Datenschutzbeauftragter: ab wann wird er benötigt?

Wann wird ein Datenschutzbeauftragter benötigt?

Das Bundesdatenschutzgesetz (BDSG) normiert in Verbindung mit der Datenschutzgrundverordnung (DSGVO) die Voraussetzungen, unter denen öffentliche Stellen und nichtöffentliche Stellen einen Datenschutzbeauftragten bestellen müssen.
Die DSGVO sieht eine solche Verpflichtung dann vor, wenn die Kerntätigkeit darin besteht, Personen systematisch zu überwachen oder personenbezogene Daten zu verarbeiten. Der deutsche Gesetzgeber hat diese Benennungspflicht im Bundesdatenschutz näher ausgeführt.

1. Mindestens zehn Mitarbeiter/Personen verarbeiten personenbezogene Daten des Unternehmens

Gemäß § 38 BDSG müssen Unternehmen einen Datenschutzbeauftragten benennen, wenn sie mindestens zehn Mitarbeiter haben, die ständig personenbezogene Daten wie Namen, Adressen, Kontonummern und dergleichen automatisiert verarbeiten. Wenn diese Beschäftigten ihre Tätigkeiten hauptsächlich am Computer ausüben, ist anzunehmen, dass es sich um eine automatisierte Datenverarbeitung handelt. In diese Gruppe fallen nicht nur fest angestellte Vollzeit- und Teilzeitmitarbeiter, sondern auch freie Mitarbeiter, Aushilfen und Leihpersonal.

Wie die deutschen Behörden diese Bestimmung interpretieren, wird sich in der Praxis zeigen. Eine ständige Beschäftigung mit der automatisierten Datenverarbeitung ist im Zweifelsfall bereits dann anzunehmen, wenn mindestens zehn Mitarbeiter in der Buchhaltungs-, Marketing- oder Serviceabteilung automatisiert personenbezogene Kundendaten verarbeiten. Auch die Daten des Personals unterliegen den Bestimmungen des Datenschutzrechtes.
Kleine Unternehmen, in denen weniger als zehn Beschäftigte mit diesen Aufgaben der Datenverarbeitung ständig betraut sind, benötigen somit keinen Datenschutzbeauftragten. Sie sind von dieser Ernennungspflicht ausgenommen, sofern sie nicht eine der folgenden Voraussetzungen erfüllen.

2. Datenübermittlung als Geschäftszweig

In einigen Fällen schreibt der Gesetzgeber unabhängig von der Mitarbeiteranzahl zwingend einen Datenschutzbeauftragten vor: Dies betrifft Unternehmen, deren Geschäft darin besteht, personenbezogene Daten zu erheben und an Dritte zu übermitteln. Darunter fallen Auskunfteien und Adressverlage. Wenn Unternehmen für die Markt- und Meinungsforschung personenbezogene Daten verarbeiten, müssen sie ebenfalls einen Datenschutzbeauftragten benennen.

3. Verarbeitung besonders sensibler Daten

Außerdem sind Einrichtungen, die aufgrund der Sensibilität der Daten eine Datenschutz-Folgenabschätzung vornehmen müssen (Art. 35 DSGVO), von dieser Benennungspflicht erfasst. Demnach müssen Unternehmen,
die besonders sensible Daten, nämlich Gesundheitsinformationen (zum Beispiel Krankheiten), Daten über die rassische und ethnische Herkunft (zum Beispiel Hautfarbe), die politische oder religiöse Anschauung (zum Beispiel Parteimitgliedschaft, Glaubensrichtung), die Zugehörigkeit zur Gewerkschaft und Daten zur sexuellen Einstellung verarbeiten oder
die öffentlich zugängliche Firmenbereiche via Videokamera systematisch und umfangreich überwachen,
jedenfalls einen Datenschutzbeauftragten bestellen.
In diesen Fällen spielt es keine Rolle, wie viele Mitarbeiter mit der Verarbeitung der Daten betraut sind. Diese Kategorie der besonders sensiblen Daten betrifft zum Beispiel Arztpraxen, Krankenhäuser, Labors und Rechtsanwaltskanzleien für Arbeits- und Medizinrecht. In den Bereich der systematischen Überwachung fallen beispielsweise Sicherheitsunternehmen und Wachdienste.

Sie sind unsicher, ob Ihr Unternehmen einen Datenschutzbeauftragten benötigt und wie Sie weiter vorgehen sollen? Dann nehmen Sie mit uns Kontakt auf und lassen Sie sich von einem Experten für Datenschutzrecht beraten!

Was sind personenbezogene Daten?

