Wann müssen Sie einen Datenschutzbeauftragten bestellen?

Inhaltsverzeichnis:

  1. Wann muss zwingend ein Datenschutzbeauftragter bestellt werden?
  2. Bestellpflicht aufgrund Art, Umfang und Zweck der Verarbeitungsvorgänge
  3. Bestellpflicht wegen der Verarbeitung besonders sensibler Daten
  4. Bestellpflicht ab 20 Beschäftigten im Unternehmen
  5. Bestellpflicht bei Datenschutz-Folgeabschätzung
  6. Bestellpflicht bei geschäftsmäßiger Übermittlung
  7. Mitteilungspflicht gegenüber der Aufsichtsbehörde
  8. Datenschutzbeauftragten freiwillig bestellen?
  9. Extern oder intern, Voll- oder Teilzeit
  10. Fachkunde des Datenschutzbeauftragten
  11. Aufgaben des Datenschutzbeauftragten

Die Bestellung eines betrieblichen Datenschutzbeauftragten hat in den letzten Jahren eine herausragende Rolle als innerbetriebliches bzw. in ein innerbehördliches Instrument des Datenschutz-Managements erlangt. Dabei spielt es keine Rolle, ob Sie einen internen Datenschutzbeauftragten (in Voll- oder Teilzeit) oder extern zur Aufgabenwahrnehmung bestellen, es sollte Datenschutz mit Augenmaß betrieben werden. Nach Möglichkeit sollte eine hundertprozentige Einhaltung und Erfüllung sämtlicher Datenschutz-Anforderungen angestrebt werden, auch wenn diese aus praktischer Sicht nahezu unerreichbar scheint. Daher sollte jeder Verantwortliche auch außerhalb der gesetzlichen Verpflichtung zur Benennung eines Datenschutzbeauftragten prüfen und entscheiden, ob er einen Datenschutzbeauftragten oder zumindest einen Datenschutz-Berater benötigt. 

Im Folgenden werden zunächst die gesetzlichen Anforderungen dargestellt und erläutert, bei deren Vorliegen die Verantwortlichen einen Datenschutzbeauftragten zwingend bestellen müssen.

1. Wann muss zwingend ein Datenschutzbeauftragter bestellt werden?

Die DSGVO legt auf europäischer Ebene eine verpflichtende Benennung von betrieblichen Datenschutzbeauftragten in bestimmten Situationen fest. Aufgrund der unmittelbaren Geltung der Datenschutz-Grundverordnung in allen EU-Mitgliedsstaaten, ist ein Datenschutzbeauftragter in einem privaten Unternehmen zwingend zu benennen, wenn

  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten nach Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten nach Art. 10 DSGVO besteht.

Darüber hinaus lösen auf nationaler Ebene (in Deutschland) auch noch andere Faktoren eine Benennungspflicht aus. Der Verantwortliche und der Auftragsverarbeiter müssen einen Datenschutzbeauftragten benennen, wenn

  • sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, sowie
  • Verarbeitungen vornehmen, die einer Datenschutz-Folgeabschätzung nach Art. 35 der DSGVO unterliegen, oder
  • bei geschäftsmäßigen Verarbeitung zum Zweck der Übermittlung, oder
  • Verarbeitung zum Zweck der Markt- und Meinungsforschung (unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen)

Die Adressaten dieser Regelungen sind sowohl die Verantwortliche als auch deren Auftragsverarbeiter.

Bestellen Sie einen Datenschutzbeauftragten

Investieren Sie jetzt in Ihre Datensicherheit

Der Begriff der Kerntätigkeit ist dahingehend zu verstehen, dass es sich bei der fraglichen Datenverarbeitung um die Haupttätigkeit der verantwortlichen Stelle handeln muss, nicht um eine Nebentätigkeit.

Als umfangreich können alle Datenverarbeitungen angesehen werden, die in großer Menge stattfinden oder eine Vielzahl von Personen betreffen. Überwachung soll jegliche Tätigkeiten beschreiben, die eine Feststellung und Beurteilung von Abweichungen zwischen einem beobachtbaren Ist-Zustand von einem vorgegebenen Sollzustand beinhalten.

