Ab wann besteht die Pflicht zur Benennung eines Datenschutzbeauftragten?

Die Rolle des Datenschutzbeauftragten ist vielen Führungskräften bekannt. Dennoch sind nicht alle Verantwortlichen darüber informiert, ob ihr Unternehmen verpflichtet ist, einen Datenschutzbeauftragten (DSB) zu benennen.

Das Bundesdatenschutzgesetz (BDSG) und die Datenschutz-Grundverordnung (DSGVO) geben klare Vorgaben für die Bestellung eines DSB. Unternehmen müssen einen Datenschutzbeauftragten benennen, wenn sie eines dieser Kriterien erfüllen.

Hierbei spielen die Mitarbeiterzahl, der Umgang mit besonders sensiblen Daten und das Tätigkeitsfeld eine entscheidende Rolle, um festzustellen, ob die Bestellung eines Datenschutzbeauftragten erforderlich ist.

In diesem Beitrag

Regeln für die Benennung eines Datenschutzbeauftragten laut DSGVO und BDSG

Über die Frage, ab wann ein Datenschutzbeauftragter verpflichtend ist, geben die Bestimmungen der DSGVO und des BDSG Auskunft. Der deutsche Gesetzgeber hat in § 38 BDSG genau festgelegt, in welchen Fällen nichtöffentliche Unternehmen einen Datenschutzbeauftragten bestellen müssen. Ob sie dafür einen Mitarbeiter aus dem eigenen Betrieb einsetzen oder einen Dienstleister als externen DSB einsetzen, stellen die rechtlichen Regeln den Verantwortlichen frei (Art. 37 Abs. 6 DSGVO, § 5 Abs. 4 BDSG).

Es muss sich um eine Person handeln, die über ein Fachwissen in den Bereichen Datenschutzrecht und Datenschutzpraxis verfügt. Zudem ist bei der Benennung darauf zu achten, dass der betraute Mitarbeiter oder Dienstleister die erforderlichen Fähigkeiten mitbringt, um die Aufgaben eines Datenschutzbeauftragten (Beratung, Überwachung und Unterrichtung) auszuführen.

Außerdem sind potenzielle Interessenkonflikte zu vermeiden. So kann beispielsweise der Leiter der Marketingabteilung nicht auch die Rolle des Datenschutzbeauftragten übernehmen, da er hinsichtlich von Werbemaßnahmen Zwecke verfolgt, welche den Interessen des Datenschutzbeauftragten entgegenstehen. Sobald das Unternehmen eine geeignete Person bestellt hat, muss es die Kontaktdaten dieses Datenschutzbeauftragten öffentlich zugänglich machen. Außerdem sind diese Informationen an die Aufsichtsbehörde weiterzugeben.

 

Wann muss ein Datenschutzbeauftragter bestellt werden?

Die Gesetzgeber legen verschiedene Fälle fest, in denen die Benennung eines Datenschutzbeauftragten Pflicht ist. Wenn ein Unternehmen eines dieser Kriterien erfüllt, müssen es eine geeignete Person als Datenschutzbeauftragten einsetzen:

Kriterium 1: Mitarbeiterzahl und automatisierte Datenverarbeitung

Wenn in einem Betrieb mindestens 20 Personen ständig damit betraut sind, personenbezogene Daten wie Namen, Adressen und dergleichen automatisiert zu erheben und zu nutzen, dann muss  gemäß §38 BDSG einen internen oder externen Datenschutzbeauftragten bestellen.

Demnach müssen Kleinstunternehmen, in denen weniger als 20 Personen Kunden-, Lieferanten- oder Personaldaten verarbeiten, laut BDSG keinen Datenschutzbeauftragten benennen. Diese Benennungspflicht entfällt nur dann, wenn der Betrieb kein anderes Kriterium erfüllt.

Doch Vorsicht: Nach wie vor müssen alle Unternehmen die Anforderungen der DSGVO erfüllen, auch bei weniger als 20 Mitarbeitern. Lediglich die Bestellpflicht für einen Datenschutzbeauftragten entfällt.

