Wann ist ein Datenschutzbeauftragter Pflicht?

In beinahe jedem Unternehmen werden personenbezogene Daten verarbeitet. Im Umgang mit diesen gelten besondere Pflichten und in einigen Fällen gehört auch die Bestellung eines Datenschutzbeauftragten dazu. Doch wann ist ein Datenschutzbeauftragter Pflicht? Welche Möglichkeiten gibt es, einer solchen Pflicht nachzukommen?

Pflicht zur Bestellung eines Datenschutzbeauftragten

Art. 37 DSGVO und § 38 BDSG stellen in bestimmten Fällen die Pflicht zur Bestellung eines Datenschutzbeauftragten durch den Verantwortlichen auf. Wenn die im Gesetz genannten Voraussetzungen vorliegen, ist die Bestellung eines Datenschutzbeauftragten Pflicht. Allen anderen Verantwortlichen steht es frei, einen Datenschutzbeauftragten zu benennen.

Voraussetzungen

Die DSGVO sieht den Verantwortlichen zur Bestellung eines Datenschutzbeauftragten verpflichtet,

• wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (Gerichte fallen im Rahmen ihrer justiziellen Tätigkeit nicht darunter) oder
• wenn in der Kerntätigkeit Verarbeitungsvorgänge vorgenommen werden, die aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung erforderlich machen oder
• wenn im Rahmen der Kerntätigkeit Daten der besonderen Kategorie nach Art. 9 DSGVO oder Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO) verarbeitet werden.

Damit setzt die DSGVO einen ziemlich engen Rahmen, in dem die Bestellung eines Datenschutzbeauftragten wirklich Pflicht ist. Zweck ist es, die Bereiche abzudecken, in denen besonders sensible oder besonders umfangreich personenbezogene Daten verarbeitet werden.

Diese Voraussetzungen werden aber vom BDSG erweitert, sodass der Anwendungsbereich der Pflicht doch nicht so klein bleibt. Nach § 38 BDSG ist nämlich zudem die Benennung in Deutschland Pflicht,

• wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen
• wenn Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen oder
• wenn personenbezogene Daten geschäftsmäßig verarbeitet werden zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung.

Der Schwellenwert von 20 beschäftigten Personen ist allerdings nicht so eindeutig, wie er zunächst klingt:

Der 20-Personen-Schwellenwert muss „in der Regel“ erreicht werden. Das heißt, es wird die Anzahl der Personen betrachtet, die über einen Zeitraum von einem Jahr mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind bzw. welche Anzahl im Rahmen einer Prognose beschäftigt sein werden.

Die Personen müssen auch „ständig“ beschäftigt sein, was bedeutet, dass die Aufgabe von diesen Personen regelmäßig wahrgenommen wird. Dabei muss es sich nicht um die Hauptaufgabe oder Kern der Tätigkeit der Person handeln, mit personenbezogenen Daten umzugehen. Es reicht aus, dass im Rahmen der konkreten Tätigkeit ein Umgang mit personenbezogenen Daten stattfindet. Dazu reicht es aus, dass die Person an ein Kommunikationssystem wie zB Outlook angebunden ist oder auf unternehmenseigene Adressverzeichnisse Zugriff hat. Wenn untersucht wird, ob der Schwellenwert überschritten ist, zählen also schon Mitarbeiter mit, die keine weiteren Kompetenzen haben, als sich personenbezogene Daten anzeigen zu lassen.

Damit fallen doch einige Unternehmen in Deutschland unter die Pflicht zur Bestellung eines Datenschutzbeauftragten, denen dies vielleicht noch gar nicht bewusst ist. Die Nichtbestellung eines Datenschutzbeauftragten wird inzwischen als mittlerer formeller Verstoß bewertet, der meist zwischen 20.000 und 30.000 Euro (je nach Umsatz) an Bußgeld kostet.

Interner oder Externer Datenschutzbeauftragter?

Unternehmen könne nicht nur einen Mitarbeiter zusätzlich zu seiner normalen Tätigkeit im Unternehmen zum Datenschutzbeauftragten ernennen, sondern auch einen Externen mit dieser Aufgabe betreuen.

Wählt man einen internen Mitarbeiter, kommt ein hoher Schulungsaufwand auf denjenigen zu. Zudem muss derjenige regelmäßig weitergebildet werden und es fallen so zusätzliche Kosten bei weniger Arbeitskraft für die eigentlichen Aufgaben an. Wegen dieses Aufwandes ist der Posten unter Mitarbeitern meist auch sehr unbeliebt. Außerdem ist es für Interne oft schwierig, einen Überblick über das gesamte Unternehmen zu behalten und so ihrer Aufgabe auch effektiv nachkommen zu können. Ein interner Mitarbeiter muss unbefangen sein und darf sich nicht selbstüberwachen, IT Mitarbeiter oder Mitarbeiter mit Personal- oder Bereichsverantwortung sowie alle Mitarbeiter in Leitungspositionen und Mitarbeiter mit Organschaften sind dadurch bereits ausgenommen.

Wählt man dagegen einen Externen, kann man sich auf dessen zertifizierte Expertise verlassen und muss sich nicht um Weiterbildungen kümmern. Zudem lässt sich mit dem festen Honorar der zusätzliche Aufwand gut abschätzen und in Grenzen halten. Der Externe Datenschutzbeauftragte hat meist einen besseren Überblick und wahrt die Neutralität.

