Kurzbeiträge
Aus den aktuellen Berichten und Informationen der Aufsichtsbehörden (41): Die DSB-Benennungspflicht nach § 38 Abs. 1 BDSG
I. Zur Auslösung der DSB-Bestellpflicht nach § 38 Abs. 1 BDSG
1. Vorbemerkung
In der Privatwirtschaft ist die Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten u. a. davon abhängig, wie viele Personen in einem Unternehmen oder bei einer anderen Stelle „in der Regel“ sowie „ständig“ mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Damit schreibt § 38 Abs. 1 Satz 1 BDSG eine in Deutschland bereits vor der zum 25. Mai 2018 bewirkten Neuregelung des Datenschutzrechts bekannte Regelung fort (§ 4f Abs. 1 S. 4 BDSG aF), wobei nicht nur die Kommentarliteratur, sondern auch die Aufsichtsbehörden insbesondere bei der Interpretation des Tatbestandsmerkmals der „ständigen“ Beschäftigung bei der Verarbeitung personenbezogener Daten unterschiedliche Auffassungen vertreten. Maßgebend für die Auslösung der Benennungspflicht eines DSB sind somit drei Voraussetzungen:
- zehn bei der automatisierten Verarbeitung personenbezogener Daten Beschäftigte
- Regelmäßigkeit der Beschäftigung
- Ständigkeit der Beschäftigung
2. Der Kreis der bei der automatisierten Verarbeitung beschäftigten Personen
Der Kreis der die Benennungspflicht bestimmenden Personen ist umfassend. Der LfDI Baden-Württemberg führt dazu aus: „Das Wort ‚Personen‘ soll deutlich machen, dass aus datenschutzrechtlicher Sicht allein die Anzahl der mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten Personen – unabhängig von ihrem arbeitsrechtlichen Status als Arbeitnehmer, freie Mitarbeiter oder Auszubildende – entscheidend ist. Es sind also beispielsweise hinzuzurechnen: Voll- und Teilzeitkräfte, Leiharbeitnehmer, Auszubildende, Volontäre und Praktikanten sowie Beschäftigte in Telearbeit.“ Voraussetzung ist die Beteiligung an automatisierten Verarbeitungen des Unternehmens (Vereins usw.). Diese liegt vor, wenn von der beschäftigten Person Datenverarbeitungsanlagen wie z. B. PCs, Tablets oder Smartphones verwendet werden. Personen, die mit anderen (z. B. technischen/handwerklichen) Aufgaben betraut sind und keine automatisierte Datenverarbeitung durchführen, sind nicht zu berücksichtigen. Nicht hinzuzuzählen sind damit z. B. angestellte Handwerker, Reinigungskräfte, LKW-Fahrer, Monteure, Lager-Mitarbeiter, Arbeiter an Produktionsstätten und auf Baustellen, die ihre Aufträge intern nur auf Papier bekommen und nicht automatisiert personenbezogene Daten verarbeiten. Erhält der Handwerker jedoch seine bei den Kunden durchzuführenden Aufträge per Smartphone und rechnet er hierüber auch unmittelbar die geleisteten Stunden bei der Buchhaltung des Betriebs ab, ist das Tatbestandsmerkmal der Beschäftigung bei automatisierter Verarbeitung erfüllt.
3. Das Tatbestandsmerkmal „in der Regel“
Das BayLDA gibt in seinem Tätigkeitsbericht für die Jahre 2017/2018 und in einer Arbeitshilfe eine Erläuterung der durch die Begriffe „in der Regel“ und „ständig“ vollzogenen Grenzziehung der Bestellpflicht. Danach stelle der Begriff „in der Regel“ als Abgrenzungsmerkmal darauf ab, dass die zehn oder mehr Beschäftigten die übliche personelle Größenordnung des Unternehmens oder des Auftragsverarbeiters bilden; gelegentliche unregelmäßige Aushilfen bleiben dabei außer Betracht. Dementsprechend interpretiert auch der LfDI Baden-Württemberg den Begriff so, dass „in der Regel“ unterstreichen soll, dass gewisse Schwankungen in der Anzahl der Personen, die automatisiert Daten verarbeiten, unbeachtlich sind, wenn „in der Regel“ die Anzahl unter zehn Personen bleibt. Dadurch soll vermieden werden, dass Unternehmen nur deshalb der DSB-Bestellpflicht zugeordnet werden, weil sie die maßgebliche Personengrenze für die Verpflichtung kurzzeitig überschreiten. Entscheidend sei der auf ein Jahr zu betrachtende, durchschnittliche Personalbestand. Nach dem LfDI Baden-Württemberg ergänzt die Anforderung der „ständigen“ Beschäftigung nur den Begriff „in der Regel“, d. h. er soll klarstellen, dass Personen, die nur gelegentlich, z. B. als Urlaubsvertretung, beschäftigt sind und dabei personenbezogene Daten automatisiert verarbeiten, nicht mitzuzählen sind.
