WANN
muss ein Datenschutzbeauftragter bestellt werden?
Wann genau ein Unternehmen gesetzlich verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, ergibt sich im Wesentlichen aus Art 37 Abs. 1 DSGVO und § 38 Abs. 1 BDSG. Demnach sind vor allem zwei Kriterien entscheidend…
- die Anzahl der Personen, die im Unternehmen personenbezogene Daten verarbeiten und
- die Art und der Umfang der eingesetzten Datenverarbeitungsprozesse.
Im Einzelnen gilt Folgendes:
1. Anzahl der Beschäftigten
Laut §38 Abs. 1 BDSG muss ein Datenschutzbeauftragter bestellt werden, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ständig entsprechend beschäftigt ist eine Person bspw. bereits dann, wenn sie über einen geschäftlichen Mail-Account verfügt, über den regelmäßig mit Kunden, Lieferanten oder anderen Mitarbeitern kommuniziert wird. Eine automatisierte Verarbeitung liegt immer dann vor, wenn die Verarbeitung mit EDV-Geräten erfolgt. Dieses Merkmal ist also immer bereits dann erfüllt, wenn ein PC, ein Laptop, ein Tablet oder ein Smartphone zum Einsatz kommt.Bei Bestimmung der benannten Schwellenwerte von 20 Personen sind sämtliche Personen einzubeziehen, die (auch nur zeitweise) mit der Verarbeitung personenbezogener Daten beschäftigt sind. Auch jeder Teilzeitbeschäftigte zählt jeweils voll. Darüber hinaus macht es keinerlei Unterschied, ob es sich um eigene Angestellte, freie Mitarbeiter, Zeitarbeiter, Praktikanten oder Auszubildende etc. handelt.
Werden personenbezogene Daten automatisiert verarbeitet und haben mindestens 20 Personen Zugriff auf die Unternehmens-EDV (Computerarbeitsplatz, Mitarbeiteraccount, geschäftliche Mail-Adresse, geschäftliches Handy o.ä.), kann nach meiner Erfahrung regelmäßig davon ausgegangen werden, dass eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht.
2. Art und Umfang der Datenverarbeitung
Unabhängig von der Beschäftigtenzahl (also auch bei weniger als 20 Personen) muss ein Datenschutzbeauftragter bestellt werden, wenn im Unternehmen Verarbeitungstätigkeiten vorgenommen werden, die der Datenschutz-Folgenabschätzung unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der (auch anonymisierten) Übermittlung oder der Markt- oder Meinungsforschung verarbeitet werden.Außerdem ist ein Datenschutzbeauftragter unabhängig von der Unternehmensgröße immer erforderlich, wenn eine Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler personenbezogener Daten (vgl. Art. 9 DSGVO) besteht oder Verarbeitungen vorgenommen werden, in deren Rahmen Personen umfangreich regelmäßig und systematisch überwacht werden.
3. Zusammenfassung - Wann muss Datenschutzbeauftragter bestellt werden?
Als grobe Orientierung lässt sich für privatwirtschaftliche Unternehmen zusammenfassen, dass ein Datenschutzbeauftragter bestellt werden muss, wenn mindestens 20 Personen regelmäßig elektronisch personenbezogene Daten verarbeiten. Unterhalb der 20-Personen-Schwelle ist ein Datenschutzbeauftragter dann Pflicht, wenn die eingesetzten Verarbeitungsprozesse mit einem hohen Risiko für die davon betroffenen Personen verbunden sind. Dies kommt in Betracht, wenn besonders sensible Daten in großem Umfang verarbeitet werden.
Auch ohne gesetzliche Verpflichtung kann ein betrieblicher Datenschutzbeauftragter sinnvoll sein. Das Datenschutzrecht muss ein Unternehmen immer beachten, unabhängig von Größe und Tätigkeitsschwerpunkt. Deshalb sollte hierfür auch stets ein kompetenter Ansprechpartner vorhanden sein. Bestellt man diesen gleichzeitig als Datenschutzbeauftragten, zeigt man damit, dass der Datenschutz als wichtig angesehen wird und man sich mit dem Thema auseinandersetzt. Das stärkt regelmäßig das Vertrauen von Kunden und Geschäftspartnern und verbessert somit die Reputation des Unternehmens.
Häufig gestellte Fragen zum Datenschutzbeauftragten
Wer darf als Datenschutzbeauftragter bestellt werden?
Wie wird ein Datenschutzbeauftragter bestellt?
Was sind die Aufgaben eines Datenschutzbeauftragten?
Wieso? Weshalb? Warum?
Weitere häufige Fragen rund um die Auswahl und Bestellung eines Datenschutzbeauftragten finden Sie…