Datenschutzbeauftragter: Ist der “Beschäftigte” “beschäftigt”?

Große Unsicherheit besteht derzeit darüber, ab wie vielen Personen im Unternehmen ein Datenschutzbeauftragter bestellt werden muss.

Nach Art. 38 BDSG-neu müssen alle Unternehmen bzw. Sonstigen Verantwortlichen einen Datenschutzbeauftragten bestellen, wenn sie “in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen”.

Hier der Art. 38 BDSG-neu im Wortlaut:

§ 38 Datenschutzbeauftragte nichtöffentlicher Stellen
(1) 1 Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. 2Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Die Regel scheint klar: Wenn 10 Personen erreicht sind, die ständig automatisiert Daten verarbeiten, so benötigt man einen Datenschutzbeauftragten. Aber wen zählt man mit? Dies ist weniger deutlich. Eines ist klar: Im Gegensatz zu der bisherigen Regelung des § 4f BDSG wird nicht mehr danach unterschieden, ob die Daten automatisiert oder “auf andere Weise” verarbeitet werden. Nur, wenn die 10 Personen Daten auch automatisiert verarbeiten, ist ein Datenschutzbeauftragter nötig. Automatisiert ist weit zu verstehen und umfasst letztlich jede Form von Datenverarbeitungsanlagen. Immer wenn ein Computer, Smartphone etc. im Spiel sind, liegt also eine automatisierte Verarbeitung vor. Anders als häufig geschrieben ist die Reinigungskraft, die lediglich den Papierkorb ausleert, nicht mitzuzählen; sie verarbeitet Daten nicht mit einer Datenverarbeitungsanlage.

Wer ist “beschäftigt”?

Streit herrscht aber darüber, wer “beschäftigt” ist. Muss der Geschäftsführer, müssen die Gesellschafter mitgezählt werden?

Nach derzeit noch geltendem Recht, dem § 4f BDSG, ist der Geschäftsführer und anderes Leitungspersonal nicht mitzuzählen, den sie sind “Beschäftigende”, aber keine “Beschäftigte” (vgl. etwa Gola/Klug, NJW 2007, 118 (120)). Aber gilt dies auch noch mit dem Inkrafttreten des § 38 BDSG-neu?

Argumente gegen das Mitzählen des Geschäftsführers und der Gesellschafter

Dafür spricht, dass auch der § 38 BDSG-neu eine deutsche Regelung ist. Der Regelungsgeber hat sich also nicht geändert. In der EU konnte man sich nicht auf eine Regelung, einen Datenschutzbeauftragten ab einer bestimmten Beschäftigtenanzahl zu bestellen, einigen, da manchen Mitgliedstaaten das Konzept des Datenschutzbeauftragten fremd war. Eine Regelung hat man europaweit daher nur für besonders gefahrgeneigte Verarbeitungsvorgänge getroffen und in Art. 37 DSGVO niedergeschrieben. Deutschland hingegen hat von der Öffnungsklausel Gebrauch gemacht und hält an der Notwendigkeit, einen Datenschutzbeauftragten ab einer bestimmten Anzahl von Mitarbeitern zu bestellen, fest. Dabei ist die Regelung des § 38 BDSG-neu vom WOrtlaut her mit der bisherigen Regelung des § 4f BDSG fast identisch. In der Gesetzesbegründung heißt es auch ausdrücklich, dass die Regelung “inhaltlich an den bisherigen § 4f Absatz 1 Satz 4 BDSG a. F. angelehnt” ist (vgl. BT-Drucks. 18/11325, S. 107). Danach müsste die bisherige Meinung eigentlich übertragbar sein.

Für eine Beibehaltung dahingehend, dass zumindest der Geschäftsführer nicht mitgerechnet wird, ebenso wenig Gesellschafter, spricht auch der § 28 Abs. 8 BDSG-neu. Dieser definiert den “Beschäftigten” im Sinne des Bundesdatenschutzgesetzes:

“8) Beschäftigte im Sinne dieses Gesetzes sind:

1.Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher,

2.zu ihrer Berufsbildung Beschäftigte,

3.Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),

4.in anerkannten Werkstätten für behinderte Menschen Beschäftigte,

5.Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstegesetz oder dem Bundesfreiwilligendienstgesetz leisten,

6.Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,

7.Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.”

