Die Rolle des Datenschutzbeauftragten ist vielen Führungskräften bekannt. Dennoch sind nicht alle Verantwortlichen darüber informiert, ob ihr Unternehmen verpflichtet ist, einen Datenschutzbeauftragten (DSB) zu benennen.
Das Bundesdatenschutzgesetz (BDSG) und die Datenschutz-Grundverordnung (DSGVO) geben klare Vorgaben für die Bestellung eines DSB. Unternehmen müssen einen Datenschutzbeauftragten benennen, wenn sie eines dieser Kriterien erfüllen.
Hierbei spielen die Mitarbeiterzahl, der Umgang mit besonders sensiblen Daten und das Tätigkeitsfeld eine entscheidende Rolle, um festzustellen, ob die Bestellung eines Datenschutzbeauftragten erforderlich ist.
In diesem Beitrag
- Regeln für die Benennung eines Datenschutzbeauftragten laut DSGVO und BDSG
- Datenschutzbeauftragter: Ab wann er für Unternehmen verpflichtend ist
Regeln für die Benennung eines Datenschutzbeauftragten laut DSGVO und BDSG
Über die Frage, ab wann ein Datenschutzbeauftragter verpflichtend ist, geben die Bestimmungen der DSGVO und des BDSG Auskunft. Der deutsche Gesetzgeber hat in § 38 BDSG genau festgelegt, in welchen Fällen nichtöffentliche Unternehmen einen Datenschutzbeauftragten bestellen müssen. Ob sie dafür einen Mitarbeiter aus dem eigenen Betrieb einsetzen oder einen Dienstleister als externen DSB einsetzen, stellen die rechtlichen Regeln den Verantwortlichen frei (Art. 37 Abs. 6 DSGVO, § 5 Abs. 4 BDSG).
Es muss sich um eine Person handeln, die über ein Fachwissen in den Bereichen Datenschutzrecht und Datenschutzpraxis verfügt. Zudem ist bei der Benennung darauf zu achten, dass der betraute Mitarbeiter oder Dienstleister die erforderlichen Fähigkeiten mitbringt, um die Aufgaben eines Datenschutzbeauftragten (Beratung, Überwachung und Unterrichtung) auszuführen.
Außerdem sind potenzielle Interessenkonflikte zu vermeiden. So kann beispielsweise der Leiter der Marketingabteilung nicht auch die Rolle des Datenschutzbeauftragten übernehmen, da er hinsichtlich von Werbemaßnahmen Zwecke verfolgt, welche den Interessen des Datenschutzbeauftragten entgegenstehen. Sobald das Unternehmen eine geeignete Person bestellt hat, muss es die Kontaktdaten dieses Datenschutzbeauftragten öffentlich zugänglich machen. Außerdem sind diese Informationen an die Aufsichtsbehörde weiterzugeben.
Wann muss ein Datenschutzbeauftragter bestellt werden?
Die Gesetzgeber legen verschiedene Fälle fest, in denen die Benennung eines Datenschutzbeauftragten Pflicht ist. Wenn ein Unternehmen eines dieser Kriterien erfüllt, müssen es eine geeignete Person als Datenschutzbeauftragten einsetzen:
Kriterium 1: Mitarbeiterzahl und automatisierte Datenverarbeitung
Wenn in einem Betrieb mindestens 20 Personen ständig damit betraut sind, personenbezogene Daten wie Namen, Adressen und dergleichen automatisiert zu erheben und zu nutzen, dann muss gemäß §38 BDSG einen internen oder externen Datenschutzbeauftragten bestellen.
Demnach müssen Kleinstunternehmen, in denen weniger als 20 Personen Kunden-, Lieferanten- oder Personaldaten verarbeiten, laut BDSG keinen Datenschutzbeauftragten benennen. Diese Benennungspflicht entfällt nur dann, wenn der Betrieb kein anderes Kriterium erfüllt.
Doch Vorsicht: Nach wie vor müssen alle Unternehmen die Anforderungen der DSGVO erfüllen, auch bei weniger als 20 Mitarbeitern. Lediglich die Bestellpflicht für einen Datenschutzbeauftragten entfällt.
Kriterium 2: Umgang mit sensiblen personenbezogenen Daten
Ist das Unternehmen nicht nur mit normalen personenbezogenen Daten konfrontiert, sondern verarbeitet es auch besonders sensible Informationen (besondere Kategorien personenbezogener Daten, Art. 9 DSGVO), besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten unabhängig von der Mitarbeiterzahl (Artikel 37 Absatz 1 c) DSGVO).
Dies trifft dann zu, wenn die Mitarbeiter persönliche Daten aus sensiblen Bereichen wie Gesundheit, Herkunft, politische Gesinnung, religiöse Anschauung, Gewerkschaftsmitgliedschaft oder sexuelle Neigung erheben und nutzen. Auch Informationen zu Straftaten und strafrechtlichen Verurteilungen sind erfasst.
Kriterium 3: Systematische Personenüberwachung
Führt das Unternehmen Datenverarbeitungsvorgänge durch, die eine umfangreiche, regelmäßige und systematische Personenüberwachung erfordern, besteht die Benennungspflicht (Artikel 37 DSGVO). Das Kriterium umfangreich kann bedeuten, dass eine Vielzahl von Daten oder Personen betroffen ist. Regelmäßig setzt ein mehrmaliges Handeln voraus. Systematisch bezeichnet beispielsweise die methodische Verwendung von Überwachungstechnik. Mehr zu Auftragsverarbeitungsverträgen finden Sie hier.
Kriterium 4: Datenübermittlung als Geschäftsfeld
Wenn das Unternehmen in einem Geschäftsfeld agiert, das der Datenerhebung und Datenübermittlung an Dritte dient, ist laut § 38 Abs. 1 S.1 BDSG ein Datenschutzbeauftragter Pflicht. Besteht die geschäftliche Kerntätigkeit darin, Daten für die Markt- und Meinungsforschung zu verarbeiten, müssen Sie ebenfalls einen DSB ernennen. Die Personenanzahl ist irrelevant.
Bei weiteren Fragen zu diesem und anderen Themen im Datenschutz stehen Ihnen unsere Experten gerne zur Verfügung. Vereinbaren Sie einfach ein kostenloses Gespräch und wir melden uns bei Ihnen:
11 Fragen mit denen Sie den richtigen DSB finden
In dieser Checkliste finden Sie 11 kurze Fragen, deren Beantwortung Ihnen die Suche nach einem passenden Partner im Datenschutz erleichtert.
Jetzt kostenlos herunterladen