Angebot einholen
Logo Barth Datenschutz
Angebot einholen

Ab wann ist ein Datenschutzbeauftragter in Ihrem Unternehmen Pflicht?

27. September 2021

von Achim Barth

Sie sind auf dieser Seite gelandet, weil Sie wissen möchten, ab wann ein Datenschutzbeauftragter Pflicht ist bzw. ab wann es nötig ist, ihn zu bestellen. Verschwenden wir also gar nicht viel Zeit und legen wir direkt los.

Falls Sie es eilig haben, hier die Kurzfassung.
Unternehmen sind zur Bestellung eines Datenschutzbeauftragten verpflichtet, wenn sie …

  • Daten nach Art. 37, Abs. 1 DSGVO verarbeiten
  • Mindestens 20 MA beschäftigen, die regelmäßig Daten verarbeiten (BDSG)
  • Daten in einer Form verarbeiten, die einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO bedarf

Gehen wir diese Punkte nun im Detail durch.

Die DSGVO regelt eindeutig, wann ein Datenschutzbeauftragter Pflicht ist

Artikel 37 DSGVO gibt im ersten Absatz drei Bedingungen vor, ab wann Sie zum Benennen eines Datenschutzbeauftragten verpflichtet sind:

  1. Sie sind eine Behörde oder öffentliche Stelle (ausgenommen Gerichte)
  2. Es gehört zu Ihren zentralen Aufgaben, regelmäßig und systematisch Personen in großem Umfang zu überwachen
  3. Sie verarbeiten personenbezogene Daten besonderer Kategorien, näher definiert in
  • Artikel 9 DSGVO: Daten über Herkunft, politische/religiöse/weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische/biometrische Daten, Gesundheitsdaten, Daten zum Sexualleben oder zur sexuellen Orientierung
  • Artikel 10 DSGVO: Daten zu strafrechtlichen Verurteilungen und Straftaten

Kurz gesagt: Artikel 37 hängt von der Auslegung der Behörde ab. Auch wenn z.B. ein Arzt oder ein Physiotherapeut, obwohl er Patientendaten verarbeitet, nicht benennpflichtig ist, ist die Benennung freiwillig immer möglich. Denn wenn Ihr Unternehmen sensible Daten oder Daten in großem Umfang verarbeitet und Sie auf der sicheren Seite sein möchten, empfehle ich Ihnen unbedingt einen Datenschutzbeauftragten zu benennen.

Ergänzt werden diese Vorgaben noch durch §38 des Bundesdatenschutzgesetzes (BDSG). Fällt Ihr Unternehmen nicht in die Kategorien von Artikel 37 DSGVO, ist ein Datenschutzbeauftragter erst dann nötig, wenn mindestens 20 (früher zehn) Ihrer Mitarbeiter regelmäßig Daten verarbeiten. Die regelmäßige Datenverarbeitung muss dabei nicht unmittelbar zu den Haupttätigkeiten gehören, es zählt hier jedoch definitiv nicht der Azubi hinein, der einmal in der Woche Kundenanfragen am Telefon abwickelt.

Last but not least brauchen Sie unbedingt einen Datenschutzbeauftragten,

  • wenn Sie Daten geschäftsmäßig übermitteln oder zur geschäftsmäßigen Markt- und Meinungsforschung verarbeiten
  • oder wenn Ihre Datenverarbeitung eine Datenschutzfolgenabschätzung durch einen zertifizierten Datenschutzbeauftragten nötig macht, wie es Artikel 35 DSGVO regelt.

Ist das geklärt, kommt schon die nächste Frage auf Sie zu:

Ist immer ein externer Datenschutzbeauftragter nötig, oder reicht ein interner?

Diese Entscheidung liegt im Endeffekt ganz bei Ihnen. Ich rate Ihnen jedoch aus diversen Gründen zu einem externen Datenschutzbeauftragten, da dieser seinen Fokus vollständig auf den Datenschutz legen kann. Lesen Sie dazu am besten den weiterführenden Blogbeitrag „10 Gründe, warum ein interner DSB selten funktioniert“ oder dieses Fallbeispiel.

