Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 sind Unternehmen aller Größen verpflichtet, personenbezogene Daten sorgfältig zu schützen. Doch ab wann ist es eigentlich Pflicht, einen Datenschutzbeauftragten zu bestellen? Im Folgenden erhalten Sie einen praxisnahen Überblick über die wichtigsten gesetzlichen Vorgaben.
Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) regeln klar, wann Unternehmen und Organisationen verpflichtet sind, einen Datenschutzbeauftragten (DSB) zu benennen.
Mitarbeiterzahl
Grundsätzlich gilt: Ein Unternehmen muss einen Datenschutzbeauftragten bestellen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Abs. 1 BDSG). Dabei werden nicht nur festangestellte Vollzeitkräfte gezählt, sondern auch:
· Teilzeitkräfte
· Praktikanten
· Auszubildende
· Werkstudenten
· freie Mitarbeitende, sofern sie regelmäßig personenbezogene Daten verarbeiten
Entscheidend ist, ob die jeweilige Person regelmäßig und automatisiert mit personenbezogenen Daten arbeitet – etwa durch Nutzung von Outlook, CRM-Systemen oder anderen digitalen Tools.
Verarbeitung besonderer Kategorien von Daten
Ein DSB ist unabhängig von der Mitarbeiterzahl Pflicht, wenn die Kerntätigkeit des Unternehmens in der Verarbeitung von sensiblen Daten liegt, etwa von:
· Gesundheitsdaten (z. B. Arztpraxen, Physiotherapien, betriebliche Gesundheitsprogramme)
· Biometrische Daten (z. B. Fingerprint- oder Gesichtserkennungssysteme)
· Daten zur ethnischen Herkunft, Religion, sexuellen Orientierung oder Gewerkschaftszugehörigkeit
· Strafrechtsrelevante Daten (Art. 10 DSGVO)
Regelmäßige und Systematische Überwachung
Eine weitere Verpflichtung zur Bestellung eines DSB besteht, wenn die Kerntätigkeit Ihres Unternehmens Verarbeitungsvorgänge umfasst, die aufgrund ihrer Art, ihres Umfangs oder ihres Zwecks eine umfassende, regelmäßige und systematische Überwachung von Personen erforderlich machen – etwa Videoüberwachung, detailliertes Nutzer-Tracking oder die großflächige Analyse von Bewegungsprofilen.
Verarbeitungen mit DSFA-Pflicht
Auch dann, wenn bestimmte Verarbeitungstätigkeiten eine sogenannte Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erfordern, besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten.
Eine DSFA ist immer dann durchzuführen, wenn die geplante Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Dies kann z. B. bei der umfassenden Verarbeitung sensibler Daten, beim Einsatz neuer Technologien oder bei einer umfassenden Überwachung der betroffenen Personen der Fall sein.
Übermittlung oder Marktforschung
Auch wenn ein Unternehmen oder eine Organisation personenbezogene Daten geschäftsmäßig für Zwecke der Übermittlung, der anonymisierten Übermittlung oder der Marktforschung verarbeitet, besteht die Pflicht zur Benennung eines Datenschutzbeauftragten – unabhängig von der Zahl der beschäftigten Personen.
Dies betrifft beispielsweise:
· Adresshändler und Auskunfteien,
· Unternehmen, die Kundendaten zur Zielgruppenanalyse weitergeben,
· Dienstleister, die regelmäßig Markt- oder Meinungsforschung betreiben.
Pflicht durch andere Gesetze
Zusätzlich zur DSGVO und dem BDSG können auch branchenspezifische oder andere gesetzliche Regelungen die Bestellung eines Datenschutzbeauftragten vorschreiben. Dies betrifft beispielsweise Unternehmen im Gesundheitswesen, Banken oder Versicherungen, die besonderen gesetzlichen Datenschutzanforderungen unterliegen.
Kontaktieren Sie uns!
Kontaktieren Sie uns jetzt für ein kostenloses Erstgespräch. Gemeinsam klären wir, ob Ihr Unternehmen einen Datenschutzbeauftragten benötigt und besprechen zusammen, wie wir Sie als externer DSB optimal unterstützen können.