Bayreuth, 06.04.2023— Insbesondere für wachsende Unternehmen stellt sich die Frage, ab wann diese einen Datenschutzbeauftragten benennen müssen. Eine solche Pflicht kann sich sowohl aus der Datenschutz-Grundverordnung (DSGVO) als auch aus dem Bundesdatenschutzgesetz (BDSG) ergeben. Aus Letzterem kann sich eine Bennungspflicht u.a. auch daraus ergeben, dass die Datenverarbeitung des betreffenden Unternehmens einer Datenschutz-Folgenabschätzung unterliegt, unabhängig von der Anzahl der beschäftigten Personen. Ein besonderes Risiko stellt in diesem Kontext die Videoüberwachung dar.
Pflichten nach der DSGVO
Die Benennungspflichten der DSGVO knüpfen u.a. an eine umfassende, systematische Überwachung von Personen und an die Verarbeitung besonderer Kategorien von personenbezogenen Daten an. So heißt es in Art. 37 Abs. 1 DSGVO insbesondere:
"Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn [...]
die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 (z.B. Gesundheitsdaten, biometrische Daten) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht."
Diese Pflichten treffen z.B. Unternehmen im Gesundheitswesen, private Sicherheitsunternehmen, Banken oder Versicherungsunternehmen. Kleinere Unternehmen sind von diesen Pflichten eher selten betroffen.
Pflichten nach dem BDSG
§ 38 Abs. 1 S. 1 BDSG ergänzt zunächst Art. 37 Abs. 1 DSGVO im Hinblick auf die im Unternehmen tätigen Personen. Sind in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, so muss zwingend ein Datenschutzbeauftragter benannt werden.
Über § 38 Abs. 1 S. 2 BDSG können aber auch kleinste wirtschaftliche Einheiten in die Pflicht genommen werden. Nach dieser Vorschrift ist es erforderlich einen Datenschutzbeauftragten zu benennen, wenn u.a. Verarbeitungen vorgenommen werden, für die eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) notwendig ist. Eine Datenschutz-Folgenabschätzung ist immer dann erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen hat jüngst darauf hingewiesen, dass eine solche Datenschutz-Folgenabschätzung nach ihrer Ansicht für die Videoüberwachung eines Betriebsgeländes (Mitarbeiterüberwachung) und für Vollüberwachung des Gastraums einer Gaststätte erforderlich sei, da dies zu einer permanenten Videoüberwachung der betroffenen Personen führe.
Fazit
Sollten Sie in Ihrem Unternehmen Kameras zur Überwachung Ihres Betriebsgeländes und/oder -gebäudes installiert haben und bisher noch keinen Datenschutzbeauftragten benannt haben, so stehen wir Ihnen gerne jederzeit für eine Prüfung der Benennungspflicht sowie der Durchführung der Datenschutz-Folgenabschätzung zur Verfügung.