Wann Online-Händler nach der neuen Datenschutz-Grundverordnung einen Datenschutzbeauftragten benennen müssen

20.03.2018 DSGVO, Datenschutzgrundverordnung, Partnerschaft, Vertrauen, Trust

Ab dem 25.05.2018 tritt die neue Datenschutzgrundverordnung (DSGVO) in Kraft, die bei vielen Händlern noch Fragen aufwirft. Der Rechtsanwalt Max-Lion Keller von der IT-Recht Kanzlei, die Partner von EHI Geprüfter Online-Shop ist, erklärt in folgendem Beitrag, in welchen Fällen Online-Händler nach der neuen DSGVO einen Datenschutzbeauftragen benennen müssen. Hierbei ist vorab zu unterscheiden, ob mehr als neun Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind oder weniger.

Weniger als 10 Personen sind mit der automatisierten Datenverarbeitung dauerhaft beschäftigt

Grundsätzlich muss bei weniger als 10 ständig in der Datenverarbeitung beschäftigten Personen kein Datenschutzbeauftragter benannt werden. Dies ist im deutschen Anpassungsgesetz, § 38 geregelt. Dennoch gibt es Ausnahmen von dieser Regel, nämlich wenn die Datenverarbeitung einer Datenschutz-Folgeabschätzung unterliegt oder die Daten zu Zwecken der Markt- und Meinungsforschung genutzt werden.

Datenverarbeitung unterliegt Datenschutz-Folgeabschätzung

Die Bestellung eines Datenschutzbeauftragten ist vorgeschrieben, wenn eine Datenverarbeitung vorgenommen wird, die einer Datenschutz-Folgeabschätzung (DSFA) unterliegt (vgl. Art. 35 DSGVO). Eine Datenschutz-Folgeabschätzung ist etwa bei einer automatisierten Verarbeitung von personenbezogenen Daten erforderlich, wenn diese Verarbeitung automatisch als Entscheidungsgrundlage eine Rechtswirkung hat. Eine Datenschutz-Folgeabschätzung wäre etwa notwendig, wenn eine automatisierte Datenverarbeitung auf die Bewertung von bestimmten Persönlichkeitsmerkmalen abzielt und der Betroffene durch eine solche automatisierte Entscheidung erheblich beeinträchtigt wird (z.B. Kündigung).

Fälle, in denen Händler eine automatisierte Datenverarbeitung durchführen sind z.B. die automatisierte Bonitätsprüfung oder der Einsatz von Tracking-Tools bei Online-Werbung. Allerdings hat die Bonitätsprüfung keine unmittelbare Rechtswirkung, da sie lediglich zu einem Nicht-Zustandekommen des Vertrags führen würde, was über den Grundsatz der Vertragsfreiheit gedeckt ist. Auch die Erstellung von personalisierter Werbung durch vorheriges Tracking ist in ihrer Auswirkung nicht mit einer Rechtswirkung gleichzusetzen.

Fazit: In der Regel löst die Datenverarbeitung eines Online-Händlers keine Datenschutz-Folgeabschätzung aus.

Verarbeitung zum Zwecke der Markt- oder Meinungsforschung

Eine weitere Ausnahme von der Mindestanzahl von 10 Beschäftigten, ab der ein Datenschutzbeauftragter zu bestellen ist, liegt vor, wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. Laut der amtlichen Begründung zum Anpassungsgesetz entspricht 38 Abs. 1 Satz 2 inhaltlich im Wesentlichen der bisherigen Regelung des §4f Absatz 1 Satz 6 Bundesdatenschutzgesetz. Hinsichtlich § 38 Abs. 1 Satz 6 Anpassungsgesetz kann daher auf die Auslegung zu § 4f Satz 1 Bundesdatenschutzgesetz zurückgegriffen werden.

Es ist davon auszugehen, dass mit den in § 4f Satz 1 genannten Datenverarbeitungen die Tätigkeiten von Auskunfteien, Adresshändlern und Instituten zur Markt- und Meinungsforschung gemeint sind, Online-Händler hiervon also nicht betroffen sind.

Fazit: Für Online-Händler, deren Haupttätigkeit darin besteht, Produkte zu vertreiben, erfolgt keine Datenverarbeitung zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung.

Mehr als 9 Personen sind mit der automatisierten Datenverarbeitung dauerhaft beschäftigt

Für den Fall, dass in einem Online-Unternehmen mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, muss in jedem Fall ein Datenschutzbeauftragter bestellt werden. § 38 Bundesdatenschutzgesetz schafft hier abweichend zur DSGVO deutsches Sonderrecht.

Personenbezogene Daten sind z.B. Daten von Kunden im Rahmen einer Bestellung, wie Name, Anschrift, Geburtsdatum etc. Eine automatisierte Verarbeitung liegt vor, sobald personenbezogene Daten unter Einsatz von DV-Anlagen erhoben, verarbeitet oder genutzt werden. Dies ist auch schon bei der Textverarbeitung entsprechender Daten per PC der Fall. Bei einer automatisierten Verarbeitung sind also nicht nur die unmittelbar im Rechenzentrum und im Bereich der Systemabwicklung und Programmierung Beschäftigten, sondern auch alle Personen, die zentral oder dezentral (z. B. an einem vernetzten PC-Arbeitsplatz) Aufgaben erfüllen, die mit der Verarbeitung personenbezogener Daten zusammenhängen, gemeint. Dies betrifft nicht nur festangestellte Mitarbeiter, sondern auch freie Mitarbeiter und Auszubildende. Einzige Ausnahme sind Personen, die nur gelegentlich (z.B. als Urlaubsvertretung) personenbezogene Daten automatisiert verarbeiten.

Was das für Online-Händler bedeutet

Für Online-Händler bleibt für die Frage der verpflichtenden Benennung eines Datenschutzbeauftragten Folgendes festzuhalten:

  • Wenn mehr als 9 Personen ständig mit der automatisierten Verarbeitung personenbezogene Daten beschäftigt sind, ist immer ein Datenschutzbeauftragter zu benennen.
  • Wenn weniger als 10 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, muss grundsätzlich kein Datenschutzbeauftragter benannt werden. Hiervon gibt es jedoch Ausnahmen.
  • Eine Ausnahme liegt vor, wenn eine Datenverarbeitung vorgenommen wird, die einer Datenschutz-Folgeabschätzung unterliegt, was aber im Online-Handel normalerweise nicht der Fall ist.
  • Eine weitere Ausnahme liegt vor, wenn die personenbezogenen Daten zum Zweck der Markt- oder Meinungsforschung übermittelt, anonymisiert übermittelt oder verarbeitet werden. Dies trifft jedoch auf den Online-Händler nicht zu, dessen Haupttätigkeit der Vertrieb von Produkten ist.

Über die IT-Recht Kanzlei

Die IT-Recht Kanzlei wurde im Jahr 2004 gegründet und ist Partner von EHI Geprüfter Online-Shop. Die mittelständische Anwaltssozietät in München konzentriert sich auf hochspezialisierte Beratung in den Bereichen des IT-Vertrags- und Vergaberechts, des Rechts des E-Commerce, des Markenrechts sowie des Internet- und Domainrechts. Zudem bietet sie die Betreuung als externen Datenschutzbeauftragen an (http://datenschutzbeauftragter-haendler.de/). Online-Händler, die die Vollbetreuung der IT-Recht Kanzlei in Anspruch nehmen, erhalten 50% Rabatt auf die Leistungen von EHI Geprüfter Online-Shop.