Zur Navigation springen Zum Inhalt springen Zum Footer springen
Teilen

E-Mail

Facebook

Twitter

LinkedIn

Xing

Link

Wann benötige ich einen Datenschutzbeauftragten?

(27)

Das Bundesdatenschutzgesetz (BDSG) normiert in Verbindung mit der Datenschutzgrundverordnung (DSGVO) die Voraussetzungen, unter denen öffentliche Stellen und nicht-öffentliche Stellen einen Datenschutzbeauftragten bestellen müssen.

Die DSGVO sieht eine solche Verpflichtung dann vor, wenn die Kerntätigkeit darin besteht, Personen systematisch zu überwachen oder personenbezogene Daten zu verarbeiten. Der deutsche Gesetzgeber hat diese Benennungspflicht im Bundesdatenschutz näher ausgeführt.

1. Mindestens zehn Mitarbeiter/Personen verarbeiten personenbezogene Daten des Unternehmens

Gemäß § 38 BDSG müssen Unternehmen einen Datenschutzbeauftragten benennen, wenn sie mindestens zehn Mitarbeiter haben, die ständig personenbezogene Daten wie Namen, Adressen, Kontonummern und dergleichen automatisiert verarbeiten. Wenn diese Beschäftigten ihre Tätigkeiten hauptsächlich am Computer ausüben, ist anzunehmen, dass es sich um eine automatisierte Datenverarbeitung handelt. In diese Gruppe fallen nicht nur fest angestellte Vollzeit- und Teilzeitmitarbeiter, sondern auch freie Mitarbeiter, Aushilfen und Leihpersonal.

Wie die deutschen Behörden diese Bestimmung interpretieren, wird sich in der Praxis zeigen. Eine ständige Beschäftigung mit der automatisierten Datenverarbeitung ist im Zweifelsfall bereits dann anzunehmen, wenn mindestens zehn Mitarbeiter in der Buchhaltungs-, Marketing- oder Serviceabteilung automatisiert personenbezogene Kundendaten verarbeiten. Auch die Daten des Personals unterliegen den Bestimmungen des Datenschutzrechtes.

Kleine Unternehmen, in denen weniger als zehn Beschäftigte mit diesen Aufgaben der Datenverarbeitung ständig betraut sind, benötigen somit keinen Datenschutzbeauftragten. Sie sind von dieser Ernennungspflicht ausgenommen, sofern sie nicht eine der folgenden Voraussetzungen erfüllen.

2. Datenübermittlung als Geschäftszweig

In einigen Fällen schreibt der Gesetzgeber unabhängig von der Mitarbeiteranzahl zwingend einen Datenschutzbeauftragten vor: Dies betrifft Unternehmen, deren Geschäft darin besteht, personenbezogene Daten zu erheben und an Dritte zu übermitteln. Darunter fallen Auskunfteien und Adressverlage. Wenn Unternehmen für die Markt- und Meinungsforschung personenbezogene Daten verarbeiten, müssen sie ebenfalls einen Datenschutzbeauftragten benennen.

3. Verarbeitung besonders sensibler Daten

Außerdem sind Einrichtungen, die aufgrund der Sensibilität der Daten eine Datenschutz-Folgenabschätzung vornehmen müssen (Art. 35 DSGVO), von dieser Benennungspflicht erfasst. Demnach müssen Unternehmen,

  • die besonders sensible Daten, nämlich Gesundheitsinformationen (zum Beispiel Krankheiten), Daten über die rassische und ethnische Herkunft (zum Beispiel Hautfarbe), die politische oder religiöse Anschauung (zum Beispiel Parteimitgliedschaft, Glaubensrichtung), die Zugehörigkeit zur Gewerkschaft und Daten zur sexuellen Einstellung verarbeiten oder
  • die öffentlich zugängliche Firmenbereiche via Videokamera systematisch und umfangreich überwachen,
  • jedenfalls einen Datenschutzbeauftragten bestellen.

In diesen Fällen spielt es keine Rolle, wie viele Mitarbeiter mit der Verarbeitung der Daten betraut sind. Diese Kategorie der besonders sensiblen Daten betrifft zum Beispiel Arztpraxen, Krankenhäuser, Labors und Rechtsanwaltskanzleien für Arbeits- und Medizinrecht. In den Bereich der systematischen Überwachung fallen beispielsweise Sicherheitsunternehmen und Wachdienste.

Gerne können Sie sich bei uns melden und informieren. Auch ggf. unsere Anwälte als ext. Datenschutzbeauftragte für Ihre Firma beauftragen. Mehr unter: www.datenschutzfrankfurt.de


Rechtstipp aus dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Newsletter

Neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter.