Zur Navigation springen Zum Inhalt springen Zum Footer springen

DSGVO und beliehene Handwerker

  • 2 Minuten Lesezeit

Seit Inkrafttreten der DSGVO ergibt sich für Unternehmen, die personenbezogene Daten verarbeiten eine Vielzahl an Pflichten. Neben der Ergreifung technischer und organisatorischer Maßnahmen zur Sicherheit der Datenverarbeitung (Art. 32 DSGVO) müssen Verantwortliche unter den Voraussetzungen des Art. 37 DSGVO einen Datenschutzbeauftragten (DSB) bestellen.

Dies ist z.B. der Fall, wenn die Datenverarbeitung von einer Behörde oder einer anderen öffentlichen Stelle durchgeführt wird oder, wenn die Kerntätigkeit des Verantwortlichen oder seines Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, Umfangs oder Zwecks eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht.

Ferner bedarf es die Bestellung eines DSB, wenn die Kerntätigkeit des Verantwortlichen bzw. seines Auftragsverarbeiters in der Verarbeitung personenbezogener Daten der besonderen Kategorie (Art. 9 DSGVO) besteht.

So klar diese gesetzlich geregelte Benennungspflicht auf den ersten Blick erscheint, ergeben sich im Einzelfall Schwierigkeiten bei der Frage, wer Verantwortlicher in diesem Sinne ist oder ob Unternehmen, aufgrund der ihr übertragenen Aufgaben, gar als «Behörde» anzusehen sind und daher die oben dargestellte Bestellungspflicht Anwendung findet.

Abgrenzungsschwierigkeiten ergeben sich z.B. bei sogenannten «Beliehenen». Dies sind Berufsgruppen, welche zwar privatrechtlich organisiert sind und am freien Markt handwerklich-gewerbliche Dienstleistungen anbieten und zugleich als Beliehene hoheitliche Aufgaben für den Staat wahrnehmen. Aufgrund der Bestellungspflicht ist daher fraglich, ob diese Beliehenen die, wie bspw. das Schornsteinfegerwesen oder Werkstätten die Kfz-Betriebstauglichkeitsuntersuchungen erbringen, damit eine Doppelnatur haben, als «Behörde» eingestuft werden müssen.

Dazu hat sich das Unabhängige Datenschutzzentrum des Saarlandes geäußert. Nach dessen Ansicht sind bestimmte Tätigkeiten immer noch den bevollmächtigten Bezirksschornsteinfegern vorbehalten, welche hierbei als «Beliehene» tätig werden. Grund hierfür sei das Schornsteinfeger-Handwerksgesetz, welche diesen Beliehenen für bestimmte Tätigkeiten die Zuständigkeit zuweise. Daher sind Bezirksschornsteinfeger im Rahmen dieser übertragenen Aufgabe als Verantwortliche im Sinne des Art. 4 Nr.7 DSGVO anzusehen, da sie über Zweck und Mittel der Datenverarbeitung personenbezogener Daten entscheiden. Zudem trifft sie daher die Plicht aus Art. 37 Abs.1 lit. a DSGVO einen Datenschutzbeauftragten zu bestellen, welcher die Pflichten und Aufgaben der Art. 38 ff. DSGVO wahrzunehmen hat.

Neben dem Schornsteinfegerwesen stellt sich die gleiche Problematik auch bei Kfz-Werkstätten, welche eine Betriebstauglichkeitsprüfung durchführen wie z.B. der TüV.

Denn nach der Straßenverkehrs-Zulassungs-Ordnung (StVZO, Nr. 1.1 Anlage VIII c) sind sie anerkannte «AU-Werkstätten» die neben den üblichen Werkleistungen, Abgasuntersuchungen anbieten, die wiederum einen eigenständigen Teil der -ansonsten durch einen anerkannten Prüfingenieur wie z.B. TüV, Dekra, GTÜ oder KÜS durchgeführten - Hauptuntersuchung (HU) darstellen (Anlage VIII StVZO Nr. 3.1.1.1).

Auch hier handeln diese Stellen bei der Wahrnehmung ihrer gesetzlich übertragenen, hoheitlichen Aufgaben für den Staat als Beliehene, sodass auch hier die Bestellungspflicht des Art.37 Abs.1 lit.a DSGVO greift.

Dass mit dieser Bestellungspflicht gerade auch für kleinere Betriebe ein nicht unerheblicher organisatorischer und finanzieller Aufwand verbunden ist - unabhängig davon, ob nun ein innerbetrieblicher DSB eingerichtet wird oder ein externer DSB mit der Wahrnehmung der Pflichten beauftragt wird -  hat das Unabhängige Datenschutzzentrum des Saarlandes gesehen und berücksichtigt, dass es sich bei dieser Teiluntersuchung nur um einen untergeordneten Teil der insgesamt anfallenden (Prüf-) Arbeiten handelt. So soll die Bestellung eines gemeinsamen DSB z.B. durch die jeweiligen Berufsinnungen, wie es Art. 37 Abs.3 DSGVO ermöglicht, eine mögliche Lösung sein um dieser Problematik Abhilfe zu verschaffen.

Zwar führt letztlich kein Weg an der Bestellungspflicht an sich vorbei, allerdings könnte sich ein gemeinsamer DSB für die Praxis durchsetzen. Dies wird die Zukunft zeigen müssen.


Marc E. Evers

Rechtsanwalt

zert. Datenschutzbeauftragter

zert. Datenschutz-Auditor


Rechtstipp aus den Rechtsgebieten Datenschutzrecht, Verwaltungsrecht, Öffentliches Recht

Artikel teilen:


Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Rechtstipps-Newsletter abonnieren

Neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter.

Newsletter jederzeit wieder abbestellbar.