Über die datenschutzrechtliche Einordnung externer Arbeitskräfte sind sich Unternehmen zumeist im Unklaren. Es gilt: Sobald 20 Personen oder mehr ständig mit der Datenverarbeitung beschäftigt sind, ist ein Datenschutzbeauftragter zu benennen. Dazu zählen auch freie Mitarbeiter und Zeitarbeitskräfte.
In diesem Beitrag
Das könnte Sie auch interessieren
- Der Datenschutzbeauftragte: ein Überblick
- Aufgaben eines Datenschutzbeauftragten
- Lohnt sich die Ausbildung zum Datenschutzbeauftragten?
- Ein Vergleich: interner vs. externer Datenschutzbeauftragter
- Aufgaben und Anforderungen an einen Konzerndatenschutzbeauftragten nach DSGVO
- Die Rolle eines Datenschutzbeauftragten
- Pflicht zur Benennung eines Datenschutzbeauftragten
- Bestellung eines Datenschutzbeauftragten: einen kompetenten Partner finden
Rechtsgrundlage
Zunächst gilt der Grundsatz „keine Datenverarbeitung ohne Rechtsgrundlage“. Dieser Grundsatz wird auch Verbot mit Erlaubnisvorbehalt genannt. Die Verarbeitung personenbezogener Daten ist demnach grundsätzlich verboten, es sei denn, es liegt eine entsprechende Rechtsgrundlage vor. Diese kann sich aus dem Beschäftigungs- oder Vertragskontext, aus einer speziellen Einwilligung oder einer Betriebsvereinbarung (Art. 6 Abs. 1 Satz 1 DSGVO, § 26 BDSG-neu) ergeben.
Gemäß §38 BDSG haben Unternehmen, in denen 20 Mitarbeiter regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten zu bestellen. Dieser wirkt auf den rechtskonformen Umgang mit den Daten der betroffenen Personen hin.
Mitarbeiter nach der DSGVO
Grundsätzlich ist jeder als Mitarbeiter Ihres Unternehmens zu sehen, der idort ständig mit der Verarbeitung von personenbezogenen Daten betraut ist.
Entgegen der Annahme, dass nur festangestellte Mitarbeiter als Angestellte im Sinne der Datenschutz-Grundverordnung gelten, zählen auch folgende Gruppen von Arbeitskräften dazu:
- Zeitarbeiter
- Freie Arbeitnehmer
- Teilzeitkräfte
- Praktikanten
Bei Vereinen, die ebenfalls der DSGVO unterliegen,
zählen zusätzlich auch ehrenamtliche Mitarbeiter dazu.
Pflicht zur Benennung eines Datenschutzbeauftragten
Sobald die Grenze von 20 datenverarbeitenden Mitarbeitern erreicht bzw. überschritten wird, besteht eine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten.
Unternehmen sollten sich mit ihrem Datenschutzbeauftragten beraten oder den Rat eines Fachanwalts hinzuziehen. In einigen Fällen ist es Pflicht, einen Auftragsverarbeitungsvertrag mit dem externen Dienstleister zu schließen.
Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?
Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen: