Download als PDF
Download als RTF
Stand Mai 2009
Durch das "Erste Gesetz zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft" (BGBl. I vom 22. August 2006, S. 1970 ff.), wurden verschiedene Vorschriften des Bundesdatenschutzgesetzes (BDSG) geändert. Die neuen Regelungen enthalten Klarstellungen, allerdings auch unbestimmte Rechtsbegriffe, die auszulegen sind.
Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen als Aufsichtsbehörde für den nichtöffentlichen Bereich im Land Bremen veröffentlicht – ohne einer rechtspolitischen Bewertung des Gesetzes – die nachfolgenden Eckpunkte für eine Auslegung der neuen Regelungen des Bundesdatenschutzgesetzes.
§ 4f Abs. 1 BDSG regelte bisher, dass ein Datenschutzbeauftragter zu bestellen ist, wenn mindestens fünf Arbeitnehmer mit der automatisierten Erhebung, Verarbeitung oder Nutzung personenbezogener Daten befasst waren.
Die Neuformulierung enthält gleich mehrere Veränderungen:
Es wird nicht mehr auf den Begriff des "Arbeitnehmers", sondern auf den der "Person" abgestellt. Es müssen "in der Regel" "ständig" mehr als neun Personen mit der "automatisierten Verarbeitung" personenbezogener Daten beschäftigt sein, damit ein Datenschutzbeauftragter bestellt werden muss.
Die Änderung des Begriffes "Arbeitnehmer" in "Person" stellt begrifflich eine Klarstellung dar, da die alte Fassung beide Begriffe verwendete. Insoweit wird jetzt ausdrücklich geregelt, dass aus datenschutzrechtlicher Sicht allein die Anzahl der mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten Personen entscheidend ist. Es kommt also nicht darauf an, welchen arbeitsrechtlichen Status diese Personen haben. Mitzuzählen sind vom Betriebsinhaber über Mitglieder der Geschäftsleitung, Angestellte, Arbeiter, freie Mitarbeiter, Heimarbeitskräfte Auszubildende, bis hin zu Praktikanten und bei Vereinen ehrenamtlich Tätige. Bei der Berechnung der Anzahl der Personen nach § 4f Abs. 1 Satz 4 BDSG sind nur die unmittelbar bei der verantwortlichen Stelle Beschäftigten zu berücksichtigen. Dies ergibt sich im Umkehrschluss aus § 11 Abs. 4 Nr. 2 BDSG, wonach für den Auftragnehmer selbst die Vorschriften der §§ 4f und g BDSG gelten. Ansonsten hätte es der Erstreckung dieser Regelung auf Auftragnehmer in § 11 BDSG nicht bedurft.
Nach der alten Fassung blieb unklar, welchen Teil der Arbeitszeit die betroffenen Arbeitnehmer mit der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten zubringen mussten. Die Neufassung stellt nun in § 4f Abs. 1 Satz 4 BDSG darauf ab, wie viele Personen "in der Regel" mit der automatisierten Verarbeitung "ständig" befasst sind. Der Gesetzgeber greift damit eine bereits in § 28 Abs. 1 BDSG 1977 verwendete Formulierung wieder auf, die auf § 1 Abs. 1 Betriebsverfassungsgesetz zurückgeht.
Das Merkmal "ständig" stellt auf die einzelne, nicht aber auf eine bestimmte Person ab, da durch Auswechseln verschiedener Personen die Regelung sonst umgangen werden könnte. Eine ständige Beschäftigung setzt voraus, dass die Person sich für eine längere, meist unbestimmte Zeit mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, ohne dass dies die ausschließliche Beschäftigung sein muss. Auch eine nur gelegentlich, etwa einmal im Monat anfallende Aufgabe erfüllt das Merkmal "ständig", wenn die Person sie stets wahrzunehmen hat. Die Beschäftigung muss zu einem regelmäßig wiederkehrenden und festen Bestandteil ihrer Aufgaben zählen. Der zeitliche Einsatz im Verhältnis zur Gesamtarbeitszeit ist ohne Relevanz. Auch eine stundenweise Beschäftigung ist „ständig“, sofern sie auf unbestimmte oder längere Zeit ausgeübt wird. Personen, die nur gelegentlich oder vorübergehend eine Aufgabe mit übernehmen, wie z. B. während einer Urlaubsvertretung, sind hingegen nicht "ständig" beschäftigt.
