Wann ist ein Datenschutzbeauftragter erforderlich?


Ab wann muss ein Datenschutzbeauftragter bestellt werden nach DSGVO?
Nach der DSGVO wird vorgegeben, ab wann der Verantwortliche oder der Auftragsverarbeiter einen Datenschutzbeauftragten schriftlich benennen müssen.
Wenn in einem Unternehmen 20 (nach DSGVO 20 Mitarbeitende - nach BDSG 10 Mitarbeitende) oder mehr Mitarbeitende mit der Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter erforderlich. Dazu zählen auch öffentliche Stellen oder Behörden. Eine Ausnahme bilden Gerichten, solange diese in ihrem justiziellen Betrieb tätig sind.

Gerichte unterliegen nicht der Kontrolle durch den Landesbeauftragten für den Datenschutz, soweit sie in richterlicher Unabhängigkeit tätig werden. Sie können sich aber von ihm datenschutzrechtlich beraten lassen. Davon haben Gerichte auch bereits Gebrauch gemacht.

Ein Datenschutzbeauftragter ist zudem erforderlich, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters eine systematische Überwachung von betroffenen Personen erforderlich machen.

Zusätzlich muss ein Datenschutzbeauftragter benannt werden, wenn personenbezogene Daten in bestimmten Fällen von strafrechtlichen Verurteilungen oder Straftaten verarbeitet werden

Auch in anderen Fällen und unabhängig von der Mitarbeiteranzahl, kann ein Datenschutzbeauftragter nach DSGVO bestellt werden. Diese Maßnahme erfolgt in Fällen, in denen sehr spezielle und umfangreiche personenbezogene Datenverarbeitung durchgeführt wird.

Zum Beispiel bei der Verarbeitung von Daten zu  politischen/religiösen Überzeugungen, Ethnie/Rasse, Gesundheit und Sexualleben personenbezogene Datenverarbeitungen.




Erforderlichkeit und Benennung des Datenschutzbeauftragten nach BDSG


Trotz der neuen DSGVO gilt das Bundesdatenschutzgesetz (BDSG) wo die DSGVO keine spezielle Regelung anbietet.  Nach dem BDSG  ist ein Datenschutzbeauftragter Pflicht, wenn 10 oder mehr Personen personenbezogene Daten automatisiert verarbeiten.

Weiterhin müssen Unternehmen einen Datenschutzbeauftragten schriftlich benennen, wenn bestimmte Vorraussetzungen vorliegen:

1.) Übermittlung personenbezogener Daten
2.) Anonyme Übermittlung von Daten

Der deutsche Gesetzgeber hat die Öffnungsklausel des Artikel 37 Abs. 4 Satz 1 DSGVO genutzt. Für die Benennung des betrieblichen Datenschutzbeauftragten wurden nationale Sonderregelungen geschaffen. Wenn in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter erforderlich.

Bei der Anzahl der Mitarbeitenden ist die Arbeitnehmereigenschaft der beschäftigten Personen nicht entscheidend. Folgende Personen sind bei der Berechnung zu berücksichtigen:

1.) Vollzeitbeschäftigte
2.) Teilzeitbeschäftigte
3.) Leiharbeiter
4.) Auszubildende
5.) Praktikanten

Bei der Auslegung des Begriffs der automatisierten Verarbeitung personenbezogener Daten ist ausreichend, dass die beschäftigten Personen einen personalisierten E-Mail-Account haben. Es ist nicht erforderlich, dass die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten die Kernaufgabe der beschäftigten Person ist.

Eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht nach § 38 Abs. 1 Satz 1 BDSG.




Weitere Benennungspflichten und Freiwilligkeit


Das BDSG nennt in § 38 Abs. 1 Satz 2  weitere Szenarien.  Fälle, in denen eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) notwendig ist. Sowie Konstellationen, in denen personenbezogene Daten geschäftsmäßig zum Zweck der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

1.) Beispiel ist ein Unternehmen, dass flächendeckend Fingerabdrucksensoren zur Zutrittskontrolle für bestimmte Bereiche einsetzt
2.) Weiterhin Auskunfteien oder Bewertungsportale

Selbst wenn Unternehmen keine Pflicht trifft, können sie trotzdem auf freiwilliger Basis nach Art. 37 Abs. 4 DSGVO einen Datenschutzbeauftragten benennen. Er hat grundsätzlich dieselbe Stellung wie der verpflichtend benannte Datenschutzbeauftragte. Beispielsweise beim Zeugnisverweigerungsrecht nach (§ 38 Abs. 2 i.V.m § 6 Abs. 6 BDSG) oder bei der  Verschwiegenheitsverpflichtung (§ 38 Abs. 2 i.V.m § 6 Abs. 5 Satz 2 BDSG). Jedoch nicht bei der Abberufung oder Kündigung