Die Frage, ob Betriebe einen Datenschutzbeauftragen einsetzen müssen, Der Gesetzgeber definiert personenbezogene Daten als Angaben, die über persönliche oder sachliche Verhältnisse einer Person Aufschluss geben. Dazu gehören unter anderem
die Personalien Name, Alter, Familienstand und Geburtsdatum sowie Adresse, Telefonnummer und E-Mail-Adresse
Sozialversicherungs-, Personalausweis- und Matrikelnummer
Bankdaten wie Konto- und Kreditkartennummer, Kreditinformationen
Kennzeichen des Kfz und Zulassungsdaten
Schul- und Arbeitszeugnisse
Unternehmen beschäftigen sich hauptsächlich mit Kundendaten. In welcher Form diese personenbezogenen Daten gespeichert werden, ist für ihre Einstufung irrelevant. Deshalb können auch Fotos, Videobeiträge, Audioaufnahmen oder Röntgenbilder als personenbezogene Daten gewertet werden.

Ein Datenschutzbeauftragter ist für den rechtskonformen Umgang mit diesen Daten verantwortlich. In jenen Fällen, in denen der Gesetzgeber die Bestellung eines Datenschutzbeauftragten nicht zwingend vorschreibt, muss die Geschäftsführung dafür sorgen, dass das Unternehmen die personenbezogenen Daten schützt. Alternativ kann die Unternehmensleitung freiwillig einen externen Datenschutzexperten mit dieser Aufgabe betrauen.

Die Aufgaben eines Datenschutzbeauftragten im Überblick

Gemäß Art 39 DSGVO ist ein Datenschutzbeauftragter dafür zuständig, dass das Unternehmen die Datenschutzvorschriften einhält und dass die Mitarbeiter mit den personenbezogenen Daten gesetzeskonform umgehen. Diese Tätigkeiten gehören zu seinem Aufgabenbereich:
die Verantwortlichen und Mitarbeiter über ihre Pflichten nach dem Datenschutzrecht aufklären und bei der Umsetzung beraten
die Einhaltung der Datenschutzvorschriften im Unternehmen überwachen und sicherstellen
die Transparenz der Datenverarbeitungsprozesse gewährleisten und die Abläufe zu dokumentieren
Arbeitsprozesse und Maschinen analysieren
Kurse und Seminare organisieren, um die Beschäftigten im richtigen Umgang mit personenbezogenen Daten zu schulen und über die DSGVO, das Bundesdatenschutzgesetz und sonstige Datenschutzregelungen aufzuklären
überprüfen, ob die Mitarbeiter die notwendige Vertraulichkeit mitbringen, um mit personenbezogenen Daten rechtskonform umzugehen
das Unternehmen in puncto Datenschutz nach außen präsentieren
mit der Aufsichtsbehörde zusammenarbeiten
Ob Sie diese Aufgaben einem geeigneten Mitarbeiter übertragen oder einen externen Datenschutzbeauftragten damit betrauen, bleibt Ihnen überlassen.

Diese Punkte sprechen für einen externen Datenschutzbeauftragten

Viele Unternehmen tun sich schwer, einen geeigneten Mitarbeiter zu finden, den sie mit dieser verantwortungsvollen Aufgabe betrauen könnten. In diesen Fällen gibt es eine andere Lösung: Sie beauftragen für Ihr Unternehmen auf Basis eines Dienstleistungsvertrages einen externen Datenschutzbeauftragten (Art. 38 Abs. 6 DSGVO) und profitieren dabei von diesen Vorteilen:
Einschlägige Ausbildung: Dieser Experte bringt eine einschlägige Ausbildung mit, sodass die Kosten für Weiterbildungsmaßnahmen entfallen und keine langen Einschulungsphasen notwendig sind. Dank dem Besuch von Fortbildungen hält er sein Datenschutzwissen auf dem aktuellen Stand.
Effizientes Arbeiten: Sein Fachwissen im Bereich Datenschutz und seine Erfahrung im Umgang mit personenbezogenen Daten sorgen dafür, dass er effizient arbeitet und damit die erforderlichen Aufgaben und Ziele schnell erledigt. Damit sinken die Kosten.
Keine Interessenskonflikte: Ein externer Datenschutzbeauftragter ist ausschließlich mit den Aufgaben im Bereich Datenschutz betraut und kann sich daher ganz auf diese Tätigkeit fokussieren. Er ist nicht in die ökonomischen Entscheidungen und geschäftlichen Abläufe Ihres Unternehmens eingebunden. Damit kann ein externer Datenschutzbeauftragter seine Pflichten erfüllen, ohne in einen Interessenskonflikt zu geraten.
Neutrale Expertenstellung: Als externer Dienstleister nimmt er eine objektive Stellung ein und genießt aufgrund seiner Expertenstellung regelmäßig ein hohes Ansehen in der Belegschaft. Die Mitarbeiter akzeptieren ihn als Experten und sind daher eher bereit, seine Vorgaben umzusetzen und sich beraten zu lassen.
Klarer Zeitplan und Kostenkalkulation: Mit einem externen Datenschutzbeauftragten können Sie einen klaren Zeitplan festlegen und die Kosten entsprechend kalkulieren. Es besteht die Möglichkeit, im Dienstvertrag reguläre Kündigungsfristen zu vereinbaren.
Haftung: Ein externer Datenschutzbeauftragter bringt Ihnen ein gewisses Maß an Sicherheit, weil er einer Haftung unterliegt.
Mit einem Datenschutzbeauftragten, der seine Aufgaben zuverlässig, professionell und effizient ausführt, stellen Sie sicher, dass Ihr Unternehmen die Datenschutzregeln einhält und damit auf rechtssicherem Terrain arbeitet. Kontaktieren Sie uns und wir stellen Ihnen gerne unsere Erfahrung im Bereich Datenschutz zur Verfügung!

