Wann braucht mein Unternehmen einen Datenschutzbeauftragten?

Nur für Unternehmen mit mehr als 9 Mitarbeitern ist der Einsatz eines Datenschutzbeauftragten grundsätzlich vorgeschrieben.

Viele unserer Kunden haben uns gefragt, ob sie denn jetzt einen Datenschutzbeauftragten brauchen. Dazu haben wir recherchiert und geben die gesammelten Informationen - ohne Gewähr - gerne weiter.

Zuerst einmal eine Entwarnung:
Kleine Firmen wie beispielsweise eine Tanzschule mit 10 Angestellten/freien Mitarbeitern brauchen KEINEN Datenschutzbeauftragten.

Praktischer Fall: Sie haben 1 Sekretärin, die die (Online-)Anmeldungen für einen Kurs bearbeitet, Sie selbst als Inhaber/in kontrollieren die Daten oder geben Abbuchungsaufträge an ihre Bank weiter und ein verantwortlicher Mitarbeiter hat ebenfalls Zugriff auf die Daten: Das sind erst 3 Personen - es fehlen als noch weitere 7 Personen, bis das Gesetz einen Datenschutzbeauftragten vorschreibt.

Zum Merken: Nur wenn 10 und mehr Mitarbeiter mit den Daten der Kunden arbeiten, greift das Gesetz. Tanzlehrer/innen, die nur unterrichten und keinen Zugriff auf Kundendaten haben, zählen also nicht. Wir kennen keine Tanzschule, die 10 Mitarbeiter nur für die Datenverarbeitung hat!

Damit könnten wir das Thema für die meisten unserer Kunden abschließen. Der Vollständigkeit halber geben wir nachfolgend unsere weiteren Recherche-Ergebnisse preis.


Wer braucht einen Datenschutzbeauftragten?

Alle öffentliche und nicht-öffentliche Stellen wie Unternehmen oder Vereine, in denen zehn oder mehr Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten – der Beschäftigten, von Kunden oder Interessenten – befasst sind.

Der Beschäftigtenbegriff ist weit zu verstehen, es zählen auch Leiharbeitnehmer, Praktikanten, Teilzeitkräfte etc. als Beschäftigte dazu. Es ist dabei irrelevant, ob die Beschäftigtenzahl kurzzeitig unter oder über 10 Beschäftigte fällt. Entscheidend ist allein, wie hoch die Beschäftigtenzahl im Normalfall ist.

Diese Grenze entfällt in Branchen wie Adressdatenhandel oder Marktforschung, hier ist ein Datenschutzbeauftragter unabhängig von der Anzahl der Mitarbeiter zwingend erforderlich. Es können Bußgelder von bis zu 50.000 Euro verhängt werden. Nur für bestimmte Rechtsverstöße sind Bußgelder bis zu 4 % des Jahresumsatzes eines Unternehmens, beziehungsweise 20 Mio. Euro, zulässig, wobei der jeweils höhere Wert gilt. Dabei ist auf den gesamten weltweiten Jahresumsatz des betreffenden Unternehmens abzustellen und nicht etwa nur auf den in Europa erwirtschafteten.


Welches Unternehmen braucht einen Datenschutzbeauftragten?

A) Mindestens zehn Personen müssen ständig mit der automatisierten Verarbeitung personenbezogener Daten im Unternehmen beschäftigt sein.

Zum einen muss es sich um eine Tätigkeit handeln, die eine umfangreiche, regelmäßige und systematische Überwachung von Personen erforderlich macht.

Wann das der Fall ist, ist in der DSGVO leider nicht definiert. Anhaltspunkte für eine umfangreiche und systematische Tätigkeit können aber Dauer der Überwachung, Anzahl der betroffenen Personen und Menge der betroffenen Daten sein.

B) Die Datenverarbeitung muss eine Kerntätigkeit des Unternehmens sein.

Das ist der Fall, wenn die betreffende Datenverarbeitung ein zentraler Bestandteil der unternehmerischen Tätigkeit ist. eRecht 24 nennt beispielsweise die Verarbeitung von Gesundheitsdaten für ein Krankenhaus oder die Verarbeitung von Adressdaten für Auskunfteien ein zentrales Element ihrer Tätigkeit.

Die Verwaltung von Personaldaten innerhalb eines Unternehmens ist dagegen in der Regel als Nebentätigkeit einzustufen.

c) Die Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung besonderer Datenkategorien.

