Daten­schutz­richt­li­nie: Aus­le­gung im Sin­ne des Handwerks

HWK-Nach­fra­ge beim Baye­ri­schen Lan­des­amt für Daten­schutz­auf­sicht bezüg­lich der Vor­aus­set­zun­gen zur Bestel­lung eines betrieb­li­chen Daten­schutz­be­auf­trag­ten (DSB)

In wel­chen Fäl­len müs­sen Betrie­be einen betrieb­li­chen Daten­schutz­be­auf­trag­ten bestel­len? Die­se Fra­ge sorgt aktu­ell für Ver­un­si­che­rung bei den Unter­neh­mern des Hand­werks, da zu den zugrun­de lie­gen­den Bestim­mun­gen der ab 25. Mai in Kraft tre­ten­den EU-Daten­schutz­grund­ver­ord­nung unter­schied­li­che Aus­le­gun­gen ver­öf­fent­licht wer­den. Hans-Karl Bau­er, Jurist und behörd­li­cher Daten­schutz­be­auf­trag­ter der HWK für Ober­fran­ken, hat dazu nun noch ein­mal bei der für Daten­schutz zustän­di­gen Rechts­au­fischt nach­ge­hakt. „Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht ver­tritt eine Aus­le­gung ganz im Sin­ne des Hand­werks.“ Das wesent­li­che Ent­schei­dungs­kri­te­ri­um ist, ob ein Mit­ar­bei­ter stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäf­tigt ist.

Die HWK für Ober­fran­ken hat Anfang März in zwei gro­ßen Ver­an­stal­tun­gen über die wich­tig­sten Bestim­mun­gen des neu­en Bun­des­da­ten­schutz­ge­set­zes (BDSG-neu) infor­miert. „Dabei und auch im Nach­gang haben uns vie­le Betrie­be dar­auf auf­merk­sam gemacht, dass immer wie­der unter­schied­lich zu den Bestim­mun­gen rund um die Bestel­lung eines Daten­schutz­be­auf­trag­ten (DSB) berich­tet wird. Die Ver­un­si­che­rung, was stimmt, was nicht und was zu tun ist, ist ent­spre­chend groß“, erklärt Bau­er. Daher hat der Daten­schutz­be­auf­trag­te der HWK für Ober­fran­ken bei der Auf­sichts­be­hör­de nach­ge­hakt. „Die­se ver­tritt eine Auf­fas­sung, die gera­de den klei­nen und mitt­le­ren Betrie­ben des Hand­werks zugutekommt.“

Das bedeu­tet kon­kret: Auch wenn es im neu­en Bun­des­da­ten­schutz­ge­setz heißt, in Betrie­ben mit mehr als zehn Mit­ar­bei­tern, die auto­ma­ti­siert per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten, muss ein Daten­schutz­be­auf­trag­ter bestellt wer­den ist, gibt es Hand­lungs­spiel­raum. Bau­er ver­deut­licht dies an einem anschau­li­chen Bei­spiel. „Die Aus­gangs­la­ge ist fol­gen­de: Ein Hand­wer­ker hat 21 Mit­ar­bei­ter, drei davon im Büro, die an Daten­ver­ar­bei­tungs­an­la­gen arbei­ten, und 18 Mon­teu­re, die auf Bau­stel­len unter­wegs sind.“ Nun gibt es zum Bei­spiel zwei mög­li­che, unter­schied­li­che Sze­na­ri­en. Im ersten rufen die Mon­teu­re mit­tels Lap­top im Fir­men­wa­gen Kun­den­da­ten auf. Im zwei­ten erhal­ten die Mon­teu­re aus­schließ­lich Papier­aus­drucke, auf dem die Daten des jewei­li­gen Kun­den ste­hen. „Daten­schutz­recht­lich kön­nen bei­de Sze­na­ri­en gleich bewer­tet wer­den“, macht der HWK-Jurist deut­lich. „In bei­den Fäl­len müss­te der Betrieb kei­nen Daten­schutz­be­auf­trag­ten bestellen.“

Erheb­li­cher oder unter­ge­ord­ne­ter Umgang?

Denn, so heißt es in der Begrün­dung von Wolf­gang Wörr­lein vom Baye­ri­schen Lan­des­amt für Daten­schutz­auf­sicht, „wir ver­tre­ten die Auf­fas­sung, dass stän­dig bedeu­tet, dass eine Per­son einen erheb­li­chen Teil ihrer Arbeit mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäf­tigt sein muss“. Dies sei zum Bei­spiel bei Mit­ar­bei­tern der Per­so­nal­ver­wal­tung, des Mar­ke­tings oder der Kun­den­be­treu­ung der Fall. Beschäf­tig­te, die in erster Linie mit ande­ren (z.B. tech­ni­schen) Auf­ga­ben betraut sind und nur völ­lig unter­ge­ord­net mit den per­so­nen­be­zo­ge­nen Daten umge­hen, sind nicht zu berück­sich­ti­gen. „Nicht zu zäh­len sind damit ins­be­son­de­re Mon­teu­re oder Arbei­ter an Pro­duk­ti­ons­li­ni­en etc., die nur gele­gent­lich bzw. ver­ein­zelt per­so­nen­be­zo­ge­ne Daten ver­wen­den oder damit in Berüh­rung kommen“.