Bisher hält sich in der Öffentlichkeit hartnäckig das Gerücht, dass nur Firmen einen DSB haben müssen, bei denen mindestens 20 Personen personenbezogene Daten verarbeiten (§ 38 I 1 BDSG). Das ist genau das – ein Gerücht.

Die eben genannte Regelung ist nämlich nicht die einzige Vorschrift, aus der sich eine Pflicht zur Benennung eines DSB ergibt. So müssen nach Art. 37 I DSGVO z.B. auch Firmen einen DSB benennen, deren Kerntätigkeit in der Verarbeitung einer großen Menge von Daten besteht.
Ihre besondere Aufmerksamkeit möchte ich aber heute auf § 38 I 2 BDSG lenken. Dort ist geregelt, dass Firmen, die Verarbeitungen vornehmen, bei denen eine Datenschutzfolgenabschätzuung erforderlich ist, einen DSB benennen müssen.

Was ist eine Datenschutzfolgenabschätzung (DSFA)?

Nach Art. 35 DSGVO muss der Verantwortliche in bestimmten Fällen eine DSFA durchführen. Hierbei muss er einschätzen, welche konkreten Folgen eine bestimmte Verarbeitung für den Schutz personenbezogener Daten hat.
Dies muss er immer dann tun, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Menschen hat.

Wann ist eine DSFA konkret notwendig?

Die Datenschutzkonferenz (Zusammenschluss aller Datenschutzbehörden in Deutschland) hat eine sogenannte Blacklist herausgegeben, in die sie alle Verarbeitungen aufgenommen haben, die eine DSFA erfordern. Die Liste finden Sie unter anderem unter folgendem Link:
https://datenschutz-hamburg.de/assets/pdf/DSFA%20Muss-Liste%20für%20den%20nicht-öffentlicher%20Bereich%20-%20Stand%2017.10.2018.pdf
So muss z.B. eine DSFA durchgeführt werden, wenn biometrischen Daten zur eindeutigen Identifizierung von Kindern verarbeitet werden oder wenn Arbeitgeber über GPS Bewegungsprofile ihrer Arbeitnehmer zur Vermeidung von Arbeitszeitbetrug von Außendienstmitarbeitern erstellen.

Und warum bei Facebook?

Die Facebook-Nutzung (und auch die Instagram-Nutzung) an sich stellt aufgrund ihrer weitreichenden Auswirkungen, insbesondere hinsichtlich der Auswertung der Daten durch die Facebook Inc. zu Werbezwecken, Verknüpfung, Profilbildung u. ä., aus Sicht mehrerer Aufsichtsbehörden eine Verarbeitung mit einem hohen Risiko dar, für die eine Datenschutzfolgenabschätzung vorzunehmen ist.

Denn durch die Nutzung eines Facebook-Accounts begibt sich die jeweilige Nutzerin bzw. der jeweilige Nutzer unter die systematische Beobachtung durch die Facebook Inc. Hierbei können auch sensitive Daten wie politische Einstellungen, die sexuelle Orientierung oder gesundheitliche Probleme offenbart werden, die miteinander verknüpft und zur Erstellung eines Persönlichkeitsprofils verwendet werden können. Auch besonders schutzwürdige Personen wie etwa Jugendliche können Facebook-Nutzer/Nutzerin und damit Betroffene sein. Selbst beim bloß passiven Mitlesen von Facebook ohne eigenen Account können durch die Erhebung von Log-Daten sensible Daten erhoben werden, etwa durch die vorher besuchten Webseiten oder die Standortdaten der Nutzerin bzw. des Nutzers.

Dies gilt umso mehr, da die Facebook Inc. nicht oder nur eingeschränkt überprüft werden kann. Da die Daten der Nutzerinnen und Nutzer nicht innerhalb Deutschlands, sondern in Irland verarbeitet werden, bestehen höhere Hürden für den Zugang zu (gerichtlichem) Rechtsschutz als bei einem in Deutschland ansässigem Unternehmen.

Und was geht uns das an?

Am 5. Juni 2018 urteilte der Europäische Gerichtshof (EuGH) im Streit um eine Facebook-Fanpage der Wirtschaftsakademie Schleswig-Holstein, dass User, die eine solche Fanpage einrichten, gemeinsam mit Facebook zu Verarbeitern von personenbezogenen Daten werden.
Somit sind Firmen, die eine eigene Facebook-Seite betreiben genauso verantwortlich für die dort erhobenen und verarbeiteten Daten wie Facebook selbst.
Hieraus ergibt sich, dass alle Firmen mit einer Facebookseite eine DSFA durchführen müssen. Wie bereits oben gesagt, müssen Verantwortliche, die eine DSFA durchführen nach § 38 I 2 BDSG einen DSB benennen.

Im Übrigen sind beide Pflichten (Nichtdurchführung einer DSFA, Nichtbestellung eines DSB) bußgeldbewährt, können also zum Erlass erheblicher Bußgelder (bis zu 10 Mio. € bzw. 2 % des Vorjahresumsatzes) für die betroffenen Firmen führen. Da lohnt es sich einen DSB zu benennen und diese Risiken zu vermeiden.

Benötigen Sie eine datenschutzrechtliche Beratung, brauchen Sie einen Datenschutzbeauftragten, der für Sie praktikable Lösungen erarbeitet oder wollen Sie Sicherheit, welche datenschutzrechtlichen Vorschriften Sie bereits umgesetzt haben und wo noch Verbesserungsbedarf besteht (Datenschutzaudit), so kommen Sie gerne auf mich zu.