Pflicht Datenschutzbeauftragter

Ab wann besteht die Pflicht, einen Datenschutzbeauftragten zu bestellen, und was ist dabei zu beachten?

Über 2.000 Kunden in Deutschland und Europa
Team von 90+ Fachexperten
DEKRA- und TÜV-zertifiziertes Expertenteam

Die seit dem 25. Mai 2018 verbindliche DSGVO weitet nicht nur den Verantwortungsbereich des Datenschutzbeauftragten aus, sondern droht daneben mit erheblich verschärften Sanktionen bei Nichtbeachtung der datenschutzrechtlichen Vorschriften als die bisherige nationale deutsche Datenschutzgesetzgebung. Sich mit der Pflicht zur Bestellung eines Datenschutzbeauftragten auseinanderzusetzen ist für Unternehmen daher unabdingbar. Wir erklären Ihnen, wann ein Datenschutzbeauftragter Pflicht ist.

Rechtliche Verpflichtung zum Datenschutzbeauftragten gemäß DSGVO

Die DSGVO gibt den rechtlichen Rahmen zur Pflichtbestellung eines Datenschutzbeauftragten vor. Sie macht dies unabhängig von der Anzahl von Beschäftigten in einem Unternehmen. Vielmehr stellt sie – gemäß Art. 37 Abs. 1 lit. b DSGVO – die sogenannten Kerntätigkeiten in den Mittelpunkt der Verpflichtung: Dabei geht es um Tätigkeiten, die aus Datenverarbeitungsvorgängen bestehen, welche eine umfangreiche, regelmäßige und systematische Überwachung der betroffenen Personen ermöglichen. Wenn Unternehmen solche Kerntätigkeiten ausüben (wie etwa Marktforschungsunternehmen), dann ist es Pflicht, einen Datenschutzbeauftragten zu benennen. Außerdem gilt die Bestellungspflicht, wenn in großem Umfang besondere Kategorien personenbezogener Daten nach Artikel 9 DSGVO (etwa Gesundheitsdaten oder Daten zur Konfession) sowie personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO verarbeitet werden.

Betrieblicher Datenschutzbeauftragter: Pflicht durch Mitarbeiterzahl

Darüber hinaus konkretisiert auch der deutsche Gesetzgeber die Anforderungen der DSGVO im Rahmen des t § 38 des neu gefassten Bundesdatenschutzgesetzes (BDSG-neu): Demnach ist insbesondere dann ein betrieblicher Datenschutzbeauftragter (DSB) zu bestellen, wenn in dem Unternehmen in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das betrifft beispielsweise Datenverarbeitungen unter Einsatz von EDV wie Outlook oder Excel, aber auch Softwareprogramme z.B. in Marketing- oder Sales-Abteilungen. Teilzeitkräfte, Aushilfen oder Praktikanten werden bei der Bemessung der Anzahl der Personen voll berücksichtigt.

Außerdem gilt die Pflicht zur Benennung, wenn eine Datenschutzfolgeabschätzung nach Art. 35 DSGVO notwendig wird. Letztere ist erforderlich, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Schließlich wird in die Pflicht genommen, wer geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.

Hohe Bußgelder drohen, wenn Pflicht zur Bestellung des DSB verletzt wird

Nach den aktuellen Vorschriften wird sich der Kreis der aus dem Zusammenspiel von EU-Datenschutzgrundverordnung und BDSG-neu verpflichteten Unternehmen nochmals erweitern. Bei drohenden Bußgeldern von bis zu 10 Millionen EURO oder 2 % des weltweiten Jahresumsatzes gemäß Art- 83 Abs. 4 lit. a DSGVO sollte jetzt gehandelt werden, falls die Pflicht zur Bestellung eines Datenschutzbeauftragten in Ihrem Unternehmen bisher noch nicht die notwendige Aufmerksamkeit gefunden hat.

FAQ: Wir beantworten Ihre Fragen zum Thema „Pflicht Datenschutzbeauftragter“

Gibt es gesetzliche Verpflichtungen zum Datenschutzbeauftragten?

Es muss ein DSB bestellt werden, wenn mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Daneben gibt es noch eine weitere Pflicht für einen Datenschutzbeauftragten, die unabhängig von der Mitarbeiterzahl ist: bei Unternehmen deren Kerntätigkeit in einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten liegt (z.B. Gesundheitsdaten) oder wenn besonders risikoreiche Verarbeitungen durchgeführt werden (z.B. Daten aus Videoüberwachungen) muss ein DSB unabhängig von der Mitarbeiterzahl benannt werden. Das gilt für Behörden.

Ab welcher Mitarbeiterzahl besteht die Pflicht zum Datenschutzbeauftragten?

Wenn mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, wird ein Datenschutzbeauftragter Pflicht. Wichtig: Die Zahl bezieht auch Praktikanten, Teilzeitkräfte, Freelancer usw. mit ein!

Brauchen Unternehmen mehrere Datenschutzbeauftragte?

In der DSGVO ist die Rede von der Benennung ‚eines‘ DSB. Es ist zwar nicht ausdrücklich verboten einen zweiten zu benennen, dagegen sprechen aber die institutionelle Einordnung sowie die Aufgaben des DSB. Sollten die anfallenden Aufgaben für einen DSB zu umfassend sein, sollten mehr Personen vom Verantwortlichen zur Unterstützung engagiert werden. Der Verantwortliche eines Unternehmens kann also jeweils nur einen Datenschutzbeauftragten bestellen. Für öffentliche Stellen ist die Benennung mehrerer DSBs dagegen sogar unzulässig. Ein stellvertretender Datenschutzbeauftragter hingegen ist für Unternehmen keine Pflicht, aber durchaus sinnvoll und kann jederzeit eingesetzt werden, um dem DSB zuzuarbeiten.

Portraits unserer Datenschschutzexperten Dominik Fünkner, Dorothea Teichman, Nathalie Dold und Hauke Gerdey

Unser Team von 90+ Experten

Wir managen Ihren Datenschutz

Unsere zertifizierten Datenschutzbeauftragten helfen Ihnen, Datenschutzvorgaben sicher und pragmatisch umzusetzen. Profitieren Sie von unserem Knowhow aus über 2000 Kundenprojekten in über 50 Branchen.