Braucht man durch die DSGVO jetzt einen Datenschutzbeauftragten im Unternehmen?

Brauchen Sie nach DSGVO einen Datenschutzbeauftragten? Welche Mitarbeiter zählen zur „20-Mitarbeiter-Grenze“? Und können Sie einfach selbst Datenschutzbeauftragter sein? Diese und weitere Fragen beantworten wir hier.

20-Mitarbeiter-Grenze

In Deutschland sieht § 38 Abs. 1 S. 1 BDSG eine Mindestanzahl an Mitarbeitern vor, die erreicht werden muss, sodass für nicht-öffentliche verantwortliche Stellen die Pflicht besteht, einen DSB zu bestellen. Mit der Gesetzesänderung vom 20. September 2019 hat der Bundesrat diese Anzahl von den ursprünglichen 10 auf 20 Personen erhöht. Zu diesen 20 Personen zählen weiterhin nur Mitarbeiter, die sich ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Sie brauchen also zwingend eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, wenn mindestens 20 Personen in Ihrem Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Wer zählt zu diesen 20 Personen?

Hier müssen einige Begriffe geklärt werden.

Personenbezogene Daten (Art. 4 Nr. 1 DSGVO) meint:

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;“

Verarbeitung (Art. 4 Nr. 2 DSVGO) meint:

„jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“

Automatisiert bedeutet in diesem Zusammenhang die Verarbeitung mit elektronischen Mitteln. Um ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt zu sein, genügt es in der Regel, einen Zugang zur automatisierten Datenverarbeitung zu haben.

Das bedeutet, dass auch ein Logistikmitarbeiter, der am Computer Adressaufkleber ausdruckt, zu diesen 20 Personen zu zählen ist, nicht jedoch der Arbeiter, der lediglich Adressaufkleber auf Pakete klebt. Zu den 20 Personen zählen auch Aushilfen, Studenten und Azubis.

Ausnahmen unter 20 Mitarbeitern?

Unabhängig von der Anzahl der ständig mit der automatisierten Verarbeitung beschäftigten Personen ist ein Datenschutzbeauftragter zu benennen, wenn:
- die Verarbeitung der Daten einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegt oder
- die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Die Verarbeitung der Daten durch Onlinehändler unterliegt grundsätzlich keiner Datenschutz-Folgenabschätzung.

Auch die geschäftsmäßige Verarbeitung zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung ist in der Regel bei Onlinehändlern nicht einschlägig. Hier sind vor allem Auskunfteien und Marktforschungsinstitute betroffen.

Wer darf als Datenschutzbeauftragte/r benannt werden?

Diese Tätigkeit kann von einem internen Mitarbeiter oder von einem externen ausgeübt werden. Die Anforderungen an das Fachwissen und die datenschutzrechtliche Kompetenz dieser Person richten sich an der Qualität der Durchführungen zur Datenverarbeitung aus. Je höher der Schutzbedarf der verarbeiteten Daten ist, desto höher sind auch die Anforderungen an das Fachwissen und die vorzuhaltende Kompetenz. So arbeitet zum Beispiel eine Online-Apotheke mit sensibleren Kundendaten als ein Baumarkt.

Welche Aufgaben hat der Datenschutzbeauftragte?

Der Datenschutzbeauftragte ist weisungsfrei und direkt der Geschäftsleitung zu unterstellen. Der Geschäftsführer selbst darf deshalb nicht Datenschutzbeauftragter sein. Seine Aufgaben sind in Art. 39 DSGVO aufgelistet. Darunter fallen die Unterrichtung und Beratung des Verantwortlichen oder Auftragsverarbeiters sowie der Beschäftigten, die die Datenverarbeitung durchführen; Überweisung der Einhaltung der europäischen sowie nationalen datenschutzrechtlichen Vorschriften; Zusammenarbeit mit der Aufsichtsbehörde; Beratung auf Anfrage im Zusammenhang der Datenschutz-Folgenabschätzung.

Datenschutzbeauftragte genießen einen besonderen Kündigungsschutz. Wenn die Position im Unternehmen intern besetzt wird, ist nur eine Kündigung aus wichtigem Grund zulässig. Zudem verantwortet der DSB zwar die Einhaltung seiner gesetzlich normierten Aufgaben, eine weitergehende Haftung ist aber ausgeschlossen. Es ist daher ratsam, den Datenschutzbeauftragten sorgfältig auszuwählen.

Unser Tipp

Prüfen Sie, ob mindestens 20 Ihrer Mitarbeiter elektronischen Zugriff auf personenbezogene Daten haben. Ist das der Fall, benötigen Sie einen Datenschutzbeauftragten, den Sie entsprechend sorgfältig auswählen sollten, bei weniger als 20 Mitarbeitern mit Zugriff brauchen Sie in der Regel keinen Datenschutzbeauftragten.

 

War der Artikel hilfreich?

0 von 0 fanden dies hilfreich