Nachdem im vorherigen Beitrag beschrieben worden war, dass (auch) nach dem neuen BDSG z.B. Unternehmen zur Benennung eines externen oder internen Datenschutzbeauftragten verpflichtet sind, „soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“, enthalten das nBDSG und die DSGVO noch weitere Regelungen zur Benennungspflicht. Diese führen dazu, dass z.B. Unternehmen auch dann, wenn sie in der Regel nicht mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, unter bestimmten Voraussetzungen dennoch zur Benennung eines externen oder internen Datenschutz-beauftragten verpflichtet sein können.
Von dieser erweiterten – unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen bestehenden – Benennungspflicht sind zum einen z.B. Unternehmen betroffen, die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten (§ 38 I 2 nBDSG).
Des Weiteren sind z.B. Unternehmen benennungspflichtig, die hinsichtlich personenbezogener Daten Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der DSGVO unterliegen (§ 38 I 2 nBDSG). Dadurch werden z.B. Unternehmen dann benennungspflichtig, wenn – „insbesondere bei Verwendung neuer Technologien“ – die Form der Verarbeitung personenbezogener Daten „aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat. Was genau damit gemeint ist, insbesondere wo die Grenze zwischen „hohem Risiko“ und einfachem Risiko liegt, ist bisher für den Einzelfall nicht rechtssicher abschätzbar, so dass die Benennungspflicht hier leider undeutlich bleibt. Ein wenig hilft das nBDSG selbst weiter, indem es insbesondere in folgenden Fällen ein hohes Risiko annimmt (vgl. Art. 35 III DSGVO) und damit eine Benennungspflicht regelt:
1.) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen,
2.) umfangreiche Verarbeitung von personenbezogenen Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten oder
3.) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche. Im Hinblick auf die insoweit deutlich „schärferen“ Regelungen des nBDSG im Bereich der Benennungspflicht können die sehr viel eingeschränkteren Benennungspflichten aus Art. 37 DSGVO für den Bereich der Bundesrepublik Deutschland im Wesentlichen wohl außer Acht gelassen werden.
Es bleibt damit festzuhalten, dass in besonderen Fällen z.B. Unternehmen zur Benennung eines externen oder internen Datenschutzbeauftragten auch dann verpflichtet sind, wenn sie in der Regel nicht mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. „Knacken“ sie diese 10-Personen-Grenze, sind sie in jedem Fall benennungspflichtig.
Von Martin Pessara