Sobald die DSGVO am 25. Mai 2018 in Kraft tritt, muss in gewissen Unternehmen ein Datenschutzbeauftragter (Data Protection Officer, kurz DPO) bestellt sein (Art 37 DSGVO). Unternehmen müssen sich rechtzeitig Gedanken machen und schon vorab die notwendigen Vorkehrungen treffen, denn eine Übergangsfrist für die Bestellung eines DPO ist nicht vorgesehen. Zudem steht der Verstoß gegen die Bestellpflicht unter beachtlicher Strafandrohung – bis zu EUR 10 Mio. bzw. 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.
Aber wer ist künftig verpflichtet einen DPO zu bestellen? Eine Verpflichtung zur Bestellung eines DPO besteht einerseits für Behörden und öffentliche Stellen sowie andererseits für private Unternehmen, insbesondere wenn ihre Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht. Was bedeutet aber nun „Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen“? Diese ist dann gegeben, wenn es um die entscheidende Umsetzung der Unternehmensstrategie geht. Bei Steuerberatern, IT-Dienstleistern und Headhuntern wird der Hauptzweck der unternehmerischen Tätigkeit überwiegend in der Datenverarbeitung liegen und daher regelmäßig ein DPO zu bestellen sein. Nicht darunter fallen bloße routinemäßige Verwaltungsaufgaben. Die übliche Personalverwaltung (Führen von Personalakten, allgemeine Personaladministration) oder auch Videoüberwachung des Unternehmensgeländes stellen als bloße Nebentätigkeiten keine Kerntätigkeit dar, weshalb eine DPO-Bestellung nicht notwendig ist. Als weitere Voraussetzung für die Pflicht zur Bestellung eines DPO bei privaten Unternehmen muss entweder eine umfangreiche regelmäßige und systematische Überwachung oder die Verarbeitung von besonderen Kategorien von Daten vorliegen. Bei der umfangreichen und systematischen Überwachung kommt es auf die Anzahl der betroffenen Personen, das Ausmaß der Daten, die Dauer bzw. die Regelmäßigkeit der Verarbeitung sowie die örtliche Ausdehnung der Verarbeitung an. So wird beispielsweise die Verarbeitung von Kundendaten durch eine Versicherung oder Bank wie auch die Analyse des Surfverhaltens für die Ermittlung gezielter Werbung als umfangreiche Datenverarbeitung gelten. Besondere Kategorien von Daten betreffen z.B. personenbezogene Angaben über strafrechtliche Verurteilungen.
Zusammengefasst sollten folgende Punkte zur Bestellpflicht vorab im Unternehmen besprochen und das Ergebnis, ob eine solche Pflicht vorliegt oder nicht, schriftlich festgehalten werden:
- Werden zur Umsetzung der Unternehmensstrategie personenbezogene Daten verarbeitet?
- Handelt es sich bei der Verarbeitung um Verwaltungstätigkeiten (Führen von Personalakten) oder darüber hinausgehende Verarbeitungsvorgänge?
- Erfolgt eine Datenverarbeitung umfangreich und systematisch? Wie ist das Ausmaß, die Dauer, die Regelmäßigkeit und die örtliche Ausdehnung der Datenverarbeitung?
- Werden besondere Kategorien von Daten (= "sensible" Daten) verarbeitet?
Die Modalitäten der DPO-Bestellung
Wenn nun ein DPO zu bestellen ist, stellt sich die Frage, wie diese Bestellung zu erfolgen hat. Dabei ist zwischen der Bestellung des DPO nach der DSGVO (Organmandat) und dem schuldrechtlichen Vertragsverhältnis zwischen Unternehmen und DPO (hier kommt mitunter das Arbeitsrecht ins Spiel) zu unterscheiden. Für die Bestellung ist keine besondere Form vorgesehen, dennoch empfiehlt es sich, diese schriftlich (mit Angabe der Dauer der Bestellung) festzuhalten. Die Bestellung eines Konzern-DPO ist unter bestimmten Voraussetzungen nach der DSGVO ausdrücklich zulässig. Daneben ist – wie bereits erwähnt – das schuldrechtliche Verhältnis zum DPO zu klären und zu regeln. Dabei kommen vor allem Dienstvertrag und freier Dienstvertrag in Frage. Wird hingegen kein Vertrag geschlossen, greifen die allgemeinen Regelungen zum Auftrag. Ob ein Unternehmen einen internen oder externen DPO bestellt, bleibt diesem überlassen. Die bestellte Person muss über bestimmte persönliche, insbesondere fachliche Voraussetzungen verfügen (siehe Art 37 Abs 7 DSGVO). Zudem wird mit guten Gründen vertreten, dass nur eine natürliche Person zum DPO bestellt werden kann.
Tipps für die Praxis
Da keine Übergangsfrist für die Bestellung des DPO besteht, sollte eine Auseinandersetzung mit diesem Thema und eine etwaige Prüfung der Voraussetzungen für die Bestellpflicht rechtzeitig vorab vorgenommen werden. Mit 25.5.2018 muss für ein Unternehmen, das die Voraussetzungen nach § 37 DSGVO erfüllt, ein DPO bestellt sein. In diesem Zusammenhang ist auch die Frage zu klären, ob dieser intern oder extern bestellt werden soll, da sich hier je nach Unternehmensgröße und -ausrichtung unterschiedliche Anforderungen an den DPO ergeben. Kommt das Unternehmen zur Ansicht, dass kein DPO zu bestellen ist, sollten dieses Ergebnis der Prüfung sowie die Gründe dafür schriftlich dokumentiert werden.
Zwar ist für die DPO-Bestellung keine Formvorschrift vorgesehen, dennoch sollte diese aus mehreren Gründen schriftlich erfolgen und vor allem die Dauer der Bestellung (befristet oder unbefristet) genau regeln. Dabei ist zu bedenken, dass auch im Falle des Ausscheidens des DPO keine Übergangsfrist vorgesehen ist und daher umgehend ein neuer geeigneter DPO bestellt sein muss. Bei der Ausgestaltung der Bestellung sollte berücksichtigt werden, dass das Organmandat ohne vertragliche Regelung jederzeit zurückgelegt werden kann, auf (arbeits-)vertraglicher Seite aber noch Kündigungsfrist und -termin eingehalten werden müssen. Dieser Umstand ist bei der Ausgestaltung der Bestellung und der Gestaltung des Vertragsverhältnisses zu berücksichtigen.
Social-Media-Cookies sammeln Informationen darüber, wie Sie Inhalte von unserer Website über die sozialen Medien teilen, oder liefern Analysedaten zu Ihrem Nutzungsverhalten, wenn Sie zwischen Social-Media-Plattformen oder unseren Social-Media-Kampagnen und unseren eigenen Websites navigieren. Wir setzen diese Cookies ein, um die Mischung der Kommunikationswege zu optimieren, über die wir Ihnen unsere Inhalte zukommen lassen. Genauere Informationen zu den eingesetzten Tools finden Sie in unserer Datenschutzerklärung.