4. Das Tatbestandsmerkmal „ständig“
a) „Ständig“ gleich „schwerpunktmäßig“
aa) Die Definition
Der Begriff der „Ständigkeit“ wird von einigen Aufsichtsbehörden so interpretiert, dass er auf den maßgebenden Umfang oder den Schwerpunkt der Tätigkeit abstellt. Nach dem BayLDA setzt „ständige“ Beschäftigung mit der automatisierten Verarbeitung personenbezogener Daten voraus, dass diese ein Schwerpunkt der Tätigkeit einer Person ist. Gruppen von Mitarbeitern, die allenfalls untergeordnet mit der automatisierten Verarbeitung personenbezogener Daten befasst sind, seien bei der genannten Zehn-Personen-Grenze nicht mitzuzählen. Beispiele sind Handwerker, die ein Tablet zur Eingabe der Arbeitszeit beim Kunden nutzen, oder Versandmitarbeiter, deren Tätigkeit überwiegend das Zusammenstellen und Ausliefern von Waren umfasst. Anders ist dies bei Beschäftigten der Personal- oder Finanzbuchhaltung, die regelmäßig zu den zehn Personen gezählt werden.
bb) Apotheken als Beispiel
Eine ähnliche Auffassung gilt auch für Apotheken. So führt das Bayerische Innenministerium aus, dass Apotheken grundsätzlich keinen Datenschutzbeauftragten bestellen müssen, da im Mittelpunkt ihrer Tätigkeit die Beratung steht und nicht die Datenverarbeitung. Zwar kommen die Mitarbeiter täglich mit Daten der Kunden in Berührung, wenn sie Rezepte entgegennehmen und abrechnen, jedoch füllt die Verarbeitung dieser personenbezogenen Daten nicht die Hälfte ihrer Arbeitszeit aus. Somit sind sie nicht „ständig“ mit der Datenverarbeitung befasst.
b) „Ständig“ gleich „stetig“
aa) Die Definition
Anders ist die Rechtslage, wenn die „ständige“ Verarbeitung im Sinne von „stetig“ verstanden wird. Der Hessische Datenschutzbeauftragte vertritt die Auffassung, dass es genügt, wenn die Verarbeitung regelmäßig erfolgt, auch wenn sie nicht den überwiegenden Anteil der Arbeitszeit einnimmt. Entscheidend ist, dass die Verarbeitung nicht völlig untergeordnet ist.
bb) Ein Taxiunternehmen als Beispiel
Ein Beispiel bietet ein Taxiunternehmen, das neben 30 Fahrern sechs Mitarbeiter im Büro beschäftigte, die personenbezogene Daten der Fahrgäste verarbeiteten. Die LfDI Berlin entschied, dass auch die Taxifahrer zu berücksichtigen sind, wenn sie ihre Aufträge elektronisch annehmen, da dies als automatisierte Verarbeitung personenbezogener Daten gilt. Somit unterliegt ein Taxiunternehmen der DSB-Bestellpflicht, wenn es mindestens zehn Personen beschäftigt, die personenbezogene Daten verarbeiten.
