Datenschutz-Grundverordnung Teil 1: Datenschutzbeauftragter für Fahrschulen?

© FahrSchulPraxis - Entnommen aus Ausgabe Februar/2018, Seite 102

Ab 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Die Verordnung erlangt in den EU-Staaten unmittelbare Gültigkeit.
Zeitgleich tritt infolge des am 30. Juni 2017 verkündeten Datenschutz-Anpassungs- und Umsetzungsgesetzes EU das neu gefasste Bundesdatenschutzgesetz (BDSG) in Kraft. Diese Rechtssetzungen haben erhebliche Auswirkungen auf die Verarbeitung personenbezogener Daten.

Nach Inkrafttreten der europäischen DSGVO muss in vielen Unternehmen ein Datenschutzbeauftragter bestellt werden. Hier soll aufgezeigt werden, dass auch Fahrschulen unter bestimmten Voraussetzungen einen Datenschutzbeauftragten benötigen.

Benennung eines Datenschutzbeauftragten nach § 38 BDSG-neu

Der Bundesgesetzgeber hat den nach Artikel 37 Absatz 4 DSGVO vorgegebenen Regelungsspielraum genutzt, um die Pflicht zur Benennung von betrieblichen Datenschutzbeauftragten dem in Deutschland bestehenden „Status quo“ anzupassen (vgl. § 4f BDSG-alt sowie § 38 BDSG-neu). Demnach ist die Benennung eines Datenschutzbeauftragten erforderlich, wenn in einem Unternehmen

 in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogenen Daten beschäftigt werden (§ 38 Absatz 1 Satz 1 BDSG-neu).

Mobile Geräte zur Datenerfassung 

Eine „automatisierte Verarbeitung“ im Sinne der genannten Vorschrift liegt vor, wenn personenbezogene Daten unter Einsatz von DV-Anlagen erhoben, verarbeitet oder genutzt werden (vgl. § 46 Nr. 1 und 2 BDSG-neu). Das ist i.d.R. bei Mitarbeitern mit festem PC-Arbeitsplatz der Fall. Aber auch Fahrlehrer, die Schülerdaten mit mobilen Geräten verarbeiten (z.B. Handy, mit dem die Unterschrift des Fahrschülers für die gefahrene Fahrstunde digital erfasst wird) fallen darunter.

Personenkreis

Zu berücksichtigen sind dabei grundsätzlich sämtliche Personen, die mit der entsprechenden Datenverarbeitung beschäftigt sind, unabhängig von ihrem arbeitsrechtlichen Status. Zu den zu berücksichtigenden Personen zählen daher auch Mitarbeiter in der Verwaltung, Teilzeitkräfte, Auszubildende und freie Mitarbeiter sowie Geschäftsführer. Allerdings stellt die Neufassung darauf ab, wie viele Personen „in der Regel“ mit der automatisierten Verarbeitung personenbezogener Daten „ständig“ beschäftigt sind. Damit werden solche Unternehmen von der Verpflichtung zur Bestellung eines Datenschutzbeauftragten nicht erfasst, die die maßgebliche Personenzahl nur kurzfristig überschreiten. Auch sind Personen, die nur gelegentlich, z.B. als Urlaubsvertretung, personenbezogene Daten automatisiert verarbeiten, nicht mitzuzählen.

Form und Frist der Benennung eines Datenschutzbeauftragten

Zur Form Da die DSGVO lediglich von einer Benennung des Datenschutzbeauftragten spricht, ist eine Schriftform, wie sie derzeit in § 4f Absatz 1 Satz 1 BDSG geregelt ist, nicht mehr vorgeschrieben. Aus Beweisgründen und zur Rechtsklarheit ist eine schriftliche Benennung eines Datenschutzbeauftragten jedoch empfehlenswert. Die Bestellung ist ein Begriff aus dem Rechtswesen und kann mit einer Ernennung verglichen werden. Zudem wird empfohlen, die Aufgaben des Datenschutzbeauftragten im Vertrag explizit festzuhalten, damit sich die Geschäftsleitung der Fahrschule und der Datenschutzbeauftragte über dessen Aufgaben im Klaren sind.

Zur Frist Da – anders als bisher in § 4f Ab-satz 1 Satz 2 BDSG – keine Frist genannt ist, ist die Pflicht zu erfüllen, sobald die Voraussetzungen vorliegen. Bereits erfolgte Benennungen nach dem BDSG werden vor diesem Hintergrund Bestand haben. Stellung und Aufgaben des Datenschutzbeauftragten werden nun aber nach der DSGVO auszurichten sein. Jedenfalls ist eine (formale) Neubestellung zur Klarstellung nach den Regelungen der neuen Rechtsordnung zu empfehlen.

Mitteilungs- und Veröffentlichungspflicht Anders als bisher muss die Geschäftsleitung die Kontaktdaten ihres Datenschutzbeauftragten

 veröffentlichen und

 diese der zuständigen Aufsichtsbehörde mitteilen (Artikel 37 Absatz 7 DSGVO).

Daher sind dessen Kontaktdaten (Adresse, Telefon-Nummer, E-Mail-Adresse) sowohl innerhalb der Organisation einer Fahrschule (Intranet, Organisationspläne) als auch auf der Homepage für außenstehende Dritte zu veröffentlichen. Obwohl nach Artikel 37 Absatz 7 DSGVO der Name des Datenschutzbeauftragten nicht zu den zu veröffentlichenden Daten gehört, wird empfohlen, zumindest intern den Namen des Datenschutzbeauftragten zugänglich zu machen.

Interner oder externer Datenschutzbeauftragter

Neben Mitarbeitern mit entsprechender Fachkunde (Artikel 37 Absatz 5 DSGVO) ist auch die Benennung von externen Datenschutzbeauftragten zulässig. Der Datenschutzbeauftragte kann seine Aufgaben auch auf der Grundlage eines Dienstleistungsvertrages erfüllen (Artikel 37 Absatz 6 DSGVO).

Verantwortung für die (Nicht-)Einhaltung der DSGVO

Der Datenschutzbeauftragte ist nicht persönlich verantwortlich für die (Nicht-)Einhaltung der rechtlichen Vorgaben. Die DSGVO stellt ausdrücklich klar, dass es die Pflicht der Geschäftsleitung bleibt, sicherzustellen und nachzuweisen, dass die Datenverarbeitung im Einklang mit den Regelungen der DSGVO steht (Artikel 24 Absatz 1 DSGVO). Der Datenschutzbeauftragte hat insoweit lediglich eine beratende und unterstützende Funktion. Ebenso bleibt für Fahrschulen ohne Mitarbeiter oder mit weniger Mitarbeitern der Datenschutz Chefsache. Es muss kein Datenschutzbeauftragter bestellt werden.

Sanktionen bei fehlender Bestellung des Datenschutzbeauftragten

Besteht nach geltendem Datenschutzrecht (BDSG oder DSGVO) die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten, müssen Fahrschulen dieser nachkommen. Falls nicht, kann die zuständige Aufsichtsbehörde das Versäumnis mit einem hohen Bußgeld ahnden (Artikel 83 DSGVO).  

Ralf Nicolai

Zum Teil 2: Fahrschulen und Datenschutz, FPX 03/2018

Mitglieder des Fahrlehrerverbandes Baden-Württemberg e.V. finden den Artikel auch als PDF-Download im internen InternetForum hier ...