Trotz Bestellpflicht keinen Datenschutzbeauftragten bestellt?
Viele Unternehmen (auch Kleinbetriebe und Mittelständler) müssen in Deutschland einen Datenschutzbeauftragten bestellen. Dies ergibt sich entweder bereits direkt aus der Datenschutzgrundverordnung (DSGVO) oder aber nach den in Deutschland weiter geltenden Voraussetzungen des Bundesdatenschutzgesetzes (BDSG).
Sofern ein Unternehmen die Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) trifft, muss dieser zudem der jeweils zuständigen Aufsichtsbehörde gemeldet werden. Das mag einigen Unternehmen gar nicht bewusst sein. Andere mögen sich trotz Kenntnis darüber bisher verschlossen haben. Ob das allerdings eine gute Idee ist, kann ernsthaft bezweifelt werden.
Die Bestellpflicht eines Datenschutzbeauftragten nach Art. 37 DSGVO und § 38 BDSG:
Die Bestellpflicht eines Datenschutzbeauftragten für Unternehmen in der EU richtet sich nach Art. 37 DSGVO. Sind dessen Voraussetzungen erfüllt, muss ein Unternehmen in der EU zwingend einen Datenschutzbeauftragen bestellen und melden. Doch hat der EU-Gesetzgeber hier eine sogenannte "Öffnungsklausel" eingebaut, so dass jeder Nationalstaat in der EU hierzu noch ergänzende Regelungen schaffen kann.
Das hat Deutschland mit dem § 38 BDSG getan und verschärfende Voraussetzungen für Unternehmen in Deutschland eingeführt. Aktuell gilt in Deutschland die sogenannte 10-Personen-Regel des § 38 BDSG.
Die 10-Personen-Regel nach dem BDSG (ggf. bald "20-Personen-Regel"):
Daraus ergibt sich, dass in Deutschland Unternehmen einen Datenschutzbeauftragten bestellen müssen, wenn mindesten 10 Personen im Unternehmen ständig mit der automatisierten personenbezogener Daten beschäftigt sind. Eine automatisierte Datenverarbeitung liegt dabei in der Regel bei IT-Arbeitsplätzen (z.B. in der Verwaltung) oder sogar bei elektronischen Zahlungsabwicklungen (z.B. EC-Cash in Geschäften etc.) vor. Vollzeit-, Teilzeitarbeitskräfte werden hier ebenso mitgezählt wie Auszubildende usw. Die 10 Personen sind demnach schnell in einem Unternehmen erreicht. Das gilt auch schon für kleinere Betriebe sowie Ladengeschäften (Stichwort: EC-Cash Systemen).
Doch wie es aussieht, ist der deutsche Gesetzgeber gerade dabei, diese Regel zu entschärfen. Künftig soll nicht bereits bei 10 Personen eine Bestellpflicht bestehen, sondern wohl vielmehr ab 20 Personen. Kleinstbetriebe dürften davon profitieren. Doch bleiben auch diese nach wie vor in der Pflicht, den Datenschutz ernst zu nehmen und auch einzuhalten.
Folgen der unterlassenen oder fehlerhaften Bestellung eines Datenschutzbeauftragten:
An dieser Stelle mögen ein paar Unternehmen eventuell in der Praxis geneigt sein, dennoch keinen oder lediglich einen „Alibi-Datenschutzbeauftragten“ zu bestellen. Formal mag damit zunächst nach außen der Anschein gewahrt sein, dass das Unternehmen seiner Bestellpflicht nachgekommen sei.
Ob dies allerdings eine gute Idee ist, kann im Hinblick auf mögliche Sanktionen und Bußgelder bezweifelt werden. Die fehlerhafte oder gänzlich unterlassene Bestellung eines Datenschutzbeauftragten kann nämlich von den Aufsichtsbehörden entweder mit einem Bußgeld von bis zu 10.000.000,00 EUR oder einem Bußgeld von bis zu 2 % des weltweiten Jahresumsatzes aus dem vorangegangenen Geschäftsjahres eines Unternehmens geahndet werden.
Genauso verhält es sich für den Fall, dass der bestellte "Alibi-Datenschutzbeauftragte" nicht die erforderlichen Kompetenzen aufweist, mithin nicht die nötige Fachkunde besitzt.
Daher erscheint es meiner Ansicht nach vor diesem Hintergrund und im Hinblick auf die durchaus haftungsträchtigen Sorgfaltspflichten der Geschäftsleitung nach den §§ 91, 93 AktG und § 43 GmbHG als bedenklich, lediglich einen „Alibi-Datenschutzbeauftragten“ für das Unternehmen oder sogar gar keinen DSB zu bestellen.
Fazit:
Gehen Sie dieses Risiko besser nicht ein. Das kann sehr teuer werden. Sie können sich hier entweder eines internen Datenschutzbeauftragen mit entsprechender Fachkunde bedienen oder einen externen Datenschutzbeauftragten engagieren. Letzteres dürfte für kleinere Betriebe und Mittelständler auch preislich günstiger sein.
Externen Datenschutzbeauftragen über yourXpert engagieren:
Im Bedarfsfall stehe ich Ihnen auch als externer Datenschutzbeauftragter hier über yourXpert zur Verfügung. Neben meiner anwaltlichen Tätigkeit bin ich zertifizierter externer Datenschutzbeauftragter (TÜV) und zertifizierter Datenschutzauditor (TÜV). Mein Profil als externer Datenschutzbeauftragter bei yourXpert finden Sie unter dem nachfolgenden Link:
https://www.yourxpert.de/xpert/datenschutzbeauftragter/bernhard.schulte
(Die Trennung von anwaltlicher Tätigkeit und der Tätigkeit als DSB erfolgt aufgrund steuerrechtlicher Gründe.)
Ansonsten stehe ich Ihnen gerne zu datenschutzrechtlichen Fragen zur Verfügung.