5. Klarstellung durch den Gesetzgeber?
Die Interpretation der Reichweite der Benennungspflicht wird auch im Zusammenhang mit der Frage gesehen, ob der Gesetzgeber nicht kleine Vereine und kleine und mittlere Unternehmen von der DSB-Bestellpflicht ausnehmen sollte. Der Bundesrat hatte hierzu bereits beraten, wie der Bundestag entscheiden wird, bleibt abzuwarten.
Wie Sie sich im Jahr 2019 durch das Datenschutz-Minenfeld navigieren
Den meisten Unternehmen ist verantwortungsvolles und ethisches Handeln wichtig.
Sie wollen die Privatsphäre ihrer Kunden respektieren, sind sich jedoch unsicher bezüglich der Umsetzung. Unternehmen sind hungrig nach Erkenntnissen und praktischem Nutzen, die sie aus ihren Kundendaten gewinnen können, sind gleichzeitig jedoch vorsichtig bezüglich der DS-GVO, dem Minenfeld, durch das sich viele Unternehmen seit 2018 navigieren müssen.
I. Vermeiden Sie die Zustimmungsfalle!
Für datenzentrierte Unternehmen, die sicherstellen wollen, dass die Privatsphäre der Kunden bei der Datenanalyse gewährleistet wird, ist es essenziell, nicht an die Einwilligung des Kunden als Allheilmittel zu glauben. Denn dies ist ein Irrglaube. Wie aus der kürzlich verhängten Geldbuße im Rahmen der DS-GVO – vermutlich der ersten von vielen – hervorgeht, ist es nicht so einfach, eine rechtssichere Einwilligung einzuholen. Eine leicht zugängliche, spezifische und eindeutige Einwilligungserklärung muss separat für jeden Zweck eingeholt werden. Dies bedeutet, dass pauschale Einwilligungen „für Analysen“ nicht ausreichen, um einem Unternehmen die Kundendatenanalyse für einen bestimmten Zweck zu ermöglichen. Statt sich auf eine Zustimmung zur Analyse personenbezogener Daten zu verlassen, sollten Unternehmen vollständig von einer Verwendung personenbezogener Daten absehen, insbesondere, wenn der reale Nutzen auch durch die Verwendung anonymisierter Daten erzielt werden kann.
II. In-House oder Unabhängige Anonymisierung
Daten können aus datenschutzrechtlicher Sicht als „anonymisiert“ betrachtet werden, wenn die betroffenen Personen nicht identifizierbar sind, wobei alle Identifizierungsmethoden zu berücksichtigen sind, die vom Datenverantwortlichen oder einer anderen Person vermutlich angewendet werden könnten. Wenn der Verantwortliche die ursprünglichen Quelldaten jedoch zu einem anderen Zweck weiter aufbewahrt (Betrugserkennung usw.), dann gelten die anonymisierten Daten dennoch als persönliche Daten, da sie mit den ursprünglichen Daten zur erneuten Identifizierung verknüpft werden können.
Viele Unternehmen haben bei der Anonymisierung von Daten mit der Komplexität und der Compliance gemäß DS-GVO zu kämpfen. Maßnahmen zur Datenschutzverbesserung wie die Anonymisierung sind nicht leicht umzusetzen und erfordern eine Kombination aus Data Science, Data Engineering und juristischem Fachwissen – Fähigkeiten, die teuer, schwer zu erwerben und sogar noch schwieriger zu behalten sind. Eine unabhängige Anonymisierung ist der beste Weg, um eine Verbindung zwischen der ursprünglichen Datenquelle und dem anonymisierten Datensatz für Analysezwecke wirklich zu trennen. Der Versuch einer In-House-Anonymisierung birgt immer das Risiko einer versehentlichen (oder vorsätzlichen) erneuten Identifizierung von Personen und damit einem Verstoß gegen geltende Vorschriften.
III. Analyse mit mehr Erkenntnissen und weniger Verzerrung
Bei der Entscheidung für die unabhängige Anonymisierung geht es nicht nur um die Einhaltung gesetzlicher Bestimmungen wie der DS-GVO oder um die Botschaft an Ihre Kunden, dass Sie deren Privatsphäre respektieren. Es lassen sich direkt noch weitere Vorteile erschließen. Einer der wichtigsten und oft unterschätzten Vorteile sind genauere Erkenntnisse bei geringerem Risiko einer Verzerrung.