Regelmäßig ist die Beobachtung dann wenn sie wiederkehrend oder fortlaufend stattfindet. Systematisch ist die Beobachtung dann, wenn sie organisiert bzw. methodisch erfolgt.

Grundsätzlich kann man Auskunfteien, Detekteien, die Betreiber von Warndiensten oder Bewertungsportalen im Internet und soziale Netzwerke unter den Tatbestand dieser Regelung fassen. Die Aufzählung ist keinesfalls abschließend und kann als eine Art Interpretationshilfe für diese spezielle Bestellpflicht dienen. Es muss in dem konkreten Einzelfall geprüft werden, ob eine Bestellpflicht vorliegt. Im Zweifel wird die Auslegung und Zuordnung durch Aufsichtsbehörden oder Gerichte erfolgen.

3. Bestellpflicht wegen der Verarbeitung besonders sensibler Daten

Der Datenschutzbeauftragter ist auch zu bestellen, wenn die Kerntätigkeit in der umfangreichen Verarbeitung besondere Kategorien von Daten nach Art. 9 DSGVO oder von Daten über strafrechtliche Verurteilungen und Straftaten nach Art. 10 DSGVO besteht.

Diese Voraussetzung ist allerdings dann erfüllt, wenn besondere Kategorien von Daten verarbeitet werden und die Verarbeitung umfangreich erfolgt. Weiter muss der Verantwortliche die Verarbeitung dieser Daten als Kerntätigkeit vornehmen. Als Beispiele können hier medizinische Datenbanken, Parteien, Gewerkschaften, Softwareunternehmen, Krankenhäuser in privater Trägerschaft und Arztpraxen genannt werden. 

Die Verarbeitung von Daten über strafrechtliche Verurteilungen und Strafen werden für private Unternehmen in der Regel wenig Praxisrelevanz haben, mit Ausnahme von Rechtsanwaltskanzleien.

4. Datenschutzbeauftragten ab 20 Beschäftigten im Unternehmen bestellen

Ein Datenschutzbeauftragter ist zwingend zu bestellen, wenn im Unternehmen in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Der Anknüpfungspunkt für die zu ermittelnde Bestellpflicht sind die automatisierte Verarbeitungen, so dass rein manuelle Datenverarbeitungen insofern außer Betracht bleiben.

Grundsätzlich werden alle Personen erfasst. Auf den konkreten Beschäftigtenstatus oder Arbeitnehmerstatus kommt es dabei nicht an. Damit sind auch Angestellte, Arbeiter, freie Mitarbeiter, Heimarbeitskräfte, Leiharbeitnehmer, Auszubildende und Praktikanten mitzuzählen. Ob es sich dabei um Voll- oder Teilzeitbeschäftigte handelt, ist irrelevant.

Mitglieder der Geschäftsleitung sind hingegen nicht mitzuzählen. Auch Mitarbeiter von externen Dienstleistern (zB externe IT-Dienstleister), die der Verantwortliche im Rahmen einer Auftragsverarbeitung einsetzt, sind bei der Berechnung der beim Verantwortlichen mit der Datenverarbeitung beschäftigten Personen nicht zu berücksichtigen.

Kurzfristige Änderungen des betreffenden Personalbestands nach oben oder unten sind irrelevant. Ständig mit der Datenverarbeitung beschäftigt ist, wer dieser Tätigkeit dauerhaft nachgeht. Eine ständige Beschäftigung liegt mithin nicht vor, wenn diese nur gelegentlich erfolgt (zB Urlaubsvertretung).

