Wer muss einen Datenschutzbeauftragten bestellen?

Ausnahmslos jedes Unternehmen muss Daten schützen. So viel ist bereits klar geworden. Wie sieht es aber aus mit der Frage, ob ein Datenschutzbeauftragter bestellt werden muss? Es gibt insgesamt 5 Gründe für eine Bestellpflicht. Sämtliche Regelungen finden sich in § 4f BDSG. (Die Experten unter Ihnen mögen bitte die Vereinfachungen in den folgenden Ausführungen verzeihen...)

10 Mitarbeiter nutzen pDaten am Computer

Wenn in einem Unternehmen mindestens 10 Mitarbeiter mit personenbezogenen am Computer umgehen, so ist die Bestellung eines Datenschutzbeauftragten verpflichtend. Eine solcher Umgang wäre beispielsweise die Bearbeitung von E-Mails.

Gezählt werden beispielsweise die Mitarbeiter der EDV-Abteilung, Personalabteilung und Vertrieb. Dabei machen Halbtagskräfte, Auszubildende, Praktikanten, Volontäre, Ehrenamtler oder Leiharbeitnehmer keine Ausnahme.

Zu berücksichtigen sind möglicherweise auch Vorstände und Geschäftsführer. Der Kommentar "Bergmann, Möhrle, Herb" verneint die Relevanz dieser Organe in RdNr. 29 zu § 4f BDSG (Stand April 2013); ebenso "Däubler, Klebe, Wedde, Weichert" in RdNr. 15 zu § 4f BDSG (Stand 2014). Der Kommentar "Taeger/Gabel" in RdNr. 19 zu § 4f BDSG hingegen bezieht diese Organe mit ein (Stand: 2013). Andere Kommentatoren, viele Fachzeitschriften und auch die Aufsichtsbehörden äußern sich nicht erkennbar zu dieser Frage.
[Anmerkung: Im § 4f BDSG bis 2009 wurde explizit von "Arbeitnehmern" gesprochen, was so gesehen diese Organe ausschließen würde. Doch seit 2009 ist nur noch von "Personen" die Rede. Möglicherweise haben die Kommentatoren vergessen, die entsprechende Stelle anzupassen. Sachlich gesehen - also aus Sicht der Betroffenen - spricht jedenfalls nichts dafür, dass diese Organe bei der Zählung ausgenommen werden sollten.]

Auch längerfristige Urlaubsvertretungen (länger als 3 Monate) müssen wohl eher berücksichtigt werden. Eine feste zeitliche Grenze gibt es zwar nicht, aber dieser Zeitraum lässt sich vernünftigerweise annehmen.

Bei freiberuflich tätigen Personen wird die Einschätzung schon schwieriger. Sollte dieser Personenkreis einen aktiven Zugriff auf die fraglichen personenbezogenen Daten haben, so sollten sie wohl mitgezählt werden. [Siehe Taeger/Gabel RdNr. 20 zu § 4f BDSG]. Davon wären unter diesen Umständen auch freie Handelsvertreter betroffen.

20 Mitarbeiter nutzen pDaten auf sonstige Weise

Aber auch jenseits des Computers gibt es eine Bestellpflicht, wenn mehr als 20 Mitarbeiter auf "andere Weise" mit personenbezogenen Daten umgehen. Hier ist alles denkbar: Das manuelle Ausfüllen von personenbezogenen Checklisten, oder die Nutzung von personenbezogenen Lieferscheinen zur Auslieferung, oder das Vernichten von personenbezogenen Papierunterlagen, oder die Telefonakquise hinsichtlich Privatpersonen, oder das Kouvertieren von postalischen Mailings an Privatpersonen.

(Interessant und eher ungeklärt ist die Frage der Bestellpflicht, wenn 9 Mitarbeiter am PC und 19 Mitarbeiter auf Formularen mit personenbezogenen Daten umgehen. Zunächst wäre in beiderlei Hinsicht keine Bestellpflicht gegeben; vermutlich wird man aber eher irgendeine Art der Summenbildung vornehmen müssen.)

Das Unternehmen "handelt" mit personenbezogenen Daten

Sollten die personenbezogenen Daten für das Unternehmen eine Art "Handelsware" darstellen, so ist ein Datenschutzbeauftragter zu bestellen.

Das Unternehmen betreibt Markt- und Meinungsforschung

Betreibt das Unternehmen Markt- und Meinungsforschung, so ist ebenfalls ein Datenschutzbeauftragter zu bestellen.

Das Unternehmen verarbeitet Daten auf "brisante" Weise

Wenn der Umgang mit den personenbezogenen Daten für die Betroffenen ganz besondere Risiken bergen (z.B. bei intensiver Videoüberwachung oder Leistungs- und Verhaltenskontrollen), so kann die Bestellung eines Datenschutzbeauftragten verpflichtend sein.
Dies gilt aber nur dann, wenn diese Datenverarbeitung weder gesetzlich geboten ist, noch der Vertragserfüllung dient, noch eine Einwilligung zugrunde liegt. Oder anders ausgedrückt: Diese Regelung gilt nur dann, wenn es ausschließlich den betrieblichen Interessen dient.

WANN ist der Datenschutzbeauftragte zu bestellen?

Der Datenschutzbeauftragte ist so schnell wie möglich zu bestellen. Gemäß § 4f Abs. 1 BDSG hat dies spätestens innerhalb eines Monats nach Aufnahme der Tätigkeit zu erfolgen.

Und wenn man dieser Bestellpflicht nicht nachkommt?

Eine unterlassene Bestellung eines Datenschutzbeauftragten ist eine Ordnungswidrigkeit und kann gemäß § 43 Abs. 1 Nr. 2 BDSG mit bis zu 50.000 € Bußgeld geahndet werden. Falls die Aufsichtsbehörde den DSB für nicht kompetent oder geeignet hält, so wird er abgesetzt und das Unternehmen so beurteilt, als hätte es nie einen DSB gehabt. Als Folge kann auch hier ein Bußgeld verhängt werden.

Ein prominenter Fall war im August 2014 ein Unternehmen, welches bundesweit 33 Waschstraßen betreibt. Hier wurde kein Datenschutzbeauftragter bestellt (weshalb vermutlich der Umgang mit den Videokameras so katastrophal ausfiel). Die Datenschutzaufsichtsbehörde NRW hat augrund der fehlenden DSB-Bestellung ein Bußgeld von 10.000 € verhängt.

Mindestens genauso wichtig ist für ein Unternehmen aber auch eine andere Auswirkung: Im Rahmen des weit verbreiteten Outsourcings erwarten immer mehr Unternehmen, dass die Sub-Unternehmer den Datenschutz achten und einen Datenschutzbeauftragten bestellen. Wer dem nicht nachkommt, der muss damit rechnen seine Auftraggeber zu verlieren.

Demzufolge müssen immer mehr Branchen bei der Neukundengewinnung die Bestellung eines Datenschutzbeauftragten nachweisen. Schon allein in dieser Hinsicht zahlt sich ein Datenschutzbeauftragter schnell aus.