Was für ein Unternehmen die bessere Alternative ist, muss aber im Einzelfall entschieden werden.

Mehrere Datenschutzbeauftragte notwendig?

Es ist grundsätzlich möglich, für mehrere Stellen, die unter derselben Leitung stehen, einen gemeinsamen Datenschutzbeauftragten zu benennen.

Nach Art. 37 II ist bei Unternehmen die Bestellung eines gemeinsamen Konzerndatenschutzbeauftragten möglich. Näheres dazu finden Sie hier.

Nach Art. 37 III gilt dasselbe für Behörden und öffentliche Stellen, wenn dies nach der Organisationsstruktur möglich ist.

FAQ

Q: Ab wann ist ein Datenschutzbeauftragter erforderlich?

A: Ein Datenschutzbeauftragter ist gemäß der DSGVO ab einer bestimmten Anzahl an Mitarbeitern oder bei bestimmten Arten von Datenverarbeitungsvorgängen erforderlich.

Q: Wann muss ein Datenschutzbeauftragter bestellt werden?

A: Ein Datenschutzbeauftragter muss bestellt werden, wenn in einem Unternehmen regelmäßig personenbezogene Daten verarbeitet werden, unabhängig von der Unternehmensgröße.

Q: Welche Aufgaben hat ein betrieblicher Datenschutzbeauftragter?

A: Der betriebliche Datenschutzbeauftragte ist unter anderem für die Überwachung der Einhaltung von Datenschutzvorschriften, die Beratung von Mitarbeitern und die Zusammenarbeit mit Aufsichtsbehörden verantwortlich.

Q: Wann drohen Bußgelder im Zusammenhang mit dem Datenschutzbeauftragten?

A: Bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO) können Bußgelder verhängt werden, besonders wenn kein Datenschutzbeauftragter bestellt wurde oder gegen datenschutzrechtliche Bestimmungen verstoßen wurde.

Q: Ist die Bestellung eines Datenschutzbeauftragten gesetzlich vorgeschrieben?

A: Ja, in bestimmten Fällen ist die Benennung eines Datenschutzbeauftragten gesetzlich vorgeschrieben, um sicherzustellen, dass der Datenschutz in einem Unternehmen gewährleistet ist.

Q: Welche Datenverarbeitungen erfordern die Bestellung eines Datenschutzbeauftragten?

A: Besondere Arten von Datenverarbeitungen, wie beispielsweise Gesundheitsdaten oder Informationen über strafrechtliche Verurteilungen, können die Bestellung eines Datenschutzbeauftragten notwendig machen.

Q: Was sind die Stellung und die Aufgaben eines Datenschutzbeauftragten?

A: Der Datenschutzbeauftragte hat eine unabhängige Stellung im Unternehmen und ist für die Überwachung des Datenschutzes, die Schulung von Mitarbeitern und die Zusammenarbeit mit Behörden verantwortlich.

Q: Wann ist ein Datenschutzbeauftragter Pflicht?

A: Ein Datenschutzbeauftragter ist laut DSGVO erforderlich, wenn in einem Unternehmen regelmäßig und systematisch personenbezogene Daten verarbeitet werden. Die genauen Kriterien, ab wann die Bestellung eines Datenschutzbeauftragten notwendig ist, sind im BDSG festgelegt.

Q: Ab wann muss ein Datenschutzbeauftragter bestellt werden?

A: Ein Betrieb muss einen Datenschutzbeauftragten benennen, wenn die Datenverarbeitung besonders sensibler Daten erfolgt, oder wenn dies aufgrund der Art, des Umfangs oder der Zwecke der Datenverarbeitung erforderlich ist.

Q: Welche sind die Aufgaben des betrieblichen Datenschutzbeauftragten?

A: Der betriebliche Datenschutzbeauftragte hat die Aufgabe, die Einhaltung der Datenschutzvorschriften zu überwachen, Schulungen im Unternehmen durchzuführen, Anfragen von Betroffenen zu beantworten und als Ansprechpartner für die Aufsichtsbehörden zu fungieren.

Q: In welchen Fällen ist die Benennung eines Datenschutzbeauftragten notwendig?

A: Ein Unternehmen ist verpflichtet, einen Datenschutzbeauftragten zu bestellen, wenn es regelmäßig und systematisch personenbezogene Daten verarbeitet, oder wenn dies gesetzlich vorgeschrieben ist.

Q: Welche Bußgelder drohen bei Verletzung der Datenschutzbestimmungen in Bezug auf einen Datenschutzbeauftragten?

A: Bei Verstößen gegen die datenschutzrechtlichen Vorschriften können hohe Bußgelder verhängt werden, insbesondere wenn kein Datenschutzbeauftragter benannt wurde, obwohl dies erforderlich war.

Q: Welche Rolle spielt die DSGVO bei der Bestellung eines Datenschutzbeauftragten?

A: Die DSGVO legt die Anforderungen für die Benennung eines Datenschutzbeauftragten fest und regelt die Zuständigkeiten und Pflichten in Bezug auf den Schutz personenbezogener Daten.