Datenschutzbeauftragter
Für wen ist die Bestellung eines DSB verpflichtend?
Regeln für die Benennung eines Datenschutzbeauftragten laut DSGVO und BDSG
Nach § 38 BDSG ist genau festgelegt, wann ein DSB benannt werden muss.
Ob sie dafür einen eigenen Mitarbeiter einstellen, oder einen Dienstleister als externen DSB einsetzen, bleibt Ihnen überlassen (Art. 37 Abs. 6 DSGVO, § 5 Abs. 4 BDSG).
Wichtig:
Der DSB, ob intern oder extern muss über ein Fachwissen in den Bereichen Datenschutzrecht und Datenschutzpraxis verfügen und die erforderlichen Fähigkeiten mitbringen, die nötig sind, um alle Aufgaben auszuführen (z.B. Beratung, Überwachung und Schulung).
Weiter dürfen keine potenziellen Interessenskonflikte bestehen. So können bspw. die Geschäftsführung oder die Marketingleitung die Position als DSB nicht antreten.
Sobald Sie Unternehmen eine geeignete Person bestellt haben, müssen Sie die Kontaktdaten dieses Datenschutzbeauftragten öffentlich zugänglich machen und an die Aufsichtsbehörde weitergeben.
Ab wann ist ein DSB verpflichtend?
Hier gibt es unterschiedliche Kriterien. Sobald auf Ihr Unternehmen einer dieser Punkte zutrifft, ist die Benennung eines DSB für Sie verpflichtend.
Kriterium 1: Mitarbeiterzahl
Wie viele Ihrer Mitarbeiter arbeiten mit personenbezogenen Daten?
Sobald 20 Personen regelmäßig mit personenbezogenen Daten arbeiten, müssen Sie nach §38 BDSG einen internen oder externen Datenschutzbeauftragten bestellen.
Aber: Auch wenn in Ihrem Unternehmen weniger als 20 Personen beschäftigt sind, müssen Sie die Anforderungen der DSGVO erfüllen.
Kriterium 2: Umgang mit personenbezogenen Daten besonderer Kategorie
Verarbeiten Sie in Ihrem Unternehmen personenbezogene Daten besonderer Kategorie?
Nach Art. 9 DSGVO besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten unabhängig von der Mitarbeiterzahl, wenn persönliche Daten aus sensiblen Bereichen wie Gesundheit, Herkunft, politische Gesinnung, religiöse Anschauung, Gewerkschaftsmitgliedschaft oder sexuelle Neigung erheben und nutzen. Auch Informationen zu Straftaten und strafrechtlichen Verurteilungen zählen hier dazu.
Kriterium 3: Systematische Personenüberwachung
Verwenden Sie in Ihrem Betrieb Überwachungstechnik o.Ä.?
Auch wenn Sie in Ihrem Unternehmen Datenverarbeitungsvorgänge vornehmen, die eine umfangreiche, regelmäßige und systematische Personenüberwachung erfordern, besteht nach Artikel 37 DSGVO die Benennungspflicht.
Kriterium 4: Datenübermittlung als Geschäftsfeld
Ermitteln Sie personenbezogene Daten für Dritte?
Wenn Sie in einem Geschäftsfeld agieren, das der Datenerhebung und Datenübermittlung an Dritte dient, ist laut § 38 Abs. 1 S.1 BDSG ein Datenschutzbeauftragter verpflichtend. Besteht Ihre Kerntätigkeit zum Beispiel darin, Daten für die Markt- und Meinungsforschung zu verarbeiten, müssen Sie ebenfalls einen DSB ernennen.