Ab wann braucht ein Unternehmen einen Datenschutzbeauftragten?
Der Umgang mit der DSGVO fällt Ihnen schwer?
Wir beraten Sie auf Augenhöhe und finden maßgeschneiderte Lösungen für Ihr Unternehmen!
Sind in einem Unternehmen mindestens 20 Mitarbeiter regelmäßig mit der automatisierten Datenverarbeitung (Erhebung und Nutzung) beschäftigt, muss das Unternehmen laut DSGVO einen Datenschutzbeauftragten benennen. Unabhägig von der Mitarbeiterzahl gilt diese Pflicht auch dann,
- wenn besondere Arten von personenbezogenen Daten (z. B. über politische/religiöse Überzeugungen, Ethnie/Rasse, Gesundheit und Sexualleben) verarbeitet werden
oder
- wenn die Kerntätigkeit des Unternehmens in der Erhebung, Verarbeitung, Nutzung oder Übermittlung von personenbezogenen Daten liegt.
Die DSGVO und das BDSG-neu knüpfen die Benennungspflicht für einen Datenschutzbeauftragten also an verschiedene, niedrigschwellige Voraussetzungen. Entsprechend sollte die Frage, ab wann Unternehmen einen Datenschutzbeauftragten brauchen, immer individuell beantwortet werden.
Benennungspflicht nach der DSGVO
Gemäß Artikel 37 Absatz 1 DSGVO ist ein Unternehmen zur Benennung eines DSB in den folgenden Fällen verpflichtet:
Die Kerntätigkeit besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
Die Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 und Artikel 10 DSGVO.
Der Begriff der Kerntätigkeit bezieht sich dabei auf die Haupttätigkeit des Unternehmens. Gemeint sind Geschäftsbereiche, welche für die Umsetzung der Unternehmensstrategie maßgebend sind und nicht lediglich routinemäßige Verwaltungsaufgaben darstellen. Keine Kerntätigkeit liegt bspw. bei der Verarbeitung von Mitarbeiterdaten vor, da dies in der Regel nur ein Unterstützungsprozess ist und deshalb nicht zur Haupttätigkeit des Unternehmens gehört.
Die Verarbeitungsvorgänge müssen eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Dies ist etwa der Fall, wenn die Internetaktivitäten der betroffenen Personen nachvollzogen und zur Profilbildung verwendet werden.
Eine umfangreiche Verarbeitung besonderer Kategorien von Daten liegt bspw. vor, wenn die Haupttätigkeit des Unternehmens in der Verarbeitung solcher Daten besteht, aus welchen die rassische und ethnische Herkunft, politische Meinungen oder religiöse bzw. weltanschauliche Überzeugungen hervorgehen. Umfangreiche Verarbeitung von genetischen Daten, biometrischen Daten sowie Gesundheitsdaten fällt ebenfalls hierunter.
Benennungspflicht nach dem BDSG-neu
Das neue BDSG regelt ferner in § 38 Absatz Satz 1, dass die Benennung des DSB obligatorisch ist, soweit mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unerheblich ist hierbei, ob es sich um Vollzeit- oder Teilzeitbeschäftigte handelt. Miteinzubeziehen sind auch freie Mitarbeiter oder Leiharbeitnehmer, ebenso wie Auszubildende und Praktikanten. Entscheidend ist, dass die betreffenden Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Dies ist in der Regel bereits bei einfacher E-Mail-Kommunikation der Fall. Betroffen sind typischerweise Vertriebsmitarbeiter, Mitarbeiter der IT-Abteilung, Sachbearbeiter sowie die Personal- und Finanzabteilungen.
Unabhängig von der Zahl der Mitarbeiter besteht gemäß § 38 Absatz 1 Satz 2 BDSG-neu eine Pflicht zur Benennung, wenn in dem Unternehmen Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen oder die verantwortliche Stelle personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet.
Form der Benennung
Die Benennung sollte aus Beweisgründen in Schriftform erfolgen. Mehr Informationen zum Thema Datenschutzbeauftragter finden Sie hier.
Unsere Leistungspakete für den externen Datenschutzbeauftragten und die Datenschutzsoftware Proliance 360
Wählen Sie das für Sie passende Leistungspaket - von der kostenbewussten Basisabsicherung bis hin zur individuellen Premiumberatung unserer zertifizierten Datenschutzexperten. Die Basis unseres Angebots ist dabei stets die innovative Datenschutzplattform Proliance 360.
Weitere Themen, die Sie interessieren könnten
Aktuelle Beiträge zum Thema Datenschutz
Wir freuen uns auf Ihre Anfrage!
Telefon:
Öffnungszeiten:
Mo. - Fr.: 09:00 - 18:00 Uhr