DVPi Blog

Solche oder ähnliche Schlagzeilen konnte man vor oder nach dem 25.05.2018, dem Stichtag der Einführung der Datenschutzgrundverordnung (nachfolgend DS-GVO), regelmäßig lesen.

Nach nun fast über einem halben Jahr fragt sich so Mancher, was eigentlich von den vielen Befürchtungen und Ängsten tatsächlich eingetreten ist. War alles nur Panikmache der Medien und geldgieriger Geschäftemacher?

Tatsächlich lässt sich heute feststellen, dass alles nicht so dramatisch verlief, wie von Vielen befürchtet oder vorhergesagt.

Aus unserer Sicht hängt dies aber nicht zuletzt auch damit zusammen, dass die Behörden in der Anfangszeit viel zu überlastet waren, um flächendeckend die Einhaltung des Datenschutzes zu überprüfen. Darüber hinaus hatten sich auch viele Unternehmen bis zum 25.05.2018 nach außen hin gut aufgestellt und zumindest ihre Internetseiten DS-GVO konform angepasst.

Das soll jetzt nicht heißen, dass uns das Schlimmste noch bevorsteht und wir jetzt auch Panik verbreiten wollen.

Aber sich nun in puncto Datenschutz einfach entspannt zurücklehnen, weil bisher noch nicht viel passiert ist, wäre nach unserer festen Überzeugung eben auch der falsche Weg.

Das DVPi möchte daher alle Fahrschulen künftig regelmäßig zum Thema Datenschutz sensibilisieren und informieren und ggf. auch beraten.

Der Verfasser dieses und der folgenden datenschutzrechtlichen Expertentipps ist Rechtsanwalt Ulf Callsen, der seit Juli 2018 als Syndikusanwalt beim DVPi-Frankfurt angestellt ist, wo er bereits zuvor viele Jahre als freier Dozent tätig war.

Er hat sich mittlerweile auf das Thema Datenschutz spezialisiert und dabei insbesondere die Fahrschulen in den Fokus genommen.

Der Datenschutzbeauftragte

Einer der wichtigsten Helfer bei der Umsetzung des Datenschutzes in der Fahrschule ist dabei der Datenschutzbeauftragte. Die Hauptaufgabe eines Datenschutzbeauftragten besteht darin, auf die Einhaltung der Bestimmungen der DS-GVO (Datenschutzgrundverordnung) und dem BDSG (Bundesdatenschutzgesetz) hinzuwirken.  Er gibt dem Fahrschulinhaber Hinweise oder übt Kritik bezüglich der Einhaltung des Datenschutzes, entwickelt aber auch gemeinsam mit dem Fahrschulinhaber Lösungen. Natürlich bindet ein Datenschutzbeauftragter zeitliche und finanzielle Mittel, macht aber im Gegenzug die Fahrschule sicher vor behördlichen Sanktionen.

benötigt die Fahrschule überhaupt einen Datenschutzbeauftragten?

Zunächst stellt sich allerdings die Frage, ob in der Fahrschule überhaupt ein Datenschutzbeauftragter benötigt wird.

Grundsätzlich ist die Benennung eines Datenschutzbeauftragten erforderlich, wenn in einer Fahrschule „in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden“. Für die Bestimmung der Zahl der Personen ist unerheblich, ob diese Personen Teilzeit oder Vollzeit bei Ihnen arbeiten. Auch freie Mitarbeiter werden dazu gezählt, ebenso Auszubildende, Volontäre und Praktikanten. „In der Regel“ und „ständig“ bedeutet, dass der mittlere Personalstand und –bedarf über einen Betrachtungszeitraum von 1 Jahr maßgeblich ist. Unter personenbezogenen Daten versteht man zum Beispiel den Namen, das Alter, die Anschrift, die Telefonnummer, den Geburtstag, oder die E-Mail- Adresse der betroffenen Person. Automatisierte Verarbeitung ist dabei nicht im technischen Sinne zu verstehen, da die Verarbeitung auch nicht-technisch, also manuell erfolgen kann. Mit dem Begriff verarbeiten ist jeglicher Umgang mit den Daten gemeint, z.B. erfassen, ordnen, speichern, verändern, abfragen, übermitteln, einschränken, vernichten.

Liegen alle diese Voraussetzungen vor, so muss die Fahrschule einen Datenschutzbeauftragten benennen.