Kriterium 2: Umgang mit sensiblen personenbezogenen Daten

Ist das Unternehmen nicht nur mit normalen personenbezogenen Daten konfrontiert, sondern verarbeitet es auch besonders sensible Informationen (besondere Kategorien personenbezogener Daten, Art. 9 DSGVO), besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten unabhängig von der Mitarbeiterzahl (Artikel 37 Absatz 1 c) DSGVO).

Dies trifft dann zu, wenn die Mitarbeiter persönliche Daten aus sensiblen Bereichen wie Gesundheit, Herkunft, politische Gesinnung, religiöse Anschauung, Gewerkschaftsmitgliedschaft oder sexuelle Neigung erheben und nutzen. Auch Informationen zu Straftaten und strafrechtlichen Verurteilungen sind erfasst.

Kriterium 3: Systematische Personenüberwachung

Führt das Unternehmen Datenverarbeitungsvorgänge durch, die eine umfangreiche, regelmäßige und systematische Personenüberwachung erfordern, besteht die Benennungspflicht (Artikel 37 DSGVO). Das Kriterium umfangreich kann bedeuten, dass eine Vielzahl von Daten oder Personen betroffen ist. Regelmäßig setzt ein mehrmaliges Handeln voraus. Systematisch bezeichnet beispielsweise die methodische Verwendung von Überwachungstechnik. Mehr zu Auftragsverarbeitungsverträgen finden Sie hier. 

Kriterium 4: Datenübermittlung als Geschäftsfeld

Wenn das Unternehmen in einem Geschäftsfeld agiert, das der Datenerhebung und Datenübermittlung an Dritte dient, ist laut § 38 Abs. 1 S.1 BDSG ein Datenschutzbeauftragter Pflicht. Besteht die geschäftliche Kerntätigkeit darin, Daten für die Markt- und Meinungsforschung zu verarbeiten, müssen Sie ebenfalls einen DSB ernennen. Die Personenanzahl ist irrelevant.

Bei weiteren Fragen zu diesem und anderen Themen im Datenschutz stehen Ihnen unsere Experten gerne zur Verfügung. Vereinbaren Sie einfach ein kostenloses Gespräch und wir melden uns bei Ihnen: 

 
11 Fragen für die Benennung eines Datenschutzbeauftragten 11 Fragen für die Benennung eines Datenschutzbeauftragten

11 Fragen mit denen Sie den richtigen DSB finden

In dieser Checkliste finden Sie 11 kurze Fragen, deren Beantwortung Ihnen die Suche nach einem passenden Partner im Datenschutz erleichtert.

Jetzt kostenlos herunterladen

Über den Autor

DataGuard Datenschutz-Experten DataGuard Datenschutz-Experten
DataGuard Datenschutz-Experten

Tauchen Sie ein in die Welt der Datensicherheit und DSGVO – mit Tipps und Meinungen unserer zertifizierten Datenschutzbeauftragten in Deutschland, UK und Österreich. Unsere Experten kommen aus den unterschiedlichsten Bereichen wie Wirtschaft, Recht, Technik oder Marketing und teilen mit Ihnen die neuesten Nachrichten sowie Lösungen zu aktuellen Herausforderungen, Urteilen und Rechtsentscheidungen. Ihr Ziel? Ihnen das Wissen und die Werkzeuge an die Hand zu geben, damit Sie die richtigen Entscheidungen treffen, Ihr Unternehmen absichern, Vertrauen aufbauen und Ihren Umsatz steigern können – in Einklang mit geltenden Datenschutzgesetzen. Diese Qualifizierungen unserer Datenschutzberater stehen für Qualität und Vertrauen: Zertifizierter Datenschutzbeauftragter (TÜV), Certified Information Privacy Professional/Europe (IAPP), Certified Information Privacy Manager (IAPP) Information Security, Certified Information Privacy Technologist (IAPP), Certified Practitioner in Data Protection (BCS), Fellow of Information Privacy (IAPP), Certified EU General Data Protection Regulation Practitioner (IBITGQ), Data Protection Officer & Europrivacy Auditor, Practitionier Certificate in Data Protection, PC.dp. (GDPR)

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren