Freitag, 21. Dezember 2018 13:58
Solche oder ähnliche Schlagzeilen konnte man vor oder nach dem 25.05.2018, dem Stichtag der Einführung der Datenschutzgrundverordnung (nachfolgend DS-GVO), regelmäßig lesen.
Nach
nun fast über einem halben Jahr fragt sich so Mancher, was eigentlich von den vielen
Befürchtungen und Ängsten tatsächlich eingetreten ist. War alles nur Panikmache
der Medien und geldgieriger Geschäftemacher?
Tatsächlich
lässt sich heute feststellen, dass alles nicht so dramatisch verlief, wie von
Vielen befürchtet oder vorhergesagt.
Aus
unserer Sicht hängt dies aber nicht zuletzt auch damit zusammen, dass die
Behörden in der Anfangszeit viel zu überlastet waren, um flächendeckend die
Einhaltung des Datenschutzes zu überprüfen. Darüber hinaus hatten sich auch viele
Unternehmen bis zum 25.05.2018 nach außen hin gut aufgestellt und zumindest
ihre Internetseiten DS-GVO konform angepasst.
Das
soll jetzt nicht heißen, dass uns das Schlimmste noch bevorsteht und wir jetzt
auch Panik verbreiten wollen.
Aber
sich nun in puncto Datenschutz einfach entspannt zurücklehnen, weil bisher noch
nicht viel passiert ist, wäre nach unserer festen Überzeugung eben auch der
falsche Weg.
Das
DVPi möchte daher alle Fahrschulen künftig regelmäßig zum Thema Datenschutz sensibilisieren
und informieren und ggf. auch beraten.
Der
Verfasser dieses und der folgenden datenschutzrechtlichen Expertentipps ist
Rechtsanwalt Ulf Callsen, der seit Juli 2018 als Syndikusanwalt beim DVPi-Frankfurt
angestellt ist, wo er bereits zuvor viele Jahre als freier Dozent tätig war.
Er
hat sich mittlerweile auf das Thema Datenschutz spezialisiert und dabei
insbesondere die Fahrschulen in den Fokus genommen.
Der Datenschutzbeauftragte
Einer
der wichtigsten Helfer bei der Umsetzung des Datenschutzes in der Fahrschule
ist dabei der Datenschutzbeauftragte. Die Hauptaufgabe eines
Datenschutzbeauftragten besteht darin, auf die Einhaltung der Bestimmungen der
DS-GVO (Datenschutzgrundverordnung) und dem BDSG (Bundesdatenschutzgesetz)
hinzuwirken. Er gibt dem
Fahrschulinhaber Hinweise oder übt Kritik bezüglich der Einhaltung des
Datenschutzes, entwickelt aber auch gemeinsam mit dem Fahrschulinhaber Lösungen.
Natürlich bindet ein Datenschutzbeauftragter zeitliche und finanzielle Mittel,
macht aber im Gegenzug die Fahrschule sicher vor behördlichen Sanktionen.
benötigt die Fahrschule überhaupt einen Datenschutzbeauftragten?
Zunächst stellt sich
allerdings die Frage, ob in der Fahrschule überhaupt ein Datenschutzbeauftragter
benötigt wird.
Grundsätzlich ist die Benennung eines Datenschutzbeauftragten
erforderlich, wenn in einer Fahrschule „in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt
werden“. Für die
Bestimmung der Zahl der Personen ist unerheblich, ob diese Personen Teilzeit
oder Vollzeit bei Ihnen arbeiten. Auch freie Mitarbeiter werden dazu gezählt,
ebenso Auszubildende, Volontäre und Praktikanten. „In der Regel“ und „ständig“ bedeutet, dass der
mittlere Personalstand und –bedarf über einen Betrachtungszeitraum von 1 Jahr
maßgeblich ist. Unter personenbezogenen Daten versteht man zum Beispiel den
Namen, das Alter, die Anschrift, die Telefonnummer, den Geburtstag, oder die
E-Mail- Adresse der betroffenen Person. Automatisierte Verarbeitung ist dabei nicht im
technischen Sinne zu verstehen, da die Verarbeitung auch nicht-technisch, also
manuell erfolgen kann. Mit dem Begriff verarbeiten ist jeglicher Umgang
mit den Daten gemeint, z.B. erfassen, ordnen, speichern, verändern, abfragen, übermitteln,
einschränken, vernichten.
Liegen alle diese Voraussetzungen vor, so muss die Fahrschule einen Datenschutzbeauftragten benennen.
