Vorsicht: Bis zu 50.000,00 Euro Geldbuße bei Versäumnis Datenschutzbeauftragten zu bestellen

Das Thema Datenschutzrecht wird gerade bei kleineren Unternehmen häufig stiefmütterlich gehandhabt. Dabei sind gerade Datenschutzverstöße mit erheblichen Risiken und Sanktionen verbunden. Schon heute sieht das deutsche Bundesdatenschutzgesetz empfindliche Geldbußen und Strafen bei Verstößen vor. Diese Sanktionen werden sich jedoch ab Mai 2018 teilweise noch erheblich verschärfen, denn am 25.05.2018 wird die Datenschutzgrundverordnung (DSGVO) für alle EU-Mitgliedstaaten bindend sein. Das Bundesdatenschutzgesetz in der derzeitigen Fassung (Fassung der Bekanntmachung v. 14.01.2013, zuletzt geändert durch Gesetz vom 28.04.2017 (BGBl. I S. 968)) wird es nicht mehr geben. An die Stelle des „alten“ (vorgenannten) Bundesdatenschutzgesetzes wird ein „neues“ nationales Datenschutzgesetz (Datenschutz-Anpassungs- und Umsetzungsgesetz EU) treten. Der Bundesrat hat diesem neuen Datenschutzgesetz („BDSG-E“) in seiner 957. Sitzung am 12.05.2017 bereits zugestimmt. Das neue Gesetz in seiner ab Mai 2018 geltenden Fassung regelt dann Sachverhalte für die die DSGVO sog. Öffnungsklauseln vorgesehen hat. Soweit die DSGVO keine Öffnungsklauseln für den nationalen Gesetzgeber vorsieht, ist die DSGVO hingegen unmittelbar anwendbar. 

Unternehmen müssen sich daher bereits jetzt auf die ab Mai 2018 geltende Rechtslage einstellen und Datenverarbeitungsprozesse anpassen. Die Auseinandersetzung mit der DSGVO wird damit unabdingbar. 

Den Handlungsbedarf möchte ich am nachfolgenden Beispiel, nämlich der Pflicht zur Bestellung eines Datenschutzbeauftragten, verdeutlichen. 

A. Rechtslage heute: 

Ist ein eine nicht-öffentliche Stelle, bspw. ein Unternehmen gemäß § 4 f Abs. 1 BDSG, verpflichtet einen Datenschutzbeauftragten zu bestellen, unterlässt dies aber, können nach aktueller Rechtslage gemäß § 43 Abs. 1 Nr. 2 BDSG Bußgelder bis zu EUR 50.000,00 verhängt werden. 

Die Verpflichtung trifft derzeit u. a. Firmen (nicht-öffentliche Stellen), die mindestens 10 Personen (pro Kopf) beschäftigen und personenbezogene Daten automatisiert (bspw. mittels EDV) verarbeiten. Unter diese Regelung fallen folglich auch kleinere Firmen mit 10 Mitarbeitern, die die eigenen Mitarbeiterdaten per EDV verarbeiten. Größere Firmen ab 20 Mitarbeitern trifft diese Verpflichtung auch, wenn personenbezogene Daten in anderer Art und Weise als automatisiert erhoben, verarbeitet oder genutzt werden. 

B. Rechtslage ab 25. Mai 2018 / DSGVO 

Mit der DSGVO erhält die generelle Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) erstmalig Einzug im europäischen Datenschutzrecht. In Artikel 37 Abs. 1 DSGVO werden Fälle genannt, in denen zwingend ein Datenschutzbeauftragter zu bestellen ist. 

In jedem Fall muss ein DSB bestellt werden, wenn u. a. die Kerntätigkeit des Verantwortlichen eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen vorsieht (Monitoring, Tracking, etc.). Ferner muss ein DSB bestellt werden, wenn die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien von Daten (sensible Daten wie Gesundheitsdaten, Daten zum Sexualleben, biometrische Daten etc.) liegt. Die Pflicht zur Bestellung eines DSB wird damit bspw. Ärzte, Krankenversicherungen, Physiotherapeuten etc. treffen, sofern diese „umfangreich“ Daten ihrer Patienten verarbeiten. 

Artikel 37 Abs. 4 S. 1 DSGVO sieht an dieser Stelle eine sog. Öffnungsklausel vor, sodass der dt. Gesetzgeber die Pflichten zur Bestellung eines DSB auf weitere Fallgruppen ausdehnen kann. 

Der Entwurf des „BDSG-E“ sieht insoweit in § 38 vor, dass in Ergänzung zur DSGVO ein Datenschutzbeauftragter zu bestellen ist, wenn 

• sich in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen;
• der Verantwortliche –unabhängig von der Personenanzahl- besondere Verarbeitungen vornimmt, die einer      Datenschutz-Folgeabschätzung unterliegen oder personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung oder Markt- o. Meinungsforschung verarbeitet werden. 

Beläuft sich Risiko bei Nichtbestellung eines Datenschutzbeauftragten derzeit auf EUR 50.000,00, sieht die DSGVO ab 25. Mai 2018 nun in Artikel 83 Abs. 4 a) DSGVO für Unternehmen eine Geldbuße in Höhe von bis 2 % des Jahresumsatzes des vorangegangenen Geschäftsjahres vor. Handelt es sich bei dem Verantwortlichen nicht um ein Unternehmen, ist die Geldbuße auf bis zu 10.000.000,00 Euro begrenzt. 

In Artikel 83 Abs. 5 DSGV sieht die DSGVO bei andersartigen Rechtsverletzungen sogar Geldbußen bis zum 4 % des Jahresumsatzes des Vorjahres vor. Erfasst werden hier beispielsweise Verstöße im Hinblick auf Einwilligungserfordernisse oder im Hinblick auf die Missachtung der Rechte des Betroffenen. 

Mit der unmittelbaren Anwendbarkeit der DSGVO werden Verstöße also teilweise wesentlich drastischer geahndet werden können als bisher. Datenverarbeitende Personen und Unternehmen sollten sich auf diese Änderungen rechtzeitig einstellen. 

Benötigen Sie einen externen Datenschutzbeauftragten oder haben Sie Beratungsbedarf bezüglich des Themas Datenschutzrecht? Gerne stehe ich Ihnen als zertifizierte Datenschutzbeauftragte (TÜV) und Fachanwältin für IT-Recht zur Verfügung.