Argumente gegen das Mitzählen des Geschäftsführers und der Gesellschafter

Also alles klar? Können sich Unternehmen schon freuen, und Geschäftsführer und Gesellschafter außen vor lassen? Damit würden sicher einige kleinere Betriebe unter die Schwelle zur Bestellung eines Datenschutzbeauftragten kommen. Nein, ganz so einfach ist es leider nicht.

Gerade dem letzten Argument kann man entgegenhalten, dass § 38 BDSG-neu das Verb “beschäftigt” und § 26 Abs. 8 BDSG-neu das Substantiv “Beschäftigter” verwendet. Ist damit dann dasselbe gemeint? Weiter spricht die Formulierung “Der Verantwortliche benennt, soweit er beschäftigt” von einer Abstrahierung des Verantwortlichen. Schließlich ist es unerheblich für das Risiko, das mit der Datenverarbeitung einhergeht, ob auf die Daten Geschäftsführer, Gesellschafter oder einfache Mitarbeiter zugreifen. Umso mehr Personen automatisiert verarbeiten, desto größer das Risiko. So scheinen es auch die meisten Aufsichtsbehörden zu sehen, welche die Geschäftsführer und Gesellschafter offenbar mitzählen.

Hier wird wohl erst eine Gerichtsentscheidung Klarheit schaffen. Der EuGH ist hier aber nicht berufen, da es sich um eine deutsche Regelung handelt, die auch nicht auf eine Richtlinie zurückgeht.

Sicherster Weg: Zählen Sie mit!

DSGVO: Handreichung des BayLDA für kleine Unternehmen und Vereine

64 Tage: So lange haben Unternehmen noch Zeit, sich auf die Anwendbarkeit der Datenschutzgrundverordnung (DSGVO) vorzubereiten. Trotz der langen Übergangszeit von zwei Jahren sind viele Unternehmen jetzt erst dabei, die entsprechenden Maßnahmen zu ergreifen. Dies zeigt auch die anwaltliche Praxis von uns Datenschutzanwälte, die wir uns derzeit vor Anfragen nicht mehr “retten” können.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nun Handreichungen für kleine Unternehmen und Vereine veröffentlicht, die diese bei der Umsetzung der Datenschutzmaßnahmen unterstützen sollen.

Arztpraxen

Sie enthalten auch überraschende Äußerungen der Datenschutzbehörde: So soll in Arztpraxen mit weniger als 10 Mitarbeitern, die ständig automatisiert Daten verarbeiten, nach Ansicht des BayLDA kein Datenschutzbeauftragter notwendig sein. Darüber kann man aber trefflich streiten: Art. 37 DSGVO sieht vor, dass ein Datenschutzbeauftragter auch dann bestellt werden soll, wenn

c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Unklar ist, was unter Kerntätigkeit zu verstehen ist. Bei Ärzten ist zwar die Kerntätigkeit die Behandlung von Patienten, man hätte aber durchaus argumentieren können, dass im Rahmen dieser Behandlung ja auch die besonderen Kategorien personenbezogener Daten in Form von Gesundheitsdaten anfallen, sodass sie auch bei weniger als 10 Personen unter die Verpflichtung zur Bestellung eines Datenschutzbeauftragten fallen. Dies sieht das BayLDA offenbar nicht so.

Auch eine Datenschutz-Folgenabschätzung soll bei Arztpraxen nicht standardmäßig erforderlich sein. Art. 35 Abs. 3 DSGVO sieht vor:

(3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:

a) (…)

b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder (…)

Das BayLDA vertritt die Auffassung, dass “auch bei Gesundheitsdaten nicht immer ein hohes Risiko bei der Datenverarbeitung” bestehe. Auch dies kann man anders sehen.

 Steuerberater

Auch Steuerberater fallen laut BayLDA nicht unter Art. 37 Abs. 1 lit. c DSGVO, obwohl auch diese im Rahmen der Lohnabrechnungen besondere Kategorien personenbezogener Daten verarbeiten in Form der religiösen Überzeugung (Art. 9 Abs. 1 DSGVO).

Neue Regelungen für Berufsgeheimnisträger in Kraft getreten

Am heutigen Tag tritt das Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen in Kraft. Die Verkündung im Bundesgesetzblatt erfolgte gestern.

