemeldet werden.
Praxishinweis
Die Pflicht zur Bestellung eines DSB sollte sorgfältig geprüft werden. Bei Verletzung der Bestellungspflicht können hohe Geldbußen von bis zu einer Million Euro bzw. bei Unternehmen auch bis zu zwei Prozent des Jahresumsatzes verhängt werden. Es können auch Abmahnungen durch Verbraucherschutzverbände oder Konkurrenten drohen.