Rz. 5
Aus Sicht des Autors stellen mehr oder weniger offene Anfragen seitens (neuer) Mandanten, ob nun ein Datenschutzbeauftragter zu benennen ist, einen häufigen Anwendungsfall eines neuen datenschutzrechtlichen Mandats dar. Wie so oft kann diese Frage nur selten pauschal beantwortet werden, sondern ist von weiteren Informationen seitens der Mandantschaft abhängig. Das o.g. Anschreiben hat den Fall vor Augen, in denen keine oder nur wenig Informationen über das Unternehmen (meistens handelt es sich um Anfragen von Unternehmen) vorliegen. Je nach Tonalität der Anfrage kann die Antwort auch mit einem Angebot auf Durchführung eines DSGVO Compliance-Programms kombiniert werden (s.o. bei B.).
Die Mandantschaft soll über die Unterschiede zwischen dem Ansatz der DSGVO und den daneben anwendbaren Kriterien des BDSG aufgeklärt werden. Die DSGVO ist "offener" und hat unabhängig von der Unternehmensgröße – stark vereinfacht ausgedrückt – eher Datenverarbeiter vor Augen, die entweder sensible oder überdurchschnittlich umfangreich Daten verarbeiten. Viele Mandatsanfragen lassen sich darauf zurückführen, dass § 38 BDSG eine 20-Beschäftigten-Schwelle vorsieht, die von Unternehmensleitern gerne einmal "aufgeschnappt" werden.
Wichtig ist zu erkennen, dass eine nicht nur banale Kameraüberwachung in einem Unternehmen dazu führen kann, dass eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO notwendig wird, wodurch automatisch die Bestellungspflicht nach § 38 Abs. 1 S. 2 Alt. 1 BDSG ausgelöst wird. Dieses "Einfallstor" der Bestellungspflicht wird in der Praxis nicht selten übersehen.
Es ist empfehlenswert, bei der Beurteilung die Website der für den jeweiligen Mandanten zuständigen Landesdatenschutzbehörde zu konsultieren. Diese erhält sowohl die sog. "Positivlisten" für Datenschutz-Folgenabschätzungen (auch "schwarze Listen" oder englisch "Blacklists" genannt) gem. Art. 35 Abs. 4 DSGVO als auch weitere Informationen zur Bestellungspflicht sowie i.d.R. Web-Formulare zur Mitteilung gem. Art. 37 Abs. 7 DSGVO.
Das Kriterium "geschäftsmäßige Datenverarbeitung zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung" (§ 38 Abs. 1 S. 2 Alt. 2 BDSG) spielt eher eine untergeordnete Rolle und wurde hier zur Vermeidung einer Überfrachtung des Anschreibens ausgelassen.
Das ist nur ein Ausschnitt aus dem Produkt Deutsches Anwalt Office Premium. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen