Bundesdatenschutzgesetz (BDSG) und die Datenschutz-Grundverordnung (DSGVO) regeln die Frage, wann Unternehmen einen Datenschutzbeauftragten benötigen.

Dabei wurde der Kreis der Unternehmen, die einen Datenschutzbeauftragten benötigen, durch die DSGVO deutlich erweitert. Es kommt nun nicht mehr nur auf die Größe des Unternehmens an. Auch kleine Unternehmen mit weniger als 20 Mitarbeitern sind häufig zur Bestellung eines DSB verpflichtet.

In folgenden Fällen ist ein Datenschutzbeauftragter erforderlich:

1.     Es sind in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten im Unternehmen beschäftigt (§ 38 BDSG). Diese Vorschrift entspricht im Wesentlichen der bestehenden Rechtslage. Eine automatisierte Datenverarbeitung liegt vor, wenn die Datenverarbeitung mit Hilfe von Datenverarbeitungsanlagen erfolgt (z.B. am Computer).

2.     Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs . 1 (lit) b DSGVO). Das ist der Fall, wenn die betreffende Datenverarbeitung ein zentraler Bestandteil der unternehmerischen Tätigkeit / Geschäftsstrategie ist. Beispielsweise ist die Verarbeitung von Gesundheitsdaten für ein Krankenhaus oder die Verarbeitung von Adressdaten für Auskunfteien ein zentrales Element ihrer Tätigkeit. Die Verwaltung von Personaldaten innerhalb eines Unternehmens ist dagegen in der Regel als Nebentätigkeit einzustufen.

3.     Die Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung besonderer Datenkategorien (Art. 37 Abs. 1 (lit) c DSGVO, Artt. 9, 10 DSGVO). Als besondere Datenkategorien gelten u.a. Gesundheitsdaten, Daten aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgeht, genetische und biometrische Daten.

4.     Das Unternehmen ist verpflichtet, eine sogenannte Datenschutz-Folgenabschätzung durchzuführen (Art. 35 DSGVO, § 38 BDSG). Die Landesdatenschutzbehörden haben als Aufsichtsbehörden inzwischen so genannte Blacklists veröffentlicht, in denen Branchen und Verarbeitungsvorgänge aufgeführt werden, für die eine Datenschutz-Folgenabschätzung Pflicht ist. Das z.B. ist dann der Fall, wenn aufgrund des Einsatzes bestimmter Technologien ein hohes Risiko für die Verletzung von Rechten besteht.

5.     Geschäftsmäßige Verarbeitung personenbezogener Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung (§ 38 BDSG).

Daher können auch kleinere Unternehmen und Betriebe dazu verpflichtet sein, einen Datenschutzbeauftragten zu haben, wenn sie viele oder sensible Daten von Personen verarbeiten. 

TAPELLA Rechtsanwälte Scroll to Top