Wer benötigt einen Datenschutzbeauftragten?
von Freya Wolfenstaedter
Mit dem neuen Bundesdatenschutzgesetz (BDSG-neu) und der allgemeinen Datenschutzgrundverordnung (DSGVO) wird geregelt, ab wann eine Benennung (oder auch Bestellung) eines Datenschutzbeauftragten obligatorisch wird.
Zunächst einmal spielt die Mitarbeiterzahl eine Rolle: Sobald mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist die Benennung eines Datenschutzbeauftragten verpflichtend. Hierbei ist nicht relevant, ob es sich um Teilzeit- oder Vollzeitbeschäftigte handelt und beispielsweise Praktikanten, Auszubildende, freie Mitarbeiter oder Leiharbeiter sind miteinzubeziehen, sobald sie sich mit der automatisierten Verarbeitung personenbezogener Daten während ihrer Tätigkeit befassen. Die Häufigkeit oder Intensivität des Zugriffs auf eben diese Daten ist also nicht entscheidend, sondern lediglich, dass es zur regelmäßigen Aufgabenwahrnehmung der Mitarbeitenden gehört.
Unabhängig von der Mitarbeiterzahl gilt die Bestellpflicht auch, wenn besondere Arten von personenbezogenen Daten verarbeitet werden oder die Kerntätigkeit des Unternehmens in der Erhebung, Verarbeitung, Nutzung oder Übermittlung von personenbezogenen Daten liegt.
Unter besonderen Arten von personenbezogenen Daten versteht man beispielsweise ethnische Herkunft, politische Meinung, religiöse Überzeugung, aber auch Informationen über Gesundheit und Sexualleben. Damit fallen zum Beispiel Arztpraxen und Labore, aber auch Kanzleien oder Beratungsstellen mit persönlicher Ausrichtung unter diese Kategorie und haben eine Bestellpflicht, auch wenn weniger als 20 Personen mit der Verarbeitung der Daten befasst sind.
Die Kerntätigkeit des Unternehmens bezieht sich auf die Haupttätigkeit des Untenehmens, wenn es sich bei der Datenverarbeitung also für die Geschäftstätigkeit oder die Unternehmensstrategie notwendige bzw. wichtige Tätigkeit handelt. Davon ausgeschlossen sind routinemäßige Verwaltungsaufgaben, die in jedem Unternehmen vorkommen, da diese in der Regel nicht zur Haupttätigkeit eines Unternehmens gehören. Beispielsweise Markt- und Meinungsforschungsunternehmen oder auch Sicherheits- und Überwachungsdienste fallen unter diese Kategorie und sind damit ebenfalls unabhängig von der Mitarbeiterzahl zur Benennung eines Datenschutzbeauftragten verpflichtet.
Ein Datenschutzbeauftragter muss also in vielen Fällen bereits bei einer Mitarbeiterzahl von unter 20 Mitarbeitern benannt werden. Dies kann ein interner aber auch externer Datenschutzbeauftragter sein.
Gerne bieten wir Ihnen eine Hilfestellung im Umgang mit dem Datenschutz an, kontaktieren Sie uns einfach.