Datenschutzbeauftragter ab wann? Diese Frage wird häufig gestellt. Unternehmen jeder Größe und Branche betrachten Datenschutz als einen wichtigen Aspekt. Die Einführung der EU-Datenschutzgrundverordnung (DSGVO) im Mai 2018 verschärfte die Anforderungen an die Verarbeitung personenbezogener Daten. Unternehmen müssen sicherstellen, dass sie den Datenschutzgesetzen entsprechen, um Bußgelder und Strafen zu vermeiden. Die Ernennung eines Datenschutzbeauftragten ist ein wichtiger Schritt zur Einhaltung der Datenschutzgesetze. In diesem Beitrag erklären wir, wann eine Ernennung verpflichtend ist.
Ein Datenschutzbeauftragter ist eine Person, der den Verantwortlichen in datenschutzrechtlichen Fragen berät und die Einhaltung der Datenschutzgesetze in einem Unternehmen überwacht. Die DSGVO legt fest, dass die Pflicht zur Benennung eines Datenschutzbeauftragten von den Kerntätigkeiten des Unternehmens abhängt. Wenn diese umfangreiche Verarbeitung besonderer personenbezogener Daten beinhalten oder besonders einschneidend für die Betroffenen sind, muss ein Datenschutzbeauftragter bestellt werden. Das Unternehmen entscheidet selbst, ob es einen Mitarbeiter zum internen Datenschutzbeauftragten ernennt. Ein externer Datenschutzbeauftragter kann diese Aufgabe auch wahrnehmen.
Die Datenschutzgrundverordnung
Die DSGVO verlangt in Art. 37 Abs.1 lit.a, dass ein Unternehmen einen Datenschutzbeauftragten benennen muss, wenn eine Behörde oder öffentliche Stelle personenbezogene Daten verarbeitet. Ausgenommen hiervon sind Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln. Nach Art. 37 Abs.1 lit.b DSGVO bestellt ein Unternehmen einen Datenschutzbeauftragten, wenn die Kerntätigkeit in der Durchführung von bestimmten Verarbeitungsvorgängen besteht. Die Verarbeitungsvorgänge müssen hierbei aufgrund ihrer Art, ihres Umfangs und Zweck eine umfangreiche regelmäßige Überwachung der betroffenen Personen beinhalten. Besteht die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO), so sieht Art. 37 Abs.1 lit.c DSGVO eine Pflicht zur Benennung vor. Gleiches gilt für die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilung und Straftaten (gem. Art. 10 DSGVO).
Freiwillige Benennung eines Datenschutzbeauftragten?
Die Antwort liegt in Art. 37 Abs.4 DSGVO. Dieser stellt klar, dass eine freiwillige Benennung möglich ist. Das Unternehmen kann dadurch sicherstellen, dass die Erfüllung ihrer gesetzlichen Verpflichtungen im Bereich des Datenschutzes einen zentralen Beitrag im Compliance-Management darstellt.
Bestimmung des Bundesdatenschutzgesetz
Das Bundesdatenschutzgesetz (BDSG-neu) regelt im § 38 Abs.1 BDSG-neu, wann ein Unternehmen verpflichtend einen Datenschutzbeauftragten benennen muss. Dies ist der Fall, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (vgl. § 38 Abs.1 S.1 BDSG-neu). Dabei ist es entscheidend, ob die Mitarbeiter direkt an der Verarbeitung personenbezogener Daten beteiligt sind. Unabhängig von der Mitarbeiterzahl besteht gem. § 38 Abs.1 S.2 BDSG-neu eine Benennungspflicht, wenn die Verarbeitungen einer Datenschutzfolgeabschätzung nach Art. 35 DSGVO unterliegen. Dies gilt auch, wenn personenbezogene Daten geschäftsmäßig zu Übermittlungs-, Anonymisierungs- oder Forschungszwecken verarbeitet werden.
Eine Datenschutzfolgenabschätzung ist erforderlich, wenn eine Verarbeitung aufgrund ihrer Art, des Umfangs, der Umstände und Zwecke ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Unternehmen, die lediglich personenbezogene Daten ihrer Mitarbeiter verarbeiten, sind von der Benennungspflicht ausgenommen. Sofern die Verarbeitung ausschließlich intern erfolgt und keine erheblichen Risiken bestehen.
Konsequenzen für Unternehmen
Die Benennung eines Datenschutzbeauftragten ist eine wichtige Maßnahme für Unternehmen. Sie dient dazu, die gesetzlichen Verpflichtungen im Datenschutz zu erfüllen und personenbezogene Daten ordnungsgemäß sicher zu verarbeiten. Durch die Anwendbarkeit der DSGVO sind viele Unternehmen verpflichtet, einen Datenschutzbeauftragten zu benennen, unabhängig von Größe und Art des Unternehmens. Die Benennung ist keine optionale, sondern eine gesetzliche Pflicht, deren Missachtung mit hohen Bußgeldern bestraft werden kann. Es ist ratsam, die Anforderungen des BDSG-neu regelmäßig zu überprüfen. Dadurch können die Datenschutzpraktiken des Unternehmens den geltenden Gesetzen entsprechen und ihren Verpflichtungen im Bereich des Datenschutzes nachkommen.