Noch
bis zum neuen Datenschutzrecht nach der DS-GVO

Der externe Datenschutzbeauftragte

Als Dienstleister übernehme ich alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

BSDG-neu: Was ändert sich an der Bestellpflicht für Datenschutzbeauftragte?

21. Februar 2017

Wie schon hier geschrieben, wurde das DSAnpUG-EU Anfang des Monats vom Kabinett verabschiedet und wird nun hoffentlich möglichst schnell seinen Weg durch die Gesetzgebungs-Instanzen gehen. Dieses Gesetz sorgt auch für die Reform des Bundesdatenschutzgesetzes (BDSG) zum 25.05.2018.

Weniger Kriterien in der DS-GVO

Die DS-GVO schreibt nur in wenigen Fällen die Benennung eines Datenschutzbeauftragten vor (die Bestellung wird begrifflich in der DS-GVO abgelöst durch die Benennung). Dies würde bedeuteten, dass ohne das BDSG-neu in vielen Fällen kein Datenschutzbeauftragter zu benennen wäre. Und zwar regelt die DS-GVO in Art. 37, dass sowohl für die Verarbeitung Verantwortliche als auch Auftragsverarbeiter einen Datenschutzbeauftragten benennen müssen, wenn

  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Das war es schon. Gegenüber dem alten BDSG würde zukünftig also der bislang häufigste Grund für eine Pflicht zur Benennung eines Datenschutzbeauftragten, nämlich die zahlenmäßige Grenze von 10 Personen, wegfallen.

Weitere Kriterien im BDSG-neu

Der Gesetzgeber hat mit dem BDSG-neu unter Nutzung der in Art. 37 DS-GVO enthaltenen Öffnungsklauseln, in § 36 weitere Kriterien einführt, welche die Pflicht zur Benennung auslösen. Hier wurde weitestgehend an Bewährtem festgehalten. So behält das BDSG-neu die Grenze von 10 Personen, die ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind, als Kriterium für die Pflicht zur Benennung eines Datenschutzbeauftragten bei. Gleiches gilt für die bereits in der Vergangenheit bekannten Kriterien „Verarbeitung zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung“.

Neu: Datenschutz-Folgenabschätzung = Pflicht zur Benennung

Ein Kriterium kommt sogar neu hinzu:  Nehmen der Verantwortliche oder Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen, ist ebenfalls ein Datenschutzbeauftragter zu benennen. Hiermit möchte man vermutlich das bisherige Kriterium „Verarbeitung von besonderen Arten personenbezogener Daten (§ 3 Abs. 9 BDSG)“ ersetzen. Allerdings könnte es sein, dass hier etwas über das Ziel hinausgeschossen wird.

Was ist zukünftig mit Ärzten?

Eine Datenschutz-Folgenabschätzung ist nämlich laut Art. 37 Abs. 3 lit. b) unter anderem dann verpflichtend, wenn eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DS-GVO erfolgt. Dieses dürfte beispielsweise bei Arztpraxen gegeben sein – und zwar bereits bei Einzelpraxen mit nur ein oder zwei Mitarbeitenden. Schließlich verarbeitet ein Arzt nahezu ausschließlich Gesundheitsdaten.

War das gewollt?

Ob das wirklich beabsichtigt war, ist fraglich. Ebenso fraglich ist, ob es tatsächlich so weit kommen wird. Schließlich wird den Aufsichtsbehörden in Art. 35 Abs. 5 die Möglichkeit eingeräumt, eine Liste von Arten von Verarbeitungsvorgängen zu erstellen, für die keine Datenschutz-Folgenabschätzung nötig ist. Diese unterliegen allerdings gem. Art. 35 Abs. 6 dem Kohärenzverfahren, sind also EU-weit abzustimmen. Unklar ist auch, ob die Aufnahme von Gesundheitsdienstleistungen in Arztpraxen in eine solche Liste nicht gegen Art. 37 Abs. 1 lit. c) verstieße. Dort werden für die Pflicht zur Benennung eines Datenschutzbeauftragten ein zweites Mal dieselben Kriterien wie für die Durchführung der Datenschutz-Folgenabschätzung aufgeführt. § 36 BDSG-neu könnte in diesem Zusammenhang also auch einfach nur als Klarstellung der in der DS-GVO bereits enthaltenen Regelung interpretiert werden. 

Wieder ein Fall für die Gerichte?

Vielleicht passt der Gesetzgeber diesen Teil bis zur endgültigen Verabschiedung noch an. Falls nicht, wird hier vermutlich die Rechtsprechung aktiv werden und für Klarheit sorgen müssen. Im Zweifel wird der EuGH als letzte Instanz alle Fragen ausräumen (müssen). Als problematisch könnte sich nun das Verbandsklagerecht erweisen. Sollten findige Verbraucherschutzverbände die Auffassung vertreten, dass hier ab 25.05.2018 durch kleinere Arztpraxen gegen die Regelungen der Pflicht zur Benennung von Datenschutzbeauftragten verstoßen wird, könnte es eine Klagewelle geben…

Meldepflicht für Datenschutzbeauftragte

Neu ist übrigens die in Art. 37 Abs. 7 definierte Verpflichtung, den Datenschutzbeauftragten der Aufsichtsbehörde zu melden. Anhand dieser Meldungen, bzw. anhand ausgebliebener Meldungen, könnten die Aufsichtsbehörden zukünftig tätig werden und auf Unternehmen, bei denen eine Pflicht zur Benennung vermutet wird, zugehen und „anlasslos“ nachfragen…

Ist Ihr Unternehmen schon fit für DS-GVO und BDSG-neu? Falls Sie unsicher sind: Rufen Sie uns an, wir ermitteln gemeinsam mit Ihnen den Handlungsbedarf und bereiten Sie auf die DS-GVO vor.