Wie sieht es mit dem Datenschutzbeauftragten in einer Unternehmensgruppe aus?
Absätze 2 und 3 des Artikel 37 beantworten diese Frage ganz konkret: Sofern der Datenschutzbeauftragte von jeder Ihrer Niederlassung aus leicht zu erreichen ist, besteht keine Pflicht zum Ernennen mehrerer Datenschutzbeauftragter. Ähnlich wird dies bei Behörden und öffentlichen Stellen geregelt: „unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe“ reicht ebenfalls ein einzelner Beauftragter, sofern ihm die Menge an Arbeit nicht über den Kopf wächst.

Was passiert, wenn Sie der Benennungspflicht des Datenschutzbeauftragten nicht nachkommen?

Wenn Sie viel Glück haben, fällt das niemandem auf. Spätestens im Falle einer Datenschutzpanne (oder wenn einem findigen Anwalt der Konkurrenz auffällt, dass in Ihren Datenschutzhinweisen kein Datenschutzbeauftragter aufgelistet ist) wird es jedoch teuer. Verstöße gegen die DSGVO werden mit Bußgeldern von bis zu 10 Millionen Euro bestraft.

Abgesehen von den finanziellen Konsequenzen wirkt sich eine solche Missachtung zudem auf den Ruf Ihres Unternehmens aus. Denn Ihre Kunden gehen davon aus, dass Sie deren Daten sicher aufbewahren. Kommt nun heraus, dass Sie (sensible) Informationen nicht mit der nötigen Sorgfalt verarbeiten, droht ein massiver Vertrauensverlust. Lassen Sie es also lieber nicht drauf ankommen und folgen Sie Ihrer Verpflichtung zum Benennen eines Datenschutzbeauftragten.

Welche Voraussetzungen muss ein Datenschutzbeauftragter erfüllen?

Nun stellt sich nur noch die Frage, wie Sie einen guten Datenschutzbeauftragten finden. Auch hier hilft ein Blick in die DSGVO. Artikel 39 gibt beispielsweise schon einmal die Aufgaben vor, für die der DSB Ihrer Wahl die nötigen Kompetenzen mitbringen sollte:

  • Beratung bei allen Fragen rund um Datenschutzvorschriften und -verpflichtungen
  • Überwachung der Einhaltung sämtlicher relevanter Datenschutzvorgaben
  • Zusammenarbeit und Kommunikation mit Aufsichtsbehörden

Weitere wichtige Eigenschaften eines seriösen Datenschutzbeauftragten sind:

  • Das Interesse an Weiterbildung, denn Vorgaben ändern sich häufig oder es kommen neue Urteile hinzu. Der Datenschutzbeauftragte sollte sich immer auf dem aktuellen Stand halten
  • IT-Wissen – denn was bringt Ihnen im 21 Jahrhundert ein Datenschutzbeauftragter, der mit Internet und Computer völlig überfordert ist?
  • Grundlegendes Know-how in juristischen und organisatorischen Fragen, um Prozesse in Ihrem Unternehmen verstehen und einschätzen zu können.
  • Gesunder Menschenverstand. Nicht alle Vorgaben lassen sich 1:1 auf Ihr Unternehmen übertragen. Der DSB sollte hier in der Lage sein, sinnvolle Maßnahmen zu finden.
  • Die richtige Chemie. Zwischen Ihnen und Ihrem DSB muss es einfach passen. Zudem sollte er eine gewisse zwischenmenschliche Kompetenz mitbringen, um Ihre Mitarbeiter auf angenehme Weise in Datenschutz-Angelegenheiten zu schulen.

Achten Sie zudem unbedingt darauf, dass Ihr gewählter Partner eine Zertifizierung vorweisen kann. Die ist für einen „echten“ Datenschutzbeauftragten verpflichtend.

Ein Datenschutzbeauftragter ist nicht immer Pflicht, aber immer sinnvoll

Nach allen Vorgaben ist in Ihrem Unternehmen ein Datenschutzbeauftragter rechtlich gesehen nicht nötig, aber Sie verarbeiten dennoch hin und wieder Daten? Für kleinere Unternehmen lohnt sich dann ein Datenschutz-Tool. Dieses hilft Ihnen zu geringen Kosten, Ihren Datenschutz-Verpflichtungen nachzukommen und auch ohne DSB auf der sicheren Seite zu sein.

Diese Blogbeiträge dürften Sie ebenfalls interessieren