Ab wie viel Mitarbeitern braucht man einen Datenschutzbeauftragten

Die Frage wird vor dem Hintergrund des zweiten Datenschutzanpassungs- und Umsetzungsgesetzes, welches am 27.06.2019 vom Bundestag beschlossen hat und am 20.09.2019 der Bundesrat hat passieren lassen, immer wieder aufgeworfen. Aber was bedeutet dies im Einzelnen für die Bestellpflicht?

Immer wieder begegnen mir im Alltag Aussagen wie „Bei Unternehmen mit weniger als 20 Mitarbeitern gilt die DS-GVO grundsätzlich nicht, weil die keinen Datenschutzbeauftragten brauchen“.

Dies ist natürlich eine vollkommen falsche Aussage, es bestehen nach DS-GVO Bestellpflichten, aber auch nach dem Bundesdatenschutzgesetz. Das zweite Datenschutzanpassungs- und Umsetzungsgesetz hat hier unter Anderem bei §38 Abs 1. BDSG folgende Änderungen vorgenommen: „In §38 Absatz 1 Satz 1 wird das Wort „zehn“ durch die Angabe „20“ ersetzt“.

Dies bedeutet, dass nach Veröffentlichung im Bundesgesetzblatt zukünftig in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sein müssen, dass eine Bestellpflicht nach §38 Abs1 BDSG eintritt.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat in einem Praxisratgeber 6 Fallkonstellationen herausgearbeitet, in denen eine Benennung obligatorisch, also verpflichtend ist:

  1. Der Verantwortliche ist eine öffentliche Stelle oder eine Behörde (Art. 37 Abs. 1 lit. a DS-GVO), es muss immer ein Datenschutzbeauftragter benannt werden.
  2. Die Kerntätigkeit besteht in der umfangreichen oder systematischen Überwachung von betroffenen Personen (Art. 37 Abs. 1 Buchst. b DS-GVO).
    Achtung: Überwachung meint nicht nur Videoüberwachung, Detekteien und private Sicherheitsunternehmen, sondern z.B. auch die Nachverfolgung des Surfverhaltens im Internet oder des Kaufverhaltens durch ein Treueprogramm.
  3. Die Kerntätigkeit umfasst die umfangreiche Verarbeitung besonderer Kategorien von Daten oder strafrechtlicher Verurteilungen (Art. 37 Abs. 1 Buchst. c DS-GVO).
  4. Regelmäßig sind mindestens zehn (in Zukunft 20) Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Abs. 1 S. 1 BDSG). Bitte beachten: Die Leitung des Verantwortlichen (Geschäftsführer/in, Chef/Chefin, Inhaber/in, Partner usw.) bzw. des Auftragsverarbeiters wird hierbei immer hinzugerechnet.
  5. Es ist eine Datenschutz-Folgenabschätzung durchzuführen (§ 38 Abs. 1 S. 2 1. HS BDSG in Verbindung mit Art. 35 DS-GVO).
  6. Es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Marktoder Meinungsforschung verarbeitet (§ 38 Abs. 1 S. 2 2. HS BDSG).
    In diese Gruppe gehören insbesondere Wirtschaftsauskunfteien, Adresshändler sowie Markt- und Meinungsforschungsinstitute.

Man kann leicht erkennen, dass die Benennungspflicht nicht allein auf die Anzahl der Mitarbeiter zu reduzieren ist. Insbesondere die Bestellungspflicht im Zusammenhang mit einer Datenschutzfolgenabschätzung ist hier nicht zu vernachlässigen. Mehr dazu in diesem Artikel.

Weiterhin sind alle Unternehmen zur Einhaltung der DS-GVO verpflichtet und nach Artikel 5 Abs. 2 DS-GVO zur Rechenschaft verpflichtet. Dies bedeutet, dass selbst die Ansicht, keinen Datenschutzbeauftragten zu benötigen, entsprechend dokumentiert sein muss.










Fragen und Antworten

zu aktuellen datenschutzrechtlichen Fragen.
neu

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.