Wir verwenden Cookies, um Ihnen das beste Nutzererlebnis bieten zu können. Wenn Sie auf der Seite weitersurfen stimmen Sie der Cookie-Nutzung zu. Cookie-Nutzung. x

Datenschutz

Pflicht zur Bestellung eines Datenschutzbeauftragten nach § 38 BDSG n.F.
– Relevanz des Leitungspersonals bei Bestimmung der „10 Personen“ –

Nach § 38 Abs. 1 S. 1 BDSG n.F. benennen Verantwortliche einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Bei der Bestimmung der Mindestanzahl von 10 Personen ist der Personenkreis weit auszulegen, d.h., es gibt keine Beschränkungen der an die betroffenen Personen zu stellenden Anforderungen. Bei der Bestimmung werden daher Voll- und Teilzeitkräfte, freie Mitarbeiter, Leiharbeitnehmer, Praktikanten, Volontäre und Auszubildende gleichermaßen erfasst. Ferner kommt es nicht darauf an, ob es sich um 10 regelmäßig wechselnde Mitarbeiter handelt oder um feste Beschäftigungsverhältnisse. Viele kleinere Einheiten umfassen jedoch insgesamt, d.h. unter Einschluss des Leitungspersonals (Geschäftsinhaber, Geschäftsführer, Vorstand etc.), lediglich „rund“ 10 Personen. Hat ein Unternehmen z.B. 8 Mitarbeiter und 3 Personen Leitungspersonal oder 9 Mitarbeiter und 2 Personen Leitungspersonal, stellt sich die Frage, ob bei der Bestimmung der 10 Personen auch die Personen des Leitungspersonals mitzuzählen sind. Dies ist für die Frage der Bestellung eines Datenschutzbeauftragten entscheidend.

Eine finale Beantwortung zu § 38 BDSG Abs. 1 S. 1 n.F. scheint noch nicht möglich zu sein.
Die Kommentarliteratur, z.B. Kühling/Buchner/Kühling/Sackmann, DS-GVO BDSG, 2. Aufl., § 38 BDSG Rn. 9 ff.; Paal/Pauly/Pauly, Datenschutz-Grundverordnung/Bundesdatenschutzgesetz, 2. Aufl., § 38 BDSG Rn. 6, äußert sich zu dieser Fragestellung nicht. Auch im Kurzpapier Nr. 12 der Datenschutzkonferenz btf. „Datenschutzbeauftragte bei Verantwortlichen und Auftragsverarbeitern“ finden sich keine Ausführungen hierzu. Wickert/Potthoff, Das neue Datenschutzrecht in der teuerberaterkanzlei, 2018, S. 18, äußern sich hingegen dahingehend, dass auch „Kanzleiinhaber zu dem angesprochenen Personenkreis“ gehören. Überlegenswert wäre daher im ersten Schritt, wie die Sichtweise der Praxis zu der Vorgängervorschrift des § 4f Abs. 1 S. 3 BDSG gewesen ist. Kühling/Sackmann scheinen sich für eine Sichtweise analog zu § 4f BDSG aF auszusprechen (Kühling/Buchner, a.a.O., § 38 BDSG Rn. 7).

Hierzu ist zunächst zu bemerken, dass der Wortlaut des § 38 Abs. 1 S. 1 BDSG n.F., („mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt“) mit dem Wortlaut der Vorgängervorschrift des § 4 f) Abs. 1 S. 3 BDSG a.F. („die […] ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt“) identisch ist. Es könnte damit die Ansicht vertreten werden, dass die zum BDSG a.F. aufgestellten Grundsätze auch zum BDSG n.F. gelten. Zu § 4 f) BDSG a.F. wurde in Bergmann/Mörle/Herb, § 4 f) Rn. 29, folgende Ansicht vertreten:

„Da nur die beschäftigten Personen zählen, sind beispielsweise die Geschäftsinhaber, der Geschäftsführer einer GmbH oder der Vorstand einer AG nicht zu berücksichtigen. Bei freien Berufen (z.B. Rechtsanwälte, Steuerberater) sind deshalb die verantwortlichen Geschäftsinhaber nicht zu berücksichtigen. Bei einer größeren Kanzlei oder einem Zusammenschluss freier Berufe sind jedoch nur die nicht mitzuzählen, die voll am unternehmerischen Risiko beteiligt sind. Umgekehrt sind aber alle anderen Personen (z.B. angestellte Rechtsanwälte, freie Mitarbeiter) mitzuzählen, und zwar unabhängig davon, ob sie nach außen, z.B. auf dem Briefkopf, in Erscheinung treten.“

