Kontaktieren Sie uns jetzt
für Ihr individuelles Angebot

Oder buchen Sie hier direkt einen Termin

(089) 8967 551 000
userlane
Mateco
Demodesk
My Poster
Fressnapf-1
Kusmi Tea

Die Bezeichnung Datenschutzbeauftragter ist vielen Entscheidungsträgern ein Begriff. Allerdings wissen nicht alle Verantwortlichen, ob ihr Unternehmen einen Datenschutzbeauftragten (DSB) benennen muss. Für die Benennung eines DSB geben das Bundesdatenschutzgesetz (BDSG) und die Datenschutz-Grundverordnung (DSGVO) die Regeln vor. Erfüllen das Unternehmen eines dieser Kriterien, muss es einen Datenschutzbeauftragten benennen. Dabei muss die Mitarbeiteranzahl, der Umgang mit besonders sensiblen Daten und das Geschäftsfeld berücksichtigt werden, um Klarheit zu gewinnen, ob für ein Datenschutzbeauftragter Pflicht ist.

In diesem Beitrag

Das könnte Sie auch interessieren

Regeln für die Benennung eines Datenschutzbeauftragten laut DSGVO und BDSG

Über die Frage, ab wann ein Datenschutzbeauftragter verpflichtend ist, geben die Bestimmungen der DSGVO und des BDSG Auskunft. Der deutsche Gesetzgeber hat in § 38 BDSG genau festgelegt, in welchen Fällen nichtöffentliche Unternehmen einen Datenschutzbeauftragten bestellen müssen. Ob sie dafür einen Mitarbeiter aus dem eigenen Betrieb einsetzen oder einen Dienstleister als externen DSB einsetzen, stellen die rechtlichen Regeln den Verantwortlichen frei (Art. 37 Abs. 6 DSGVO, § 5 Abs. 4 BDSG).

Es muss sich um eine Person handeln, die über ein Fachwissen in den Bereichen Datenschutzrecht und Datenschutzpraxis verfügt. Zudem ist bei der Benennung darauf zu achten, dass der betraute Mitarbeiter oder Dienstleister die erforderlichen Fähigkeiten mitbringt, um die Aufgaben eines Datenschutzbeauftragten (Beratung, Überwachung und Unterrichtung) auszuführen. Außerdem sind potenzielle Interessenkonflikte zu vermeiden. So kann beispielsweise der Leiter der Marketingabteilung nicht auch die Rolle des Datenschutzbeauftragten übernehmen, da er hinsichtlich von Werbemaßnahmen Zwecke verfolgt, welche den Interessen des Datenschutzbeauftragten entgegenstehen. Sobald das Unternehmen eine geeignete Person bestellt hat, muss es die Kontaktdaten dieses Datenschutzbeauftragten öffentlich zugänglich machen. Außerdem sind diese Informationen an die Aufsichtsbehörde weiterzugeben.

DSGVO Beratung

Datenschutzbeauftragter: Ab wann er für Unternehmen verpflichtend ist

Die Gesetzgeber legen verschiedene Fälle fest, in denen die Benennung eines Datenschutzbeauftragten Pflicht ist. Wenn ein Unternehmen eines dieser Kriterien erfüllt, müssen es eine geeignete Person als Datenschutzbeauftragten einsetzen:

Kriterium 1: Mitarbeiterzahl und automatisierte Datenverarbeitung

Wenn in einem Betrieb mindestens 20 Personen ständig damit betraut sind, personenbezogene Daten wie Namen, Adressen und dergleichen automatisiert zu erheben und zu nutzen, dann muss  gemäß §38 BDSG einen internen oder externen Datenschutzbeauftragten bestellen. Demnach müssen Kleinstunternehmen, in denen weniger als 20 Personen Kunden-, Lieferanten- oder Personaldaten verarbeiten, laut BDSG keinen Datenschutzbeauftragten benennen. Diese Benennungspflicht entfällt nur dann, wenn der Betrieb kein anderes Kriterium erfüllt.

Doch Vorsicht: Nach wie vor müssen alle Unternehmen die Anforderungen der DSGVO erfüllen, auch bei weniger als 20 Mitarbeitern. Lediglich die Bestellpflicht für einen Datenschutzbeauftragten entfällt.

Kriterium 2: Umgang mit sensiblen personenbezogenen Daten

Ist das Unternehmen nicht nur mit normalen personenbezogenen Daten konfrontiert, sondern verarbeitet es auch besonders sensible Informationen (besondere Kategorien personenbezogener Daten, Art. 9 DSGVO), besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten unabhängig von der Mitarbeiterzahl (Artikel 37 Absatz 1 c) DSGVO). Dies trifft dann zu, wenn die Mitarbeiter persönliche Daten aus sensiblen Bereichen wie Gesundheit, Herkunft, politische Gesinnung, religiöse Anschauung, Gewerkschaftsmitgliedschaft oder sexuelle Neigung erheben und nutzen. Auch Informationen zu Straftaten und strafrechtlichen Verurteilungen sind erfasst.

Kriterium 3: Systematische Personenüberwachung

Führen das Unternehmen Datenverarbeitungsvorgänge durch, die eine umfangreiche, regelmäßige und systematische Personenüberwachung erfordern, besteht die Benennungspflicht (Artikel 37 DSGVO). Das Kriterium umfangreich kann bedeuten, dass eine Vielzahl von Daten oder Personen betroffen ist. Die Eigenschaft regelmäßig setzt ein mehrmaliges Handeln voraus. Systematisch bezeichnet beispielsweise die methodische Verwendung von Überwachungstechnik.

Kriterium 4: Datenübermittlung als Geschäftsfeld

Wenn das Unternehmen in einem Geschäftsfeld agiert, das der Datenerhebung und Datenübermittlung an Dritte dient, ist laut § 38 Abs. 1 S.1 BDSG ein Datenschutzbeauftragter Pflicht. Besteht die geschäftliche Kerntätigkeit darin, Daten für die Markt- und Meinungsforschung zu verarbeiten, müssen Sie ebenfalls einen DSB ernennen. Die Personenanzahl ist irrelevant.

Zurück zur Übersicht

Jetzt noch mehr herausholen.

Wohin soll Ihre Reise heute noch gehen?

1. Wir unterstützen Sie, ihre Ziele erfolgreich umzusetzen

Sie sind sich unsicher, wie Sie Datenschutz und Informationssicherheit am besten umsetzen? Wir begleiten Sie gern auf dem Weg, die richtigen Entscheidungen in diesen Bereichen zu treffen. Doch der nächste Schritt liegt nun an Ihnen. Nutzen Sie gern unsere kostenfreien Inhalte, um sich weiter zu informieren, oder nehmen Sie einfach direkt Kontakt zu uns auf. Wir freuen uns auf Sie! 

Hier kostenloses Erstgespräch vereinbaren

3. Kontaktieren Sie uns

Bereits mehr als 1.500 Unternehmen vertrauen auf unseren Service. Zögern auch Sie nicht und treten Sie mit uns in Kontakt!

close