Der DSB: Pflicht zur Benennung eines Datenschutzbeauftragten

Die Bezeichnung Datenschutzbeauftragter ist vielen Entscheidungsträgern ein Begriff. Allerdings wissen nicht alle Verantwortlichen, ob ihr Unternehmen einen Datenschutzbeauftragten (DSB) benennen muss. Für die Benennung eines DSB geben das Bundesdatenschutzgesetz (BDSG) und die Datenschutz-Grundverordnung (DSGVO) die Regeln vor. Erfüllen das Unternehmen eines dieser Kriterien, muss es einen Datenschutzbeauftragten benennen. Dabei muss die Mitarbeiteranzahl, der Umgang mit besonders sensiblen Daten und das Geschäftsfeld berücksichtigt werden, um Klarheit zu gewinnen, ob für ein Datenschutzbeauftragter Pflicht ist.

In diesem Beitrag

Das könnte Sie auch interessieren

Regeln für die Benennung eines Datenschutzbeauftragten laut DSGVO und BDSG

Über die Frage, ab wann ein Datenschutzbeauftragter verpflichtend ist, geben die Bestimmungen der DSGVO und des BDSG Auskunft. Der deutsche Gesetzgeber hat in § 38 BDSG genau festgelegt, in welchen Fällen nichtöffentliche Unternehmen einen Datenschutzbeauftragten bestellen müssen. Ob sie dafür einen Mitarbeiter aus dem eigenen Betrieb einsetzen oder einen Dienstleister als externen DSB einsetzen, stellen die rechtlichen Regeln den Verantwortlichen frei (Art. 37 Abs. 6 DSGVO, § 5 Abs. 4 BDSG).

Es muss sich um eine Person handeln, die über ein Fachwissen in den Bereichen Datenschutzrecht und Datenschutzpraxis verfügt. Zudem ist bei der Benennung darauf zu achten, dass der betraute Mitarbeiter oder Dienstleister die erforderlichen Fähigkeiten mitbringt, um die Aufgaben eines Datenschutzbeauftragten (Beratung, Überwachung und Unterrichtung) auszuführen. Außerdem sind potenzielle Interessenkonflikte zu vermeiden. So kann beispielsweise der Leiter der Marketingabteilung nicht auch die Rolle des Datenschutzbeauftragten übernehmen, da er hinsichtlich von Werbemaßnahmen Zwecke verfolgt, welche den Interessen des Datenschutzbeauftragten entgegenstehen. Sobald das Unternehmen eine geeignete Person bestellt hat, muss es die Kontaktdaten dieses Datenschutzbeauftragten öffentlich zugänglich machen. Außerdem sind diese Informationen an die Aufsichtsbehörde weiterzugeben.

DSGVO Beratung

Datenschutzbeauftragter: Ab wann er für Unternehmen verpflichtend ist

Die Gesetzgeber legen verschiedene Fälle fest, in denen die Benennung eines Datenschutzbeauftragten Pflicht ist. Wenn ein Unternehmen eines dieser Kriterien erfüllt, müssen es eine geeignete Person als Datenschutzbeauftragten einsetzen:

Kriterium 1: Mitarbeiterzahl und automatisierte Datenverarbeitung

Wenn in einem Betrieb mindestens 20 Personen ständig damit betraut sind, personenbezogene Daten wie Namen, Adressen und dergleichen automatisiert zu erheben und zu nutzen, dann muss  gemäß §38 BDSG einen internen oder externen Datenschutzbeauftragten bestellen. Demnach müssen Kleinstunternehmen, in denen weniger als 20 Personen Kunden-, Lieferanten- oder Personaldaten verarbeiten, laut BDSG keinen Datenschutzbeauftragten benennen. Diese Benennungspflicht entfällt nur dann, wenn der Betrieb kein anderes Kriterium erfüllt.

Doch Vorsicht: Nach wie vor müssen alle Unternehmen die Anforderungen der DSGVO erfüllen, auch bei weniger als 20 Mitarbeitern. Lediglich die Bestellpflicht für einen Datenschutzbeauftragten entfällt.

Kriterium 2: Umgang mit sensiblen personenbezogenen Daten

Ist das Unternehmen nicht nur mit normalen personenbezogenen Daten konfrontiert, sondern verarbeitet es auch besonders sensible Informationen (besondere Kategorien personenbezogener Daten, Art. 9 DSGVO), besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten unabhängig von der Mitarbeiterzahl (Artikel 37 Absatz 1 c) DSGVO). Dies trifft dann zu, wenn die Mitarbeiter persönliche Daten aus sensiblen Bereichen wie Gesundheit, Herkunft, politische Gesinnung, religiöse Anschauung, Gewerkschaftsmitgliedschaft oder sexuelle Neigung erheben und nutzen. Auch Informationen zu Straftaten und strafrechtlichen Verurteilungen sind erfasst.

Kriterium 3: Systematische Personenüberwachung

Führen das Unternehmen Datenverarbeitungsvorgänge durch, die eine umfangreiche, regelmäßige und systematische Personenüberwachung erfordern, besteht die Benennungspflicht (Artikel 37 DSGVO). Das Kriterium umfangreich kann bedeuten, dass eine Vielzahl von Daten oder Personen betroffen ist. Die Eigenschaft regelmäßig setzt ein mehrmaliges Handeln voraus. Systematisch bezeichnet beispielsweise die methodische Verwendung von Überwachungstechnik.

Kriterium 4: Datenübermittlung als Geschäftsfeld

Wenn das Unternehmen in einem Geschäftsfeld agiert, das der Datenerhebung und Datenübermittlung an Dritte dient, ist laut § 38 Abs. 1 S.1 BDSG ein Datenschutzbeauftragter Pflicht. Besteht die geschäftliche Kerntätigkeit darin, Daten für die Markt- und Meinungsforschung zu verarbeiten, müssen Sie ebenfalls einen DSB ernennen. Die Personenanzahl ist irrelevant.

Bei weiteren Fragen zu diesem und anderen Themen im Datenschutz stehen Ihnen unsere Experten gerne zur Verfügung. Vereinbaren Sie einfach ein kostenloses Gespräch und wir melden uns bei Ihnen:Kostenloses Erstgespräch buchen

Zurück zur Übersicht

Über den Autor

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile auf einen Blick

  • Datenschutz, Informationssicherheit und Compliance aus einer Hand
  • Individuelle Beratung durch qualifizierte Experten – ganz ohne Fachjargon
  • Zeitsparende Technologie zur Automatisierung repetitiver Aufgaben
  • Faire und transparente Preise für optimale Planbarkeit und Budgetierung

Über 2.500 zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über 2.500 zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT
 

Über 2.500 zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über 2.500 zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über 2.500 zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Jetzt Termin vereinbaren

ODER RUFEN SIE UNS AN:(089) 8967 551 000