Warum ein Datenschutzbeauftragter unverzichtbar ist: negative Konsequenzen abwenden

Unternehmen, die der Benennungspflicht unterliegen, sind dazu verpflichtet, die Aufsichtsbehörde über den Datenschutzbeauftragten zu informieren und dessen Kontaktdaten bekanntzugeben. Sie müssen die Telefonnummer oder E-Mail-Adresse des Datenschutzbeauftragten nicht nur an die Landesdatenschutzbehörde weiterleiten (Artikel 37 Absatz 7 DSGVO), sondern auch für Mitarbeiter und Kunden veröffentlichen. Die Veröffentlichung dieser Kontaktdaten kann beispielsweise in der Datenschutzerklärung auf der Webseite erfolgen.
Wenn Sie laut Gesetz einen Datenschutzbeauftragen bestellen müssen und dieser Verpflichtung nicht nachkommen, riskieren Sie hohe Strafen und weitere negative Konsequenzen:
Abmahnungen nach dem Wettbewerbsrecht durch Konkurrenten oder Verbände
empfindliche Bußgeldzahlungen, die sich gegen die Geschäftsführung richten
Probleme mit der Aufsichtsbehörde
negative Schlagzeilen in der Öffentlichkeit
Verlust von Kundenvertrauen
Bei Rechtsverstößen gegen die Datenschutzvorschriften sind nicht nur hohe Bußgelder zu befürchten. Personen, die in ihren Datenschutzrechten verletzt wurden, können eine Klage gegen das Unternehmen einbringen. Vermeiden Sie diese negativen Konsequenzen für Ihr Unternehmen, indem Sie uns kontaktieren und unser Expertenwissen in puncto Datenschutz nutzen!

Interner Datenschutzbeauftragter: eine Person aus dem Betrieb

Wenn Sie einen Ihrer Beschäftigten als internen Datenschutzbeauftragten einsetzen, sollten Sie diese Punkte beachten:

Wissenserwerb und Einarbeitung: Dieser Mitarbeiter benötigt ein einschlägiges Fachwissen über die umfangreichen und komplexen Regelungen des Datenschutzes. Es ist mit hohen Ausfallzeiten für Kurse und die Einarbeitung zu rechnen. Außerdem muss sich dieser Beschäftigte laufend weiterbilden und die Gesetzesänderungen verfolgen.
Kosten für Aus- und Weiterbildung und externe Beratung: Als Unternehmer tragen Sie die Kosten für die Aus- und Weiterbildung sowie für den Erwerb von Fachliteratur. Eventuell müssen Sie zusätzlich einen externen Berater hinzuziehen, um die mangelnde Erfahrung des internen Datenschutzbeauftragten auszugleichen.
Interessenskonflikte: Interne Datenschutzbeauftragte erfüllen regelmäßig auch andere Aufgaben im Unternehmen. Es besteht die Gefahr, dass sie die Verpflichtungen in puncto Datenschutz nur nebenbei erledigen und in einen Interessenskonflikt geraten. Damit ist die objektive Sichtweise nicht mehr gewährleistet.
Zusammenarbeit mit anderen Mitarbeitern: Zudem besteht die Gefahr, dass die restlichen Mitarbeiter den betrieblichen Datenschutzbeauftragten in seiner Funktion nicht respektieren und bei der Umsetzung nicht ausreichend unterstützen.
Unternehmen trägt das Haftungsrisiko: Wenn Ihr interner Datenschutzbeauftragter in seiner Funktion eine Fehlerentscheidung trifft, haften Sie regelmäßig für den entstandenen Schaden. Sie können dieses Haftungsrisiko in der Regel nicht auf den Mitarbeiter übertragen, wenn er bloß fahrlässig gehandelt hat.
Besonderer Kündigungsschutz: Ein betrieblicher Datenschutzbeauftragter unterliegt einem besonderen Kündigungsschutz. Das Unternehmen darf ihn nur aus einem wichtigen Grund von seiner Aufgabe ausschließen oder das Beschäftigungsverhältnis kündigen. Nach der Abberufung des Datenschutzbeauftragten bleibt dieser Kündigungsschutz für ein Jahr aufrecht.

Leave a Reply