WANN
muss ein Datenschutzbeauftragter bestellt werden?

Wann muss ein Datenschutzbeauftragter bestellt werden

Wann genau ein Unternehmen gesetzlich verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, ergibt sich im Wesentlichen aus Art 37 Abs. 1 DSGVO und § 38 Abs. 1 BDSG. Demnach sind vor allem zwei Kriterien entscheidend…

  • die Anzahl der Personen, die im Unternehmen personenbezogene Daten verarbeiten und
  • die Art und der Umfang der eingesetzten Datenverarbeitungsprozesse.

Im Einzelnen gilt Folgendes:


1. Anzahl der Beschäftigten

Laut §38 Abs. 1 BDSG muss ein Datenschutzbeauftragter bestellt werden, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ständig entsprechend beschäftigt ist eine Person bspw. bereits dann, wenn sie über einen geschäftlichen Mail-Account verfügt, über den regelmäßig mit Kunden, Lieferanten oder anderen Mitarbeitern kommuniziert wird. Eine automatisierte Verarbeitung liegt immer dann vor, wenn die Verarbeitung mit EDV-Geräten erfolgt. Dieses Merkmal ist also immer bereits dann erfüllt, wenn ein PC, ein Laptop, ein Tablet oder ein Smartphone zum Einsatz kommt.

Bei Bestimmung der benannten Schwellenwerte von 20 Personen sind sämtliche Personen einzubeziehen, die (auch nur zeitweise) mit der Verarbeitung personenbezogener Daten beschäftigt sind. Auch jeder Teilzeitbeschäftigte zählt jeweils voll. Darüber hinaus macht es keinerlei Unterschied, ob es sich um eigene Angestellte, freie Mitarbeiter, Zeitarbeiter, Praktikanten oder Auszubildende etc. handelt.

Werden personenbezogene Daten automatisiert verarbeitet und haben mindestens 20 Personen Zugriff auf die Unternehmens-EDV (Computerarbeitsplatz, Mitarbeiteraccount, geschäftliche Mail-Adresse, geschäftliches Handy o.ä.), kann nach meiner Erfahrung regelmäßig davon ausgegangen werden, dass eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht.

2. Art und Umfang der Datenverarbeitung

Unabhängig von der Beschäftigtenzahl (also auch bei weniger als 20 Personen) muss ein Datenschutzbeauftragter bestellt werden, wenn im Unternehmen Verarbeitungstätigkeiten vorgenommen werden, die der Datenschutz-Folgenabschätzung unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der (auch anonymisierten) Übermittlung oder der Markt- oder Meinungsforschung verarbeitet werden.

Außerdem ist ein Datenschutzbeauftragter unabhängig von der Unternehmensgröße immer erforderlich, wenn eine Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler personenbezogener Daten (vgl. Art. 9 DSGVO) besteht oder Verarbeitungen vorgenommen werden, in deren Rahmen Personen umfangreich regelmäßig und systematisch überwacht werden.

3. Zusammenfassung - Wann muss Datenschutzbeauftragter bestellt werden?

Als grobe Orientierung lässt sich für privatwirtschaftliche Unternehmen zusammenfassen, dass ein Datenschutzbeauftragter bestellt werden muss, wenn mindestens 20 Personen regelmäßig elektronisch personenbezogene Daten verarbeiten. Unterhalb der 20-Personen-Schwelle ist ein Datenschutzbeauftragter dann Pflicht, wenn die eingesetzten Verarbeitungsprozesse mit einem hohen Risiko für die davon betroffenen Personen verbunden sind. Dies kommt in Betracht, wenn besonders sensible Daten in großem Umfang verarbeitet werden.

Auch ohne gesetzliche Verpflichtung kann ein betrieblicher Datenschutzbeauftragter sinnvoll sein. Das Datenschutzrecht muss ein Unternehmen immer beachten, unabhängig von Größe und Tätigkeitsschwerpunkt. Deshalb sollte hierfür auch stets ein kompetenter Ansprechpartner vorhanden sein. Bestellt man diesen gleichzeitig als Datenschutzbeauftragten, zeigt man damit, dass der Datenschutz als wichtig angesehen wird und man sich mit dem Thema auseinandersetzt. Das stärkt regelmäßig das Vertrauen von Kunden und Geschäftspartnern und verbessert somit die Reputation des Unternehmens.

Häufig gestellte Fragen zum Datenschutzbeauftragten

Wer darf als Datenschutzbeauftragter bestellt werden?

Wer zum Datenschutzbeauftragten bestellt werden darf, ist in der DSGVO nicht ausdrücklich aufgeführt. Die Datenschutz-Aufsichtsbehörden haben allerdings Anforderungen für die persönliche und die fachliche Eignung definiert.
mehr dazu...

Wie wird ein Datenschutzbeauftragter bestellt?

Ein festes Prozedere zur Bestellung besteht nicht. Wichtig ist, die erforderliche Unabhängigkeit des Datenschutzbeauftragten zu gewährleisten. Seine Kontaktdaten sind zu veröffentlichen und der Aufsichtsbehörde mitzuteilen.
mehr dazu...

Was sind die Aufgaben eines Datenschutzbeauftragten?

Verschiedene Aufgaben sind einem Datenschutzbeauftragten bereits gesetzlich zugewiesen. Da die Liste dieser Aufgaben allerdings sehr überschaubar ist, empfiehlt es sich, ihm vertraglich weitere Aufgaben explizit zu übertragen.
mehr dazu...

Wieso? Weshalb? Warum?

Weitere häufige Fragen rund um die Auswahl und Bestellung eines Datenschutzbeauftragten finden Sie…

Nicht das passende gefunden?​

Schreiben Sie uns!​