Als besondere Datenkategorien gelten vor allem folgende Daten:

  • Gesundheitsdaten
  • personenbezogene Daten über Straftaten oder strafrechtliche Verurteilungen
  • Daten zum Sexualleben oder zur sexuellen Orientierung
  • Daten aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgeht
  • genetische und biometrische Daten

Wenn Sie eine dieser Datenkategorien verarbeiten, kommt es nur noch darauf an, ob eine „umfangreiche Verarbeitung“ im Sinne der DSGVO vorliegt. Ist dies der Fall, müssen Sie einen Datenschutzbeauftragten bestellen.


Datenschutzbeauftragter in kleinen Unternehmen?

Es steht natürlich auch allen kleinen Unternehmen offen, freiwillig einen Datenschutzbeauftragten zu ernennen. Das schafft Vertrauen bei Kunden, Partnern und Dienstleistern und ist sowohl eine Investition in die Absicherung möglicher Risiken als auch in die Reputation des Unternehmens.

Und selbst wenn kein Datenschutzbeauftragter bestellt werden muss, ist es nötig, dass dessen Aufgaben im Unternehmen von anderer Stelle wahrgenommen werden, beispielsweise vom Inhaber oder eine von ihm beauftragte Person bzw. der Geschäftsführung.


Was macht ein Datenschutzbeauftragter?

Im Unternehmen wirkt ein Datenschutzbeauftragter auf die Einhaltung der Datenschutzbestimmungen hin, ohne jedoch ein Weisungsrecht zu haben. Er hat lediglich prüfende Funktionen rund die Datenverarbeitung: etwa die Zulässigkeit der Verfahren zur Erhebung und Verarbeitung personenbezogener Daten von Kunden, Lieferanten und der Beschäftigten, der Verfahren im Bereich Marketing und Vertrieb mit Einhaltung von Informationspflichten gegenüber Betroffenen und Werbewidersprüchen sowie der Verfahren zur Berichtigung, Sperrung und Löschung gespeicherter personenbezogener Daten.

Darüber hinaus nimmt er etwa die technischen und organisatorischen Maßnahmen zum Datenschutz unter die Lupe, ist verantwortlich für die Schulung der Mitarbeiter, die personenbezogene Daten verarbeiten, und er erstellt einen jährlichen Tätigkeitsbericht für die Geschäftsführung.

Ob freiwillig oder aufgrund der Vorschrift – Unternehmen können frei wählen, ob sie einen internen Mitarbeiter schulen und zum Datenschutzbeauftragten bestellen, oder ob sie Gebrauch von einem externen Datenschutzspezialisten machen. Die jeweiligen Vorteile liegen auf der Hand: Ein interner Mitarbeiter kennt die Kollegen und die betrieblichen Prozesse aus eigener Erfahrung. Ein externer Datenschutzbeauftragter ist hingegen bereits Experte auf dem Gebiet des Datenschutzes und damit sofort einsatzbereit. Er ist bezüglich Gesetzesänderungen stets auf dem aktuellen Stand und kann bei festgefahrenen Positionen als neutraler Dritter von außen leichter vermitteln.

Quellen:
Die Bundesbeautragte für den Datenschutz und die Informationsfreiheit
TÜV Süd
eRecht 24.de

Downloads

   Die Datenschutzgrundverordnung als PDF zum herunterladen

Zum Herunterladen bitte das PDF-Symbol anklicken.

 

*Weiterführende Links zu Thema

Bundesministerien der Justiz und für Verbraucherschutz

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Berufsverband der Rechtsjournalisten e.V.

Europäisches Parlament, EU-Datenschutzgrundverordnung

Heise-Verlag

Intersoft Consulting - Website mit der kompletten Datenschutzverordnung

Haufe-Verlag

Computerwoche Online

All rights reserved © 2005-2018 Cleo GmbH

Kundenzugang

Login für unsere Kunden: Bitte melden Sie sich mit Ihren persönlichen Zugangsdaten an. Sollten Sie noch keine eigenen Zugangsdaten erhalten haben, nehmen Sie bitte mit uns Kontakt auf.
Für die Bereitstellung unserer Dienste verwenden wir Cookies. Mit der Nutzung unserer Website erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Mehr Infos zum Datenschutz Einverstanden