Pflicht zur Benennung eines Datenschutzbeauftragten

Datenschutzbeauftragter oder nicht? Ab wann einer benannt werden muss, geben DSGVO und BDSG vor.

Die Bezeichnung Datenschutzbeauftragter ist vielen Entscheidungsträgern ein Begriff. Allerdings wissen nicht alle Verantwortlichen, ob ihr Unternehmen einen Datenschutzbeauftragten (DSB) benennen muss. Für die Benennung eines DSB geben das Bundesdatenschutzgesetz (BDSG) und die Datenschutz-Grundverordnung (DSGVO) die Regeln vor. Erfüllen das Unternehmen eines dieser Kriterien, muss es einen Datenschutzbeauftragten benennen. Dabei muss die Mitarbeiteranzahl, der Umgang mit besonders sensiblen Daten und das Geschäftsfeld berücksichtigt werden, um Klarheit zu gewinnen, ob für ein Datenschutzbeauftragter Pflicht ist.

Regeln für die Benennung eines Datenschutzbeauftragten laut DSGVO und BDSG

Über die Frage, ab wann ein Datenschutzbeauftragter verpflichtend ist, geben die Bestimmungen der DSGVO und des BDSG Auskunft. Der deutsche Gesetzgeber hat in § 38 BDSG genau festgelegt, in welchen Fällen nichtöffentliche Unternehmen einen Datenschutzbeauftragten bestellen müssen. Ob sie dafür einen Mitarbeiter aus dem eigenen Betrieb einsetzen oder einen Dienstleister als externen DSB einsetzen, stellen die rechtlichen Regeln den Verantwortlichen frei (Art. 37 Abs. 6 DSGVO, § 5 Abs. 4 BDSG).

Es muss sich um eine Person handeln, die über ein Fachwissen in den Bereichen Datenschutzrecht und Datenschutzpraxis verfügt. Zudem ist bei der Benennung darauf zu achten, dass der betraute Mitarbeiter oder Dienstleister die erforderlichen Fähigkeiten mitbringt, um die Aufgaben eines Datenschutzbeauftragten (Beratung, Überwachung und Unterrichtung) auszuführen. Außerdem sind potenzielle Interessenkonflikte zu vermeiden. So kann beispielsweise der Leiter der Marketingabteilung nicht auch die Rolle des Datenschutzbeauftragten übernehmen, da er hinsichtlich von Werbemaßnahmen Zwecke verfolgt, welche den Interessen des Datenschutzbeauftragten entgegenstehen. Sobald das Unternehmen eine geeignete Person bestellt hat, muss es die Kontaktdaten dieses Datenschutzbeauftragten öffentlich zugänglich machen. Außerdem sind diese Informationen an die Aufsichtsbehörde weiterzugeben.

Datenschutzbeauftragter: Ab wann er für Unternehmen verpflichtend ist

Die Gesetzgeber legen verschiedene Fälle fest, in denen die Benennung eines Datenschutzbeauftragten Pflicht ist. Wenn ein Unternehmen eines dieser Kriterien erfüllt, müssen es eine geeignete Person als Datenschutzbeauftragten einsetzen:

Kriterium 1: Mitarbeiterzahl und automatisierte Datenverarbeitung

Wenn in einem Betrieb mindestens 20 Personen ständig damit betraut sind, personenbezogene Daten wie Namen, Adressen und dergleichen automatisiert zu erheben und zu nutzen, dann muss  gemäß §38 BDSG einen internen oder externen Datenschutzbeauftragten bestellen. Demnach müssen Kleinstunternehmen, in denen weniger als 20 Personen Kunden-, Lieferanten- oder Personaldaten verarbeiten, laut BDSG keinen Datenschutzbeauftragten benennen. Diese Benennungspflicht entfällt nur dann, wenn der Betrieb kein anderes Kriterium erfüllt.

Doch Vorsicht: Nach wie vor müssen alle Unternehmen die Anforderungen der DSGVO erfüllen, auch bei weniger als 20 Mitarbeitern. Lediglich die Bestellpflicht für einen Datenschutzbeauftragten entfällt.

Kriterium 2: Umgang mit sensiblen personenbezogenen Daten

Ist das Unternehmen nicht nur mit normalen personenbezogenen Daten konfrontiert, sondern verarbeitet es auch besonders sensible Informationen (besondere Kategorien personenbezogener Daten, Art. 9 DSGVO), besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten unabhängig von der Mitarbeiterzahl (Artikel 37 Absatz 1 c) DSGVO). Dies trifft dann zu, wenn die Mitarbeiter persönliche Daten aus sensiblen Bereichen wie Gesundheit, Herkunft, politische Gesinnung, religiöse Anschauung, Gewerkschaftsmitgliedschaft oder sexuelle Neigung erheben und nutzen. Auch Informationen zu Straftaten und strafrechtlichen Verurteilungen sind erfasst.

Kriterium 3: Systematische Personenüberwachung

Führen das Unternehmen Datenverarbeitungsvorgänge durch, die eine umfangreiche, regelmäßige und systematische Personenüberwachung erfordern, besteht die Benennungspflicht (Artikel 37 DSGVO). Das Kriterium umfangreich kann bedeuten, dass eine Vielzahl von Daten oder Personen betroffen ist. Die Eigenschaft regelmäßig setzt ein mehrmaliges Handeln voraus. Systematisch bezeichnet beispielsweise die methodische Verwendung von Überwachungstechnik.

Kriterium 4: Datenübermittlung als Geschäftsfeld

Wenn das Unternehmen in einem Geschäftsfeld agiert, das der Datenerhebung und Datenübermittlung an Dritte dient, ist laut § 38 Abs. 1 S.1 BDSG ein Datenschutzbeauftragter Pflicht. Besteht die geschäftliche Kerntätigkeit darin, Daten für die Markt- und Meinungsforschung zu verarbeiten, müssen Sie ebenfalls einen DSB ernennen. Die Personenanzahl ist irrelevant

Tags
  • DSGVO
  • Datenschutz
  • Management
  • Datenschutzbeauftragter
  • DSB
Über den Autor

DataGuard Redaktion

DataGuard

Hier schreibt für Sie die DataGuard Redaktion, bestehend aus einem Team von Journalisten und Datenschutz-Spezialisten. Alles dreht sich um den Datenschutz im Unternehmensumfeld. Sie finden uns ebenfalls bei Twitter und LinkedIn.

Unsere Empfehlung

Angebot erhalten
089 442 550 - 62649