Tipp: Liegen die Voraussetzungen nicht vor, brauchen Sie keinen Datenschutzbeauftragten zu benennen bzw. zu bestellen. Dieses bedeutet aber nicht, dass Sie überhaupt keinen Datenschutz betreiben brauchen, vielmehr bedeutet dieses nur, das die Einhaltung des Datenschutzes „Chefsache“ bleibt.
Weiter sollte
sich die Fahrschule dann die Frage stellen, wer mit dem Datenschutz beauftragt
werden sollte – ein Mitarbeiter der Fahrschule oder ein Dritter (interner oder
externe Datenschutzbeauftragter).
Für
die Bestellung eines Mitarbeiters zu einem internen Datenschutzbeauftragten
spricht, dass der Mitarbeiter die Fahrschule mit allen Stärken und Schwächen
und deren Organisation gut kennt und sich dementsprechend nicht erst in die
Strukturen der Fahrschule einarbeiten muss. Er weiß, welche Daten woher kommen,
wohin sie übermittelt werden und kennt die Datenverarbeitungssysteme der Fahrschule.
Im Gegenzug sollte bei der Bestellung
eines eigenen Mitarbeiters zum internen Datenschutzbeauftragten allerdings
bedacht werden, dass für einen betrieblichen Datenschutzbeauftragten ein
besonderer Kündigungsschutz besteht und seine Abberufung nur unter bestimmten
Voraussetzungen wieder möglich ist. So stellt es nach einem Urteil des
Bundesarbeitsgerichts keinen wichtigen Grund für die Widerrufung der Bestellung
des internen Datenschutzbeauftragten dar, wenn sich die Fahrschule später
entscheidet, einen externen Datenschutzbeauftragten zu bestellen. Der interne
Datenschutzbeauftragte besitzt demnach eine außergewöhnliche hohe Stellung in
der Fahrschule und sollte dementsprechend sorgfältig ausgewählt werden.
Tipp: Wenn Sie sich entscheiden, einen Mitarbeiter als internen Datenschutzbeauftragten zu bestellen, sollte darauf geachtet werden, dass dieser gut in der Fahrschule integriert ist. Er muss zuverlässig und loyal sein, aber auch den Mut haben, etwaige Fehler oder Missstände klar und deutlich gegenüber dem Fahrschulinhaber anzusprechen. Daneben sollte der ausgewählte Mitarbeiter natürlich Kenntnisse im Datenschutzrecht, sowie über die Informationstechnik als auch über die betriebliche Organisation besitzen.
Für einen externen Datenschutzbeauftragten
und gegen einen internen Datenschutzbeauftragten spricht neben dem besonderen
Kündigungsschutz des internen Datenschutzbeauftragten, dass sich häufig kein
geeigneter Mitarbeiter für den internen Datenschutzbeauftragten finden lässt,
der die geeigneten Kenntnisse im Datenschutzrecht und Informationstechnik
besitzt oder der zumindest die Zeit hat, sich in ausreichendem Maße in die Themen
Datenschutz und Informationstechnik einzuarbeiten und sich konstruktiv mit diesen
Themen auseinanderzusetzen. Auch wenn für den externen
Datenschutzbeauftragten zunächst eine neue Kostenstelle eröffnet werden muss,
wird häufig bei der Kostenkalkulation übersehen, dass sich der interne
Mitarbeiter erstmal in die für ihn neue Materie einarbeiten muss und auch in
der Regel auch eine höhere Vergütung erwarten darf. Hinzukommen Kostenaufwände
für die Weiterbildung des internen Datenschutzbeauftragten sowie Kosten für
eine angemessene Ausstattung, z.B. Literatur über den Datenschutz. Alle diese
internen Ressourcen werden bei der Bestellung eines externen
Datenschutzbeauftragten geschont und damit Kosten gespart, so dass die
Bestellung eines externen Datenschutzbeauftragten sich meist als die
kostengünstigere Lösung darstellt.
Unter dem Strich spricht deshalb mehr für eine Bestellung eines externen
Datenschutzbeauftragten, als für einen internen Datenschutzbeauftragten.
Tipp: Auch wenn ein interner Datenschutzbeauftragter bereits vorhanden ist, sollte überlegt werden, diesem noch einen externen Berater zur Seite zu stellen. Zwar ist dann der externe Berater nicht formell zum Datenschutzbeauftragten bestellt, kann aber in der Beratung seine Erfahrungen einbringen, die er bereits als externer Datenschutzbeauftragter gesammelt hat.