Inhalt dieser Seite
Die Bestellung von Datenschutzbeauftragten nach DSGVO und BDSG-neu
Wann ist ein Datenschutzbeauftragter Pflicht?
Die meisten Unternehmen müssen einen Datenschutzbeauftragten benennen. Ein Verstoß gegen die DSGVO kann durch die zuständige Aufsichtsbehörde mit hohen Bußgelder geahndet werden.
Wenn Sie keinen DSB benennen, obwohl Ihr Unternehmen laut Art. 37 DSGVO zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, drohen hohe Bußgelder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes oder bis zu 10 Millionen Euro. Die genauen Bedingungen für die Verhängung von Geldbußen sind in Artikel 83 EU-DSGVO definiert.
Sie sollten das Thema Datenschutz in Ihrem Unternehmen also erst nehmen. Mit unserer digitalen Fortbildung können Sie flexibel und schnell einen oder mehrere Mitarbeiter zu Datenschutzbeauftragten fortbilden und binnen weniger Tage einen internen DSB benennen. Mit Ausnahme der Geschäftsführung und der Führungsebene kommen für die Position alle Mitarbeiter in Frage. Hier finden Sie weitere Informationen, wer Datenschutzbeauftragter werden kann.
Was passiert, wenn kein Datenschutzbeauftragter benannt wird?
Laut Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG-neu), sind Unternehmen, die gewisse Kriterien erfüllen, dazu verpflichtet, einen Datenschutzbeauftragten zu benennen. Da diese Pflicht an verschiedene Voraussetzungen geknüpft ist, muss die Frage, ob ein DSB erforderlich ist, immer individuell betrachtet werden.
Grundsätzlich gilt:
-
Unternehmen, die mindestens 20 Mitarbeiter regelmäßig mit der automatisierten Datenverarbeitung (Erhebung und Nutzung) beschäftigen, müssen einen Datenschutzbeauftragten benennen.
-
Unabhängig von der Mitarbeiterzahl müssen auch Unternehmen, die besonders sensible personenbezogene Daten wie beispielsweise politische / religiöse Überzeugen oder die Gesundheit, verarbeiten, einen Datenschutzbeauftragten bestellen.
-
Unternehmen, deren Kerntätigkeit in der Erhebung, Verarbeitung, Nutzung oder Übermittlung von personenbezogenen Daten liegt, sind ebenfalls unabhängig von der Mitarbeiterzahl zur Benennung eines Datenschutzbeauftragten verpflichtet.
Im Folgenden werden die Vorschriften aus Art. 37 Datenschutzgrundverordnung (DSGVO) und § 38 Bundesdatenschutzgesetz (BDSG) im Detail vorgestellt.
Benennungspflicht für Datenschutzbeauftragte nach DSGVO
Laut Artikel 37 Absatz 1 DSGVO sind Unternehmen mit bestimmten Kerntätigkeiten zur Benennung eines Datenschutzbeauftragten verpflichtet. Dabei bezieht sich der Begriff der Kerntätigkeit auf die Haupttätigkeit des Unternehmens. Hiermit sind Unternehmen gemeint, bei denen der Umgang mit den personenbezogenen Daten maßgebend für die Unternehmensstrategie sind. Die routinemäßige Verarbeitung von Mitarbeiterdaten ist damit nicht gemeint.
Die Pflicht zur Benennung eines DSB gilt für Unternehmen:
-
deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 und Artikel 10 DSGVO liegt.
-
deren Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen liegt, die aufgrund ihrer Art, des Umfangs und/oder der Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
-
Behörden und öffentliche Stellen mit Ausnahme von Gerichten
Zur besonderen Kategorie von Daten gemäß Art. 9 DSGVO gehören Daten, “aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person”.
Gemäß Art. 10 DSGVO gehören zur besonderen Kategorie auch “personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln”.
Wenn die Verarbeitung bzw. Überwachung von personenbezogenen Daten regelmäßig und systematisch stattfindet, besteht gemäß DSGVO ebenfalls die Pflicht zur Benennung eines Datenschutzbeauftragten.
Benennungspflicht für Datenschutzbeauftragte nach BDSG-neu
Laut § 38 Absatz 1 BDSG-neu ist die Benennung eines Datenschutzbeauftragten Pflicht, wenn mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Hierbei ist unerheblich, ob die Mitarbeiter in Voll- oder Teilzeit beschäftigt sind. Auch freie Mitarbeiter, Mitarbeiter, Auszubildende und Praktikanten sind mit einzubeziehen.
Das Bundesdatenschutzgesetz definiert die Verarbeitung personenbezogener Daten relativ eng, sodass das Gesetz auch bei einfacher E-Mail-Kommunikation zutrifft. Unternehmen, die viele Mitarbeiter im Personalwesen oder der Buchhaltung haben, sollte hier ebenso aufpassen wie Unternehmen mit vielen IT-Mitarbeitern oder Vertrieblern.
Aber auch bei weniger als 20 Mitarbeitern kann gemäß § 38 Absatz 1 Satz 2 BDSG-neu eine Pflicht zur Benennung bestehen, wenn in dem Unternehmen Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen oder die verantwortliche Stelle personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet.
Online Ausbildung für Datenschutzbeauftragte
Datenschuzbeauftragter werden in 3 Tagen. Informieren Sie sich jetzt kostenfrei über die digitale Fortbildung zum Datenschutzbeauftragten.
Sie erhalten per Mail ein unverbindliches Angebot als PDF und eine Ausbildungsbroschüre mit allen Informationen zur Fortbildung von Datenschutzbeauftragten.
Manuel Zabe
Zuletzt geändert 31.01.2023
Geschäftsführer der ExpertMe GmbH und Experte für Arbeitssicherheit