5. Bestellung eines Datenschutzbeauftragten bei Datenschutz-Folgeabschätzung

Auch wenn der zahlenmäßige Schwellenwert nicht erreicht wird, ist nach § 38 Abs. 1 Alt. 1 BDSG ein Datenschutzbeauftragter zu bestellen, wenn wegen des besonderen Risikogrades der Datenverarbeitung eine Datenschutz-Folgenabschätzung durchzuführen ist. Bereits nach § 4f Abs.1 S. 6 BDSG aF musste ein Datenschutzbeauftragter im Fall der Notwendigkeit einer Vorabkontrolle bestellt werden. Nunmehr tritt an die Stelle der Vorabkontrolle die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. In diesem Zusammenhang hat der Bundesgesetzgeber unter Nutzung des ihm eingeräumten Gestaltungsspielraums in § 38 Abs. 1 S. 2 Alt. 1 BDSG eine Bestellungspflicht für Fälle der Datenschutz-Folgenabschätzung geregelt. Das heißt, ist nach Art. 35 DS-GVO eine Datenschutz-Folgenabschätzung durchzuführen, so ist nach dem BDSG zwingend auch ein Datenschutzbeauftragter zu bestellen. Diese Bestellungspflicht korrespondiert mit der Beratungs- und Überwachungsaufgabe des Datenschutzbeauftragten im Zusammenhang mit der Datenschutz-Folgenabschätzung nach Art. 39 Abs. 1 lit. c, 35 Abs. 2 DS-GVO bzw. § 7 Abs. 1S. 1 Nr. 3 BDSG.

6. Bestellpflicht bei geschäftsmäßiger Übermittlung

Schließlich besteht die Bestellpflicht für solche Unternehmen (unabhängig von der Anzahl der dort beschäftigten Personen), die personenbezogene Daten geschäftsmäßig zum Zwecke der – anonymisierten – Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.

Geschäftsmäßigkeit bedeutet in diesem Zusammenhang, dass die – nicht zwingend automatisierte – Verarbeitung auf eine gewisse Dauer angelegt sein muss; sie kann, aber muss nicht gewerblich erfolgen. Bei den mit dieser Regelung insbesondere angesprochenen Auskunfteien, Adresshandelsunternehmen und Markt- und Meinungsforschungsinstituten sieht der Gesetzgeber ein besonderes Gefährdungspotenzial für die Persönlichkeitsrechte der Betroffenen, dem auch durch professionelle betriebliche Selbstkontrolle begegnet werden soll.

7. Mitteilungspflicht gegenüber der Aufsichtsbehörde

Die verantwortlichen Unternehmen sind verpflichtet, die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und auch der Aufsichtsbehörde zu melden. Zur Umsetzung der Veröffentlichungspflicht bieten sich natürlich die eigenen Webseiten des Unternehmens an. Die Meldung an die Aufsichtsbehörde muss über entsprechende Meldeformulare bzw. Meldeportale über die Webseiten der Aufsichtsbehörden erfolgen. Diese Pflicht sollte auf jeden Fall zeitnah beachtet werden, da in der Vergangenheit bereits erhebliche Bußgelder in fünfstelliger Höhe verhängt wurden.

Interesse am Datenschutz-Management-System (DSMS) ?

Sprechen Sie uns einfach an und vereinbaren Sie einen kostenlosen Termin

8. Datenschutzbeauftragten freiwillig bestellen?

Die Verantwortlichen und die Auftragsverarbeiter können unabhängig von den gesetzlichen Verpflichtungen jederzeit und freiwillig einen Datenschutzbeauftragten bestellen. In Anbetracht der zahlreichen rechtlichen Pflichten, die die Datenschutzgrundverordnung den Verantwortlichen und den Auftragsverarbeitern überträgt, ist dies in vielen Fällen auch ohne Benennungsverpflichtung sinnvoll sein. Die Einhaltung der gesetzlichen Vorgaben besteht inhaltlich unabhängig von der Bestellung eines Datenschutzbeauftragten und muss organisatorisch jederzeit sichergestellt werden. Insbesondere aus wirtschaftlichen Erwägungen wird eine Bündelung von Kompetenzen und Aufgaben auch jenseits gesetzlicher Verpflichtungen zielführend sein.

9. Extern oder intern, Voll- oder Teilzeit

Der Datenschutzgrundverordnung sind beide Ausübungsformen der Tätigkeit des Datenschutzbeauftragten bekannt. Laut Art. 37 Abs. 6 DSGVO kann der Datenschutzbeauftragte entweder Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrages erfüllen.

10. Fachkunde des Datenschutzbeauftragten

Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.

11. Aufgaben des Datenschutzbeauftragten

Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.

Schreibe einen Kommentar