Oft besteht Unklarheit darüber, wann ein Datenschutzbeauftragter benannt werden muss. Wir erklären, ab wann die gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten besteht.

Die folgende Einordnung gilt für nicht-öffentliche Stellen (private Unternehmen). Die Bestellung des Datenschutzbeauftragten bei öffentlichen Stellen wie z.B. in der Justiz wird hier nicht behandelt.

Die Bestellung eines Datenschutzbeauftragten wird durch die DSGVO in Verbindung mit dem BDSG_neu geregelt. Die Kriterien zur Bestellung werden in Art. 37 DSGVO und § 38 BDSG_neu beschrieben, erfüllen Sie mindestens eines der folgenden Kriterien ist ein DSB zu bestellen.

Verarbeitung personenbezogener Daten durch mehr als 10 Personen

Sind mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, ist ein Datenschutzbeauftragter gemäß § 38 BDSG_neu iVm Art. 38 DSGVO zu bestellen.

Wichtig hierbei ist, dass der Zweck der Tätigkeit auf die Verarbeitung personenbezogener Daten abzielt. Der Handwerker, der auf die Baustelle fährt, wird hier nicht mitgezählt. Betroffen sind hiervon Tätigkeiten wie die Lohnbuchhaltung, Personaldisponenten und Mitarbeiter im Vertrieb.

Sie dürfen in Ihrem Unternehmen mehr als 10 Mitarbeiter haben, ohne einen Datenschutzbeauftragten bestellen zu müssen, die Bestellung ist erst notwendig, wenn mehr als 10 Leute tatsächlich ständig mit personenbezogenen Daten arbeiten.

Die Kerntätigkeit ist die Verarbeitung besonderer personenbezogener Daten

Die Bestellung eines Datenschutzbeauftragten ist auch erforderlich, wenn die Kerntätigkeit in der umfangreichen Verarbeitung von besonderen personenbezogenen Daten liegt oder Daten über Verurteilungen und Straftaten verarbeitet werden. Besondere personenbezogene Daten sind z.B. Daten über die Gewerkschaftszugehörigkeit, Ethnische Herkunft oder religiöse und politische Weltanschauungen.

Ist Ihr Kerngeschäft z.B. das Anbieten von Inkasso Dienstleistungen, Kundensupport oder der Betrieb von ERP Systemen, die personenbezogene Daten verarbeiten, ist ein Datenschutzbeauftragter zu bestellen.

Die Verarbeitung ist Kerngeschäft und es findet eine systematische und regelmäßige Bewertung der Kundenprofile statt

Die Bestellung eines DSB ist nach Art. 37 DSGVO auch notwendig, wenn es Kerngeschäft des Unternehmens ist, umfassende Profile von betroffenen Personen anzulegen und zu pflegen. Dies trifft z.B. auf Scoring- und Marketingunternehmen zu, die Profile bilden. Die Pflicht zur Bestellung ist in diesem Fall unabhängig von der Anzahl der Mitarbeiter.

Verarbeitungen bei kritischen Vorgängen

In kritischen Verarbeitungsvorgängen, z.B. Verarbeitungen, bei denen eine Datenschutzfolgenabschätzung gem. Art. 35 DSGVO vorgenommen werden muss, ist zwingend ein Datenschutzbeauftragter zu bestellen. Die Datenschutzfolgenabschätzung ist in Fällen durchzuführen, in welchen die Verarbeitung mit einem hohen Risiko für die betroffenen Personen einhergeht, dies ist z.B. der Fall bei Videoüberwachung, Scoringverfahren oder Big Data Anwendungen.  

Verarbeitung zu Zwecken der geschäftsmäßigen Übermittlung

Verdienen Sie mit der Übermittlung/ dem Handel von Daten Geld, besteht ebenfalls eine Bestellpflicht. Dies trifft zu, wenn Sie z.B. Daten zum Zweck des Direktmarketings weitergeben.

Weiterhin besteht die Bestellpflicht der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung.

Wie wird der Datenschutzbeauftragte bestellt?

Sie sollten die Datenschutzbeauftragten schriftlich bestellen, hierbei ist darauf zu achten, dass dieser die gesetzlich vorgeschriebene Fachkunde besitzt.

Ernennung juristischer Personen als (externe) Datenschutzbeauftragte

Die Frage, ob auch juristische Personen als (externe) Datenschutzbeauftragte ernannt werden können, ist in der Fachwelt nicht eindeutig geklärt.

Nach Ansicht des Europäischen Datenschutzausschusses, schließt der Wortlaut der DSGVO dies nicht aus. Die Anforderungen hieran wären aber recht hoch: Nicht nur müsste es trotzdem einen konkreten Ansprechpartner für die Datenschutzbehörden geben; jedes Mitglied des Unternehmens bzw. der Einrichtung müsste zudem die Funktion eines Datenschutzbeauftragten und damit sämtliche Aufgaben nach Artikel 39 DSGVO wahrnehmen können. [1] Diese Anforderungen müssten in jedem Fall erfüllt werden, sollte eine juristische Person als externer Datenschutzbeauftragter bestellt werden.

Andere Stimmen verneinen die Benennung juristischer Personen aufgrund einzelner Wortlaute innerhalb der (englischen) DSGVO gänzlich. So differenziere die DSGVO besonders in den Definitionen des Artikel 4 eindeutig zwischen natürlichen und juristischen Personen. [2]  

Unstrittig ist in jedem Fall, dass die Vereinbarung direkt mit dem Unternehmen, das den externen Datenschutzbeauftragten stellt, geschlossen werden kann. [3]

Um Sicherheit zu haben, empfiehlt es sich, vor Benennung mit der zuständigen Datenschutzbehörde in Kontakt zu treten. [4]


[1] Art. 29- Datenschutzgruppe, WP 243 „Guidelines on Data Protection Officers (‘DPOs’)“, rev. 01, S. 14 f.

[2] Vgl. Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 37, Rn. 43; Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, 2. Auflage 2019, § 6 Rn. 18.

[3] Paal/Pauly/Paal DS-GVO Art. 37 Rn. 15a.

[4] Vgl. Hessische Datenschutzbeauftragte, Der behördliche und betriebliche Datenschutzbeauftragte nach neuem Recht, Stand: Juni 2017, S. 12. (zu finden unter: https://datenschutz.hessen.de/datenschutz/datenschutzbeauftragte/beh%C3%B6rdliche-und-betriebliche-datenschutzbeauftragte-nach-neuem)