Damit können Berufsgeheimnisträger nun Dienstleister einbeziehen, was erstmals ein rechtskonformes Outsourcing und auch die Nutzung von Cloud-Diensten ermöglicht, sofern der Dienstleister auf die Verschwiegenheit verpflichtet wird. Dazu werden insbesondere § 203 StGB sowie die einzelnen Berufsordnungen geändert. Für Rechtsanwälte wurde der neue § 43e BRAO geschaffen.

Nähere Informationen finden Sie in meinen früheren Posts hier, hier und hier.

Sehr streitig wird noch werden, was unter Dienstleistungen zu verstehen ist, die unmittelbar einem Mandat dienen (§ 43e Abs. 5 BRAO). Hierzu reicht die Verpflichtung zur Verschwiegenheit nämlich nicht aus, sondern es bedarf zusätzlich der Einwilligung des Mandanten. In der Gesetzesbegründung sind die Beauftragung eines Sachverständigen, eines Detektivs oder eines Übersetzers genannt (BT-Drucks.  18/11936, S. 36).  Entscheidend dafür, ob die Dienstleistung unmittelbar einem Mandat dient, soll laut Gesetzesbegründung nicht die Vertragsgestaltung sein, sondern die Frage, ob für die jeweilige Dienstleistung, die in Anspruch genommen werden soll, ein besonderer Bedarf im einzelnen Mandat besteht. Hier sehe ich noch Unklarheiten mit der Folge, dass trotz der Neufassung eine gewisse Rechtsunsicherheit bestehen bleibt. Dies sieht auch Prof. Dr. Thomas Hoeren in der aktuellen Ausgabe der Zeitschrift für Datenschutz so (vgl. ZD 2017, 501).

Datenschützer kritisiert unverschlüsselte E-Mails bei Berufsgeheimnisträgern

In seinem 8. Tätigkeitsbericht für den Landtag kritisiert der sächsische Datenschutzbeauftragte Andreas Schurig, dass die viele Rechtsanwälte unverschlüsselt über E-Mail kommunizieren. Er begründet dies mit “Zeit und Kostendruck” (8. Tätigkeitsbericht, Ziffer 8.13, Seite 8, zum Bericht bei heise.de).

Weiter schreibt er:

Ich gehe daher davon aus bzw. fordere dies gegebenenfalls, dass Rechtsanwälte ihre EMails zukünftig verschlüsseln oder aber ihre Schriftsätze per Fax und/oder Briefpost versenden.

Hier kann ich nur widersprechen: Es liegt nicht daran, dass wir Rechtsanwälte nicht verschlüsseln möchten, sondern dass zum Verschlüsseln bei der asymmetrischen Verschlüsselung immer zwei Personen notwendig sind. Der Mandant muss also auch etwa PGP/GPG einsetzen. Obwohl dies kostenlos möglich ist, ist anscheinend die technische Hürde noch so hoch, dass Mandanten dies nicht wünschen. Selbst in meinem IT-Recht-Umfeld, in dem die meisten Mandanten technisch versiert sind.

Ich biete den Mandanten immer an, verschlüsselt zu kommunizieren, allerdings ist ihnen dies meist zu umständlich. Wirklich daran ändern wird sich nur etwas, wenn die PGP-/GPG-Verschlüsselung in der Bevölkerung mehr Verbreitung findet. Initiativen, wie sie etwa United Internet (GMX, Web.de), Mailbox.org oder Posteo mit der Implementation von PGP im Webmailer mit dem Plugin Mailvelope oder auch ProtonMail ergreifen, sind sehr wichtig, haben aber zumindest meiner Erfahrung nach noch nicht zu einem Umdenken bei den meisten Internetnutzern geführt.

Die Alternative kann nicht sein – wie von Sachsens oberstem Datenschützer gefordert – Schriftsätze im Entwurf zukünftig wieder per Post an den Mandanten zu verschicken, sondern ist der konsequente Einsatz von Verschlüsselung.