Nach dem Gesetzeswortlaut wird darauf abgestellt, ob sich mit der automatisierten Verarbeitung "in der Regel" höchstens neun Personen beschäftigen. Diese Formulierung stellt auf die Fluktuation innerhalb der Beschäftigtenzahl bei der verantwortlichen Stelle ab. Der Gesetzgeber geht hiernach von einem längerem Zeitraum aus und toleriert vorübergehende Schwankungen. Die kurzzeitige Überschreitung der maßgeblichen Beschäftigtenzahl löst die Pflicht zur Bestellung noch nicht aus. Bei einem Überschreiten für einen Zeitraum von einem Jahr an wird die Kurzfristigkeit nicht mehr vorliegen. Für die Beschäftigtenzahl ist neben einem Rückblick auf die bisherige Personalentwicklung insbesondere die voraussichtliche unternehmerische Personalplanung zu berücksichtigen. Anhaltspunkte gibt auch der Organisationsplan des Unternehmens, wenn er entsprechende Stellen ausweist. Maßgeblich ist der im größten Teil des Jahres bestehende normale Beschäftigungsstand, nicht die durchschnittliche Beschäftigtenzahl.
Die bisherige Formulierung "Erhebung, Verarbeitung oder Nutzung" wird durch den Begriff der "automatisierten Verarbeitung" ersetzt. Dies mag auf den ersten Blick missverständlich sein. Es wirkt so, als würde auf den in § 3 Abs. 4 BDSG definierten Begriff des "Verarbeitens" abgestellt, der die Funktionen der Erhebung und Nutzung nicht mitumfasst. Auf den zweiten Blick wird allerdings deutlich, dass die bisherige Formulierung nunmehr durch den in § 3 Abs. 2 Satz 1 BDSG legal definierten Begriff der "automatisierten Verarbeitung" ersetzt wird, der alle drei Verarbeitungsschritte umfasst.
Soweit für eine nichtöffentliche Stelle keine Verpflichtung zur Bestellung eines Datenschutzbeauftragten nach § 4f Abs. 1 BDSG besteht, stellt § 4g Abs. 2a BDSG klar, dass der Leiter der nichtöffentlichen Stelle die Erfüllung der Aufgaben des Datenschutzbeauftragten in anderer Weise sicherzustellen hat. Die fehlende Verpflichtung einen Datenschutzbeauftragten zu bestellen, ändert also nichts an der Verpflichtung der verantwortlichen Stelle, die datenschutzrechtlichen Vorgaben zu beachten.
Aus Sicht der Praxis wurde die Neuregelung, dass sich die Kontrolle von externen Datenschutzbeauftragten "auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen" erstreckt, schon seit längerem gefordert. Begrüßenswert ist auch die Aufnahme eines "Zeugnisverweigerungsrechts" des Datenschutzbeauftragten sowie ein "Beschlagnahmeverbot" für Akten und andere Schriftstücke in § 4f Abs. 4a BDSG. Insoweit werden auch Dokumente, die sich bei einem externen Datenschutzbeauftragten befinden, mit von diesem Schutz erfasst. Soweit externe Datenschutzbeauftragte mehrere Kunden haben, ist besonders darauf zu achten, die einzelnen Kunden akkurat voneinander getrennt zu halten, damit es nicht zu Abgrenzungsschwierigkeiten kommen kann.
Nach § 4d Abs. 3 BDSG ist eine Voraussetzung für das Entfallen der Meldepflicht, dass "höchstens neun Personen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt" sind.
