Wann ist ein Datenschutzbeauftragter Pflicht?

In beinahe jedem Unternehmen werden personenbezogene Daten verarbeitet. Im Umgang mit diesen gelten besondere Pflichten und in einigen Fällen gehört auch die Bestellung eines Datenschutzbeauftragten dazu. Doch wann ist ein Datenschutzbeauftragter Pflicht? Welche Möglichkeiten gibt es, einer solchen Pflicht nachzukommen?

Pflicht zur Bestellung eines Datenschutzbeauftragten

Art. 37 DSGVO und § 38 BDSG stellen in bestimmten Fällen die Pflicht zur Bestellung eines Datenschutzbeauftragten durch den Verantwortlichen auf. Wenn die im Gesetz genannten Voraussetzungen vorliegen, ist die Bestellung eines Datenschutzbeauftragten Pflicht. Allen anderen Verantwortlichen steht es frei, einen Datenschutzbeauftragten zu benennen.

Voraussetzungen

Die DSGVO sieht den Verantwortlichen zur Bestellung eines Datenschutzbeauftragten verpflichtet,

• wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (Gerichte fallen im Rahmen ihrer justiziellen Tätigkeit nicht darunter) oder
• wenn in der Kerntätigkeit Verarbeitungsvorgänge vorgenommen werden, die aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung erforderlich machen oder
• wenn im Rahmen der Kerntätigkeit Daten der besonderen Kategorie nach Art. 9 DSGVO oder Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO) verarbeitet werden.

Damit setzt die DSGVO einen ziemlich engen Rahmen, in dem die Bestellung eines Datenschutzbeauftragten wirklich Pflicht ist. Zweck ist es, die Bereiche abzudecken, in denen besonders sensible oder besonders umfangreich personenbezogene Daten verarbeitet werden.

Diese Voraussetzungen werden aber vom BDSG erweitert, sodass der Anwendungsbereich der Pflicht doch nicht so klein bleibt. Nach § 38 BDSG ist nämlich zudem die Benennung in Deutschland Pflicht,

• wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen
• wenn Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen oder
• wenn personenbezogene Daten geschäftsmäßig verarbeitet werden zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung.

Der Schwellenwert von 20 beschäftigten Personen ist allerdings nicht so eindeutig, wie er zunächst klingt:

Der 20-Personen-Schwellenwert muss „in der Regel“ erreicht werden. Das heißt, es wird die Anzahl der Personen betrachtet, die über einen Zeitraum von einem Jahr mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind bzw. welche Anzahl im Rahmen einer Prognose beschäftigt sein werden.

Die Personen müssen auch „ständig“ beschäftigt sein, was bedeutet, dass die Aufgabe von diesen Personen regelmäßig wahrgenommen wird. Dabei muss es sich nicht um die Hauptaufgabe oder Kern der Tätigkeit der Person handeln, mit personenbezogenen Daten umzugehen. Es reicht aus, dass im Rahmen der konkreten Tätigkeit ein Umgang mit personenbezogenen Daten stattfindet. Dazu reicht es aus, dass die Person an ein Kommunikationssystem wie zB Outlook angebunden ist oder auf unternehmenseigene Adressverzeichnisse Zugriff hat. Wenn untersucht wird, ob der Schwellenwert überschritten ist, zählen also schon Mitarbeiter mit, die keine weiteren Kompetenzen haben, als sich personenbezogene Daten anzeigen zu lassen.

Damit fallen doch einige Unternehmen in Deutschland unter die Pflicht zur Bestellung eines Datenschutzbeauftragten, denen dies vielleicht noch gar nicht bewusst ist. Die Nichtbestellung eines Datenschutzbeauftragten wird inzwischen als mittlerer formeller Verstoß bewertet, der meist zwischen 20.000 und 30.000 Euro (je nach Umsatz) an Bußgeld kostet.

Interner oder Externer Datenschutzbeauftragter?

Unternehmen könne nicht nur einen Mitarbeiter zusätzlich zu seiner normalen Tätigkeit im Unternehmen zum Datenschutzbeauftragten ernennen, sondern auch einen Externen mit dieser Aufgabe betreuen.

Wählt man einen internen Mitarbeiter, kommt ein hoher Schulungsaufwand auf denjenigen zu. Zudem muss derjenige regelmäßig weitergebildet werden und es fallen so zusätzliche Kosten bei weniger Arbeitskraft für die eigentlichen Aufgaben an. Wegen dieses Aufwandes ist der Posten unter Mitarbeitern meist auch sehr unbeliebt. Außerdem ist es für Interne oft schwierig, einen Überblick über das gesamte Unternehmen zu behalten und so ihrer Aufgabe auch effektiv nachkommen zu können. Ein interner Mitarbeiter muss unbefangen sein und darf sich nicht selbstüberwachen, IT Mitarbeiter oder Mitarbeiter mit Personal- oder Bereichsverantwortung sowie alle Mitarbeiter in Leitungspositionen und Mitarbeiter mit Organschaften sind dadurch bereits ausgenommen.

Wählt man dagegen einen Externen, kann man sich auf dessen zertifizierte Expertise verlassen und muss sich nicht um Weiterbildungen kümmern. Zudem lässt sich mit dem festen Honorar der zusätzliche Aufwand gut abschätzen und in Grenzen halten. Der Externe Datenschutzbeauftragte hat meist einen besseren Überblick und wahrt die Neutralität.

Was für ein Unternehmen die bessere Alternative ist, muss aber im Einzelfall entschieden werden.

Mehrere Datenschutzbeauftragte notwendig?

Es ist grundsätzlich möglich, für mehrere Stellen, die unter derselben Leitung stehen, einen gemeinsamen Datenschutzbeauftragten zu benennen.

Nach Art. 37 II ist bei Unternehmen die Bestellung eines gemeinsamen Konzerndatenschutzbeauftragten möglich. Näheres dazu finden Sie hier.

Nach Art. 37 III gilt dasselbe für Behörden und öffentliche Stellen, wenn dies nach der Organisationsstruktur möglich ist.