Seit kurzem gibt es ja noch eine Möglichkeit der verschlüsselten Kommunikation: Den EGVP-Bürger-Client, mit dem sich Bürger ein Postfach einrichten und mit dem Rechtsanwalt über dessen besonderes persönliches Anwaltspostfach (beA) Ende-zu-Ende verschlüsselt kommunizieren können. Das System hat aber zwei Schwächen: Ich befürchte, dass wenige Mandanten sich den Client extra installieren und sich ein Postfach einrichten werden; darüber hinaus erfolgt keine Identifizierung, sodass im Prinzip jeder ein Postfach auf den Namen seines Nachbarn einrichten könnte. Aber es ist ein weiterer Weg, eine verschlüsselte Kommunikation zu ermöglichen.

 

Neue Regeln für Berufsgeheimnisträger passieren Bundesrat

Am Freitag, 22. September 2017, hat nach dem Bundestag auch der Bundesrat den Änderungen des § 203 StGB zugestimmt (Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen).

Damit werden die Änderungen, die auch Berufsgeheimnisträgern wie Rechtsanwälten oder Ärzten ein Outsourcing ermöglichen, nach der Prüfung durch den Bundespräsidenten vermutlich noch diesen Herbst in Kraft treten. Eine Regelung, die überfällig war, da sie Berufsgeheimnisträgern einen zeitgemäßen IT-Einsatz ermöglicht.

Über den Gesetzentwurf hatte ich hier berichtet.

Neue Regeln für Berufsgeheimnisträger

Im Bundestag befindet sich aktuell ein Gesetzentwurf, der es Berufsgeheimnisträgern wie Rechtsanwälten oder Ärzten ermöglichen soll, IT-Dienstleister einzuschalten, ohne dass deren Einschaltung den Straftatbestand des § 203 StGB erfüllt.

Geplant ist eine Änderung des § 203 StGB und der BRAO. Die IT-Dienstleister sollen einerseits in den Straftatbestand des § 203 StGB einbezogen werden und andererseits soll kein Offenbaren vorliegen, wenn Geheimnissen IT-Dienstleistern zugänglich gemacht werden. Notwendig wird eine Verpflichtung der Dienstleister zur Verschwiegenheit sein.

Ausländische Dienstleister dürfen nur dann in Anspruch genommen werden, wenn der Schutz von Geheimnissen demjenigen im Inland “vergleichbar” ist (§ 43e Abs. 4 BRAO-E).

Der Entwurf ist dringend notwendig, da die meisten Berufsgeheimnisträger kaum ohne externe IT-Dienstleister auskommen dürften und sich diese derzeit nicht nur in einem rechtlichen Grau- sondern bereits schwarzen Bereich befinden dürften.

Den Gesetzentwurf finden Sie hier.

BGH: Dynamische IP-Adressen sind personenbezogene Daten

Der Bundesgerichtshof hat nun entschieden, dass dynamische IP-Adressen personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG sind (BGH, Urteil vom 16. Mai 2017 – VI ZR 135/1, noch nicht im Volltext verfügbar, zur Pressemitteilung). Bei dynamischen IP-Adressen handelt es sich um IP-Adressen, die vom Provider bei jeder Einwahl ins Netz neu vergeben werden. Das Gegenstück dazu ist eine feste IP-Adresse, die immer identisch ist.

Dass diese Frage überhaupt strittig war, liegt daran, dass bei dynamischen IP-Adressen nur der Provider bestimmen kann, zu welchem Zeitpunkt welchem Kunden welche IP-Adresse zugewiesen war. Der Personenbezug ist daher nur mit Hilfe eines Dritten herstellbar.

Der BGH hatte diese Frage zuvor dem EuGH vorgelegt, da dieser die Auslegung der EG-Datenschutzrichtlinie vorzunehmen hat. Der EuGH hat mit Urteil vom 19. Oktober 2016 – C-582/14 – entschieden, dass dynamische IP-Adressen personenbezogene Daten sind.

Hintergrund des Streits ist eine Klage des Piraten-Politikers Patrick Breyer. Er störte sich daran, dass die Webseiten der Bundesregierung die IP-Adressen der Nutzer protokollieren.

Der BGH hat die Sache nun an das LG Berlin zurückverwiesen. Hintergrund ist, dass eine Speicherung der IP-Adressen nach § 15 Abs. 1 TMG dann erfolgen darf, wenn die Erhebung und ihre Verwendung erforderlich sind, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Damit hatte die Bundesregierung argumentiert. Das LG Berlin muss nun hier erneut Beweis erheben und eine Interessenabwägung vornehmen.

