Wann benötigen Unternehmen einen Datenschutzbeauftragten?

Wann muss überhaupt ein Datenschutzbeauftragter ernannt werden? Entgegen der weit verbreiteten Ansicht ist von einer Personengrenze in der DSGVO nirgends die Rede. Hier spielen zwei Gesetze zusammen, die dieses Thema regeln.

Zum einen gilt natürlich die DSGVO. Die regelt in Art. 37, wann ein Datenschutzbeauftragter benannt werden muss. Das ist der Fall, wenn

  • die Verarbeitung durch eine öffentliche Stelle durchgeführt wird. Also alle Behörden müssen einen Datenschutzbeauftragten benennen.
  • die Kerntätigkeit des Unternehmens in einer umfangreichen regelmäßigen oder systematischen Überwachung von Personen besteht. Darunter fallen zum Beispiel Sicherheitsunternehmen, die mit einer Videoanlage Gebäude überwachen.
  • die Kerntätigkeit des Unternehmens in der Verarbeitung von Daten der besonderen Kategorie nach Art. 9 DSGVO besteht. Das betrifft viele Unternehmen aus dem Gesundheitssektor.

Zusätzliche Regelungen im BDSG

Diese Vorgaben gelten europaweit und dürfen durch die Gesetzgeber der EU-Länder auch nicht aufgeweicht werden. Aber die Länder dürfen zusätzliche Regeln einführen. Deutschland hat dies getan, und zwar in §38 BDSG. Hierin gelten die folgenden zusätzliche Regeln für die Benennungspflicht eines Datenschutzbeauftragten:

  • Wenn in einem Unternehmen oder Verein mehr als eine gewisse Anzahl von Personen – worunter auch ehrenamtliche oder freie Mitarbeiter zählen – ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, muss ein Datenschutzbeauftragter benannt werden. Aktuell liegt diese Zahl bei 20 Mitarbeitern, ab der ein DSB benannt werden muss.
  • Wenn die Verarbeitung einer Datenschutz-Folgeabschätzung (DSFA) unterliegt, muss ebenfalls ein Datenschutzbeauftragter benannt werden. Welche Verarbeitungstätigkeiten einer DSFA erfordern, haben die Landesdatenschutzämter in einer sogenannten „Muss-Liste“ festgehalten, die sie online zur Verfügung stellen.
  • Wenn der Geschäftszweck in der Übermittlung von personenbezogenen Daten besteht oder es sich um Marktforschung handelt, ist ebenfalls ein Datenschutzbeauftragter vorgeschrieben.

Wenn einer der Punkte zutrifft – egal ob aus der DSGVO oder dem BDSG – muss ein Datenschutzbeauftragter benannt werden. Das kann ein interner Mitarbeiter sein oder auch ein externer Dienstleister.

Tags
  • DSGVO
  • Datenschutz
  • Management
  • Datenschutzbeauftragter
  • DSB
Über den Autor

DataGuard Redaktion

DataGuard

Hier schreibt für Sie die DataGuard Redaktion, bestehend aus einem Team von Journalisten und Datenschutz-Spezialisten. Alles dreht sich um den Datenschutz im Unternehmensumfeld. Sie finden uns ebenfalls bei Twitter und LinkedIn.

Unsere Empfehlung

Angebot erhalten
089 442 550 - 62649 deutschlandweiter Service