Tipp: Liegen die Voraussetzungen nicht vor, brauchen Sie keinen Datenschutzbeauftragten zu benennen bzw. zu bestellen. Dieses bedeutet aber nicht, dass Sie überhaupt keinen Datenschutz betreiben brauchen, vielmehr bedeutet dieses nur, das die Einhaltung des Datenschutzes „Chefsache“ bleibt.

Weiter sollte sich die Fahrschule dann die Frage stellen, wer mit dem Datenschutz beauftragt werden sollte – ein Mitarbeiter der Fahrschule oder ein Dritter (interner oder externe Datenschutzbeauftragter).

Für die Bestellung eines Mitarbeiters zu einem internen Datenschutzbeauftragten spricht, dass der Mitarbeiter die Fahrschule mit allen Stärken und Schwächen und deren Organisation gut kennt und sich dementsprechend nicht erst in die Strukturen der Fahrschule einarbeiten muss. Er weiß, welche Daten woher kommen, wohin sie übermittelt werden und kennt die Datenverarbeitungssysteme der Fahrschule.

Im Gegenzug sollte bei der Bestellung eines eigenen Mitarbeiters zum internen Datenschutzbeauftragten allerdings bedacht werden, dass für einen betrieblichen Datenschutzbeauftragten ein besonderer Kündigungsschutz besteht und seine Abberufung nur unter bestimmten Voraussetzungen wieder möglich ist. So stellt es nach einem Urteil des Bundesarbeitsgerichts keinen wichtigen Grund für die Widerrufung der Bestellung des internen Datenschutzbeauftragten dar, wenn sich die Fahrschule später entscheidet, einen externen Datenschutzbeauftragten zu bestellen. Der interne Datenschutzbeauftragte besitzt demnach eine außergewöhnliche hohe Stellung in der Fahrschule und sollte dementsprechend sorgfältig ausgewählt werden.

Tipp:  Wenn Sie sich entscheiden, einen Mitarbeiter als internen Datenschutzbeauftragten zu bestellen, sollte darauf geachtet werden, dass dieser gut in der Fahrschule integriert ist. Er muss zuverlässig und loyal sein, aber auch den Mut haben, etwaige Fehler oder Missstände klar und deutlich gegenüber dem Fahrschulinhaber anzusprechen. Daneben sollte der ausgewählte Mitarbeiter natürlich Kenntnisse im Datenschutzrecht, sowie über die Informationstechnik als auch über die betriebliche Organisation besitzen.

Für einen externen Datenschutzbeauftragten und gegen einen internen Datenschutzbeauftragten spricht neben dem besonderen Kündigungsschutz des internen Datenschutzbeauftragten, dass sich häufig kein geeigneter Mitarbeiter für den internen Datenschutzbeauftragten finden lässt, der die geeigneten Kenntnisse im Datenschutzrecht und Informationstechnik besitzt oder der zumindest die Zeit hat, sich in ausreichendem Maße in die Themen Datenschutz und Informationstechnik einzuarbeiten und sich konstruktiv mit diesen Themen auseinanderzusetzen. Auch wenn für den externen Datenschutzbeauftragten zunächst eine neue Kostenstelle eröffnet werden muss, wird häufig bei der Kostenkalkulation übersehen, dass sich der interne Mitarbeiter erstmal in die für ihn neue Materie einarbeiten muss und auch in der Regel auch eine höhere Vergütung erwarten darf. Hinzukommen Kostenaufwände für die Weiterbildung des internen Datenschutzbeauftragten sowie Kosten für eine angemessene Ausstattung, z.B. Literatur über den Datenschutz. Alle diese internen Ressourcen werden bei der Bestellung eines externen Datenschutzbeauftragten geschont und damit Kosten gespart, so dass die Bestellung eines externen Datenschutzbeauftragten sich meist als die kostengünstigere Lösung darstellt. Unter dem Strich spricht deshalb mehr für eine Bestellung eines externen Datenschutzbeauftragten, als für einen internen Datenschutzbeauftragten.

Tipp: Auch wenn ein interner Datenschutzbeauftragter bereits vorhanden ist, sollte überlegt werden, diesem noch einen externen Berater zur Seite zu stellen. Zwar ist dann der externe Berater nicht formell zum Datenschutzbeauftragten bestellt, kann aber in der Beratung seine Erfahrungen einbringen, die er bereits als externer Datenschutzbeauftragter gesammelt hat.