Zumeist wird nur ein geringer Prozentsatz der Kunden die explizite Einwilligung zur Analyse der persönlichen Daten erteilen, was zu einer beschränkten Datensatzgröße führt. Leider ergibt sich daraus das erhebliche Risiko, ungenaue Schlussfolgerungen zu ziehen. In der Regel werden resultierende Modelle nicht belastbar genug sein, um Abweichungen und feine Nuancen in den Daten als solche zu erfassen, und die Wahrscheinlichkeit einer Verzerrung steigt.
Wenn eine Organisation beispielsweise Merkmale identifizieren möchte, die einen Buchhalter definieren, könnte sie eine Straßenumfrage mit zufällig ausgewählten Personen durchführen. Wenn 10 Personen befragt werden und sich unter diesen 3 Buchhalter befinden, die alle Brillenträger sind, während die anderen 7 Befragten keine tragen, könnte die Organisation zu dem Schluss kommen, dass eine Brille ein bestimmendes Merkmal des Berufs ist. Eine Überanpassung tritt ein, wenn die Analyse zu sehr mit einem Datensatz übereinstimmt, und es an zusätzlichen Daten fehlt, die gewährleisten, dass die Schlussfolgerungen tatsächlich zutreffen. Das Erstellen eines Modells mit einer größeren Personenanzahl ist der beste Weg, um Überanpassung und Verzerrung zu vermeiden. So hätte sich bei einer längeren Straßenumfrage herausstellen können, dass eine Brille kein guter Indikator für einen Buchhalter oder eine beliebige andere Berufsgruppe darstellt.
Die unabhängige Anonymisierung von Kundendaten, für die gemäß DS-GVO keine Einwilligung notwendig ist, bietet den Vorteil, dass der gesamte Datenbestand zur Analyse herangezogen werden kann, um ein repräsentatives und genaues Ergebnis ohne Verzerrungen zu erhalten.
IV. Längerfristige Sicht
Ein weiterer Vorteil der unabhängigen Anonymisierung ist die Möglichkeit, Langzeitstudien durchzuführen, um tiefere Erkenntnisse zu gewinnen. Durch die Anonymisierung können Organisationen Daten über einen längeren Zeitraum legal aufbewahren. Dies bedeutet, dass historische Daten zur Entwicklung von Vorhersagemodellen verwendet werden können, die belastbarer und genauer sind und zeitbasierte Effekte wie saisonale Schwankungen berücksichtigen.
Um das oben genannte Beispiel auszudehnen, könnte man versuchen, herauszufinden, ob einige der Umfrageteilnehmer einen Regenschirm bei sich hatten und ob dies auf die Wetterbedingungen am Tag der Umfrage, das typische Wetter zur aktuellen Jahreszeit oder in einigen Fällen auf den vorsichtigen Charakter der Umfrageteilnehmer zurückzuführen ist. Man müsste die Analyse über einen längeren Zeitraum und zu jeder Jahreszeit durchführen, im Idealfall über mehrere Jahre hinweg, was bedeutet, dass die Antworten für die Dauer der Umfrage erhalten bleiben müssten. Wenn die Antworten anonymisiert werden, können solche Langzeitanalysen ohne eine Gefährdung der Privatsphäre der Umfrageteilnehmer durchgeführt werden.
V. Stärkung der Analyse durch Schutz der Kundendaten
Durch die unabhängige Anonymisierung können Unternehmen ihre Daten weiterhin gemäß DS-GVO analysieren und das bei gleichbleibender Tiefe und Aussagekraft der resultierenden Ergebnisse. Diese erweiterten Möglichkeiten gelten für eine Vielzahl von analytischen Aktivitäten, einschließlich Kundenbindung, Kundenwert-Modellierung, Empfehlungssysteme, Kundensegmentierung und Preisoptimierung. Letztendlich ermöglicht die unabhängige Anonymisierung von Kundendaten den Unternehmen, gesetzeskonform ihre Analysemodelle zu verfeinern, um dadurch Marktanalysen, Wachstum und Innovation voranzutreiben.