Oft besteht Unklarheit darüber, wann ein Unternehmen einen Datenschutzbeauftragten benennen muss. Wir erklären, ab wann die gesetzliche Pflicht zur Bestellung eines DSB besteht.

Die folgende Einordnung gilt für nicht öffentliche Stellen (private Unternehmen). Die Bestellung des Datenschutzbeauftragten bei öffentlichen Stellen wie z.B. in der Justiz wird hier nicht behandelt.

Die Bestellung eines Datenschutzbeauftragten wird durch die DSGVO in Verbindung mit dem BDSG_neu geregelt. Die Kriterien zur Bestellung werden in Art. 37 DSGVO und § 38 BDSG_neu beschrieben, erfüllen Sie mindestens eines der folgenden Kriterien ist ein DSB zu bestellen.

Verarbeitung personenbezogener Daten durch mehr als 10 Personen

Sind mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, ist ein Datenschutzbeauftragter gemäß § 38 BDSG_neu iVm mit Art. 38 DSGVO zu bestellen, wenn eine automatisierte Datenverarbeitung erfolgt.

Wichtig hierbei ist, dass der Zweck Tätigkeit auf die Verarbeitung personenbezogener Daten abzielt. Der Handwerker, der auf die Baustelle fährt, wird hier nicht mitgezählt. Betroffen sind hiervon Tätigkeiten wie die Lohnbuchhaltung, Personaldisponenten und Mitarbeiter im Vertrieb.

Sie dürfen in Ihrem Unternehmen mehr als 10 Mitarbeiter haben, ohne einen Datenschutzbeauftragten bestellen zu müssen, die Bestellung erst notwendig, wenn mehr als 10 Leute tatsächlich ständig mit personenbezogenen Daten arbeiten.

Die Kerntätigkeit ist die Verarbeitung besonderer personenbezogener Daten

Ein Datenschutzbeauftragter ist auch zu bestellen, wenn die Kerntätigkeit in der umfangreichen Verarbeitung besondere personenbezogene Daten liegt oder Daten über Verurteilungen und Straftaten verarbeitet werden. Besondere personenbezogene Daten sind insbesondere Daten über die Gewerkschaftszugehörigkeit, ethnische Herkunft oder religiöse und politische Weltanschauungen.

Ist Ihr Kerngeschäft z.B. das anbieten von Inkasso Dienstleistungen, Kundensupport oder der Betrieb von ERP Systemen die personenbezogene Daten verarbeiten, ist ein Datenschutzbeauftragter zu bestellen.

Die Verarbeitung ist Kerngeschäft und es findet eine systematische und regelmäßige Bewertung der Kundenprofile statt

Die Bestellung eines DSB ist nach Art. 37 DSGVO notwendig, wenn es Kerngeschäft des Unternehmens ist, umfassende Profile von Betroffenen anzulegen und zu pflegen. Dies trifft z.B. auf Scoring Unternehmen und Marketingunternehmen zu die Profile bilden zu. Die Pflicht zur Bestellung ist in diesem Fall unabhängig von der Anzahl der Mitarbeiter.

Verarbeitungen bei kritischen Vorgängen

In kritischen Verarbeitungsvorgängen, bei denen eine Datenschutzfolgenabschätzung gem. Art. 35 DSGVO vorgenommen werden muss, ist zwingend ein Datenschutzbeauftragter zu bestellen. Die Datenschutzfolgenabschätzung ist Fällen durchzuführen, indem die Verarbeitung mit einem hohen Risiko für den Betroffenen einhergehen kann, dies ist z.B. der Fall bei Videoüberwachung, Scoringverfahren und Big Data Anwendungen der Fall.

Verarbeitung zu Zwecken der geschäftsmäßigen Übermittlung

Verdienen Sie mit der Übermittlung/ dem Handel von Daten Geld, besteht die Bestellpflicht. Dies trifft zu, wenn Sie z.B. Daten zum Zweck des Direktmarketings weitergeben.

Weiterhin besteht die Bestellpflicht der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung.

Wie wird der Datenschutzbeauftragte bestellt?

Sie sollten die Datenschutzbeauftragten schriftlich bestellen, hierbei ist darauf zu achten, dass dieser die gesetzlich vorgeschriebene Fachkunde besitzt.