Eine übereinstimmende Sichtweise wird unter Bezugnahme auf Gola/Klug, NJW 2007, 118, in dem BeckOK-Datenschutzrecht/Moos in § 4f BDSG a.F. Rn. 11 vertreten (vgl. auch Auernhammer/Raum, BDSG a.F., 4. Aufl., § 4 f) Rn. 50; Erfurter Kommentar/Wank, BDSG a.F., 10. Aufl., § 4f Rn. 2). Unter Geltung des BDSG a.F. vertrat damit die wohl herrschende Ansicht die Sichtweise, dass das Leistungspersonal bei der Zählung der betroffenen Personenanzahl nicht mitzuzählen ist. Vor dem Hintergrund, dass der Wortlaut der alten BDSG-Norm und der Wortlaut der neuen BDSG-Norm an den entscheidenden Stellen identisch sind, könnte man daher die Ansicht vertreten, dass der Gesetzgeber bei der Neufassung der Norm eine Kontinuität herbeiführen wollte, sodass die zu § 4 f) BDSG a.F. aufgestellten Grundsätze auch für § 38 BDSG n.F. gelten sollen. Dies würde dazu führen, dass auch weiterhin das Leitungspersonal bei der Bestimmung der Personenanzahl von 10 nicht mit zu berücksichtigen ist.

Ob diese Sichtweise jedoch letztlich europäischen Vorgaben Stand hält, d.h. europarechtskonform ist, kann zum gegenwärtigen Zeitpunkt nicht final beantwortet werden. Gleichwohl ist hierbei zu berücksichtigen, dass in Art. 37 EU-DSGVO eine Personenanzahl nicht genannt ist, sodass diese Fragestellung von europäischen Vorgaben eher „abgekoppelt“ ist. Nimmt man hingegen den Wortlaut „beschäftigen“, nicht wörtlich, kann man zu einer anderen Sichtweise gelangen, zumal die Norm auf „Personen“ (und damit generalisierend, ohne Einschränkung) abstellt. An dieser Stelle ist ein Beschluss der Datenschutzkonferenz vom 26.04.2018 (sog. „Düsseldorfer Kreis2) betreffend die „Datenschutzbeauftragten-Bestellpflicht nach Artikel 37 Abs. 1 lit. C Datenschutz-Grundverordnung bei Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs“ zu berücksichtigen, der ggf. einen (wichtigen) Hinweis auf die Sichtweise der Datenschutzbehörden geben könnte. Da dieser Beschluss vom Wortlaut her nur Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs betrifft, besteht die Möglichkeit (und die „Gefahr“), dass er in der allgemeinen Betrachtung nicht wahrgenommen wird, obgleich er wichtige Ausführungen zu enthalten scheint.

Unter dessen Ziffer 1. wird ausgeführt:
Betreibt ein einzelner Arzt, Apotheker oder sonstiger Angehöriger eines Gesundheitsberufs eine Praxis, Apotheke oder ein Gesundheitsberufsunternehmen und sind dort einschließlich seiner Person in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt, besteht eine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten (DSB).“ (Unterstreichung d.d. Unterzeichner)

Bei Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs zählen die Aufsichtsbehörden das Leitungspersonal damit mit. Ein sachlicher Grund, dies bei anderen Berufsgruppen anders zu beurteilen, ist nicht erkennbar. Final wird man diese Fragestellung erst dann beantworten können, wenn sich einzelne Aufsichtsbehörden und auch Gerichte positioniert haben. Bis dahin dürfte sich man ggf. auf den Standpunkt stellen können, dass eine Kontinuität der Rechtslage des § 4f BDSG a.F. gewünscht war, so dass das Leitungspersonal nicht mitzuzählen ist. Die Sichtweise der Datenschutzkonferenz bei Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs sollte man in ihrer Aussagekraft aber nicht „unterschätzen“. Der rechtlich „sicherste“ Weg dürfte daher – bis zu einer finalen Entscheidung durch Aufsichtsbehörden/Gerichte – die Mitzählung der Leitungspersonen sein.

© RA Guido Vierkötter – it-recht@ido-verband.de

 Nürnberg, den 01.05.2018

* inkl. MwSt., zzgl. Versandkosten