Die Regelung entspricht im Wesentlichen der Regelung zur Verpflichtung, einen Datenschutzbeauftragten zu bestellen. Geringfügig weichen die Voraussetzungen für die Ausnahmen von der Meldepflicht von den Ausnahmen für die Pflicht zur Bestellung eines Datenschutzbeauftragten voneinander ab. In § 4d Abs. 3 BDSG fehlen im Gegensatz zu § 4f Abs. 1 Satz 4 BDSG die Worte "in der Regel" und "ständig". Eine inhaltliche Differenzierung war hiermit nicht angestrebt und entspräche nicht dem Ziel der Gesetzesänderung. Daher ist von der analogen Anwendung der Worte "in der Regel" und "ständig" im Rahmen von § 4d Abs. 3 BDSG auszugehen.
Der neue § 4f Abs. 2 Satz 2 BDSG versucht das Maß der erforderlichen Fachkunde des Datenschutzbeauftragten zu konkretisieren und stellt klar, dass sich dies insbesondere "nach dem Umfang der Datenverarbeitung und dem Schutzbedarf der personenbezogenen Daten" bestimmt. Ausweislich der Gesetzesbegründung wird dem Rechtsgedanken des § 9 Satz 2 BDSG gefolgt, der den Grundsatz der Verhältnismäßigkeit enthält. Angestrebt wird nicht die größtmögliche Fachkunde, sondern die im Einzelfall angemessene Fachkunde. Diese richtet sich zum einen nach dem Schutzbedarf der personenbezogenen Daten. Der Schutzbedarf kann nur kontextabhängig und unter Berücksichtigung der Aufgaben der verantwortlichen Stelle ermittelt werden. Kriterien sind u. a. die Schadensintensität für den Betroffenen bei einer fehlerhaften Verarbeitung, ob die Daten Grundlage einer Entscheidung sind und inwieweit diese im Nachhinein überprüf- oder revidierbar ist. Zum anderen richtet sich das Maß der Fachkunde nach dem Umfang der Datenverarbeitung. Der Umfang der Datenverarbeitung bezieht sich auf die Menge der verarbeiteten Daten, aber auch auf den Einsatz verschiedener Verfahren und damit auf die Komplexität der Datenverarbeitung. Bei einer umfangreichen Datenverarbeitung erhöhen sich bestimmte typische Risiken der Datenpflege. Regelmäßig geht eine große Datenmenge mit einer größeren Anzahl datenverarbeitender Personen einher, was besondere Maßnahmen zur Datensicherheit verlangt. Allerdings kann auch eine Datenverarbeitung in geringem Umfang, z. B. bei entsprechender Sensibilität der verarbeiteten personenbezogenen Daten, ein hohes Maß an Fachkunde des Datenschutzbeauftragten erfordern.
Nach § 4g Abs. 1 Satz 3 BDSG kann der Beauftragte für den Datenschutz die Beratung und Unterstützung der Aufsichtsbehörde nach § 38 Abs. 1 Satz 2 BDSG in Anspruch nehmen. Bisher war dies nur "in Zweifelsfällen" vorgesehen, während nunmehr eine uneingeschränkte generelle Beratungs- und Unterstützungspflicht besteht. Die Formulierung der Beratungs- und Unterstützungspflicht in § 38 Abs. 1 Satz 2 BDSG "mit Rücksicht auf deren [der verantwortlichen Stelle] typische Bedürfnisse" stellt nach der Gesetzesbegründung keine inhaltliche Begrenzung dar, sondern bedingt ein präventives Tätigwerden der Aufsichtsbehörde, die aufgrund ihres branchenweiten Einblicks typische Datenschutz-Probleme identifizieren und diesen durch ihr Tätigwerden vorbeugen kann.
Damit wird im Ergebnis die bereits bestehende Praxis der Aufsichtsbehörden gesetzlich fixiert. Die Beratung und Unterstützung der verantwortlichen Stelle tritt gleichberechtigt neben ihre Kontrolle.
Barrierefreiheit