Der Polizeicomputer und die Zweckbindung

Diese Woche erhielt ich einen Anruf von einer Polizeiinspektion auf dem Handy. Der freundliche Polizist teilte mir mit, dass er die Akte, bei der wir einen Geschädigten vertreten, nun an die Staatsanwaltschaft weiterleiten werde. Nichts Ungewöhnliches.

Ungewöhnlich war dann, als der Polizist fragte, ob ich in … in der …straße wohne. Ich fragte ihn, woher er meine Privatadresse habe. Er scherzte, dass er gute Verbindungen in den Vatikan habe. Zurück in der Kanzlei fragte ich mein Sekretariat, warum der Polizist eigentlich auf meinem Handy angerufen habe und ob sie ihm die Nummer gegeben hätten. Mein Sekretariat verneinte.

Dann wurde mir bewusst, dass er meine Daten aus dem Polizeicomputer haben musste, als ich vor ein paar Monaten im Rahmen einer privaten Angelegenheit meine Daten angab, damit die Polizei mich kontaktieren konnte. Der Polizist erhält ein Schreiben des Anwalts und durchsucht erst einmal den Polizeicomputer, um die Handynummer des Anwalts zu erfahren.

Datenschutzrechtlich ist dies natürlich unzulässig und widerspricht dem Grundsatz der Zweckbindung. Gleichzeitig zeigt diese Geschichte aber auch, wie gefährlich ein großer Datenbestand im Rahmen der Vorgangsverwaltung im Polizeicomputer sein kann.

Vor dem Verwaltungsgericht München hat unsere Kanzlei derzeit eine Klage anhängig, um die Daten eines Mandanten zu löschen, dessen Verfahren auf Körperverletzung eingestellt wurde. Der Mandant hatte Angst, dass diese Sache ihm in den nächsten Jahren immer wieder Schwierigkeiten machen könnte, wenn sie im Polizeicomputer steht, trotz der Einstellung.

Recht hat er, der Mandant.

Bundeskanzlerin kritisiert Grundsatz der Datensparsamkeit

§ 3a BDSG beinhaltet des Grundsatz der Datensparsamkeit. Es sollen so wenig personenbezogene Daten wie möglich erhoben, verarbeitet und genutzt werden. Auch die am 25.05.2018 das BDSG ersetzende und in der gesamten Europäischen Union geltende Datenschutzgrundverordnung (DSGVO) sieht dieses Prinzip in Art. 5 Abs. 1 lit. c DSGVO vor. Dort heißt das Prinzip “Datenminimierung”.

Mitglieder der Bundesregierung haben dieses Prinzip in letzter Zeit des Öfteren als nicht mehr zeitgemäß bezeichnet. Nun hat auch die Bundeskanzlerin den Grundsatz der Datensparsamkeit beim IT-Gipfel in Saarbrücken in Frage gestellt. Das Prinzip der Datensparsamkeit könne heute nicht die generelle Leitschnur sein für die Entwicklung neuer Produkte, so Merkel. Die Politik dürfe die Regeln des Datenschutzes “nicht so restriktiv machen, dass das Big-Data-Management dann doch nicht möglich wird”.

In einem hat die Bundeskanzlerin recht: Big Data ist mit der Sammlung unzähliger Daten, bei denen man bei der Erhebung noch gar nicht weiß, für was man die Daten benutzt, ist mit dem sehr restriktiven deutschen und bald auch vollständig harmonisierten europäischen Datenschutzrecht nur schwer absolut rechtskonform zu realisieren. Allerdings ist gerade die unbeschränkte Datensammlung und die Verknüpfung von Daten besonders gefährlich für das Allgemeine Persönlichkeitsrecht, da der Betroffene oft nicht abschätzen kann, welche Daten erhoben werden und wie sie verknüpft werden. Gerade die Verknüpfung von vermeintlich “harmlosen” Daten kann dazu führen, dass die Daten hochsensibel werden und umfassende Rückschlüsse auf das Leben der Betroffenen zulassen. Der Grundsatz der Datensparsamkeit (BDSG) bzw. das Prinzip der Datenminimierung (DSGVO) sollte daher unbedingt erhalten bleiben.