top of page

Die Bestellung von Datenschutzbeauftragten nach DSGVO und BDSG-neu

Bestellungspflicht

Wann ist ein Datenschutzbeauftragter Pflicht?

Laut ​​Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG-neu), sind Unternehmen, die gewisse Kriterien erfüllen, dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen. Da diese Pflicht an verschiedene Voraussetzungen geknüpft ist, muss die Frage, ob ein DSB erforderlich ist, immer individuell betrachtet werden.

 

Grundsätzlich gilt:
 

  • Unternehmen, die mindestens 20 Mitarbeiter regelmäßig mit der automatisierten Datenverarbeitung (Erhebung und Nutzung) beschäftigen, müssen einen Datenschutzbeauftragten bestellen.

  • Unabhängig von der Mitarbeiterzahl müssen auch Unternehmen, die besonders sensible personenbezogene Daten wie beispielsweise politische / religiöse Überzeugen oder die Gesundheit, verarbeiten, einen Datenschutzbeauftragten bestellen.

  • Unternehmen, deren Kerntätigkeit in der Erhebung, Verarbeitung, Nutzung oder Übermittlung von personenbezogenen Daten liegt, sind ebenfalls unabhängig von der Mitarbeiterzahl zur Bestellung eines Datenschutzbeauftragten verpflichtet.

​

Im Folgenden werden die Vorschriften aus Art. 37 Datenschutzgrundverordnung (DSGVO) und § 38 Bundesdatenschutzgesetz (BDSG) im Detail vorgestellt.

Online Ausbildung für Datenschutzbeauftragte

Datenschuzbeauftragter werden in 3 Tagen. Informieren Sie sich jetzt kostenfrei über die digitale Fortbildung zum Datenschutzbeauftragten.

Sie erhalten per Mail ein unverbindliches Angebot als PDF und eine Ausbildungsbroschüre mit allen Informationen zur Fortbildung von Datenschutzbeauftragten.

Ausbildung für Datenschutzbeauftragte Online
Pflicht nach DSGVO

Benennungspflicht für Datenschutzbeauftragte nach DSGVO

Laut Artikel 37 Absatz 1 DSGVO sind Unternehmen mit bestimmten Kerntätigkeiten zur Benennung eines Datenschutzbeauftragten verpflichtet. Dabei bezieht sich der Begriff der Kerntätigkeit auf die Haupttätigkeit des Unternehmens. Hiermit sind Unternehmen gemeint, bei denen der Umgang mit den personenbezogenen Daten maßgebend für die Unternehmensstrategie sind. Die routinemäßige Verarbeitung von Mitarbeiterdaten ist damit nicht gemeint.  

 

Die Pflicht zur Bestellung eines DSB gilt für Unternehmen:

  • deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 und Artikel 10 DSGVO liegt.

  • deren Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen liegt, die aufgrund ihrer Art, des Umfangs und/oder der Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.

  • Behörden und öffentliche Stellen mit Ausnahme von Gerichten

​

Zur besonderen Kategorie von Daten gemäß Art. 9 DSGVO gehören Daten, “aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person”.

 

Gemäß Art. 10 DSGVO gehören zur besonderen Kategorie auch “personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln”.

 

Wenn die Verarbeitung bzw. Überwachung von personenbezogenen Daten regelmäßig und systematisch stattfindet, besteht gemäß DSGVO ebenfalls die Pflicht zur Benennung eines Datenschutzbeauftragten.

Pflicht BDSG-neu

Benennungspflicht für Datenschutzbeauftragte nach BDSG-neu

Laut § 38 Absatz 1 BDSG-neu ist die Benennung eines Datenschutzbeauftragten Pflicht, wenn mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Hierbei ist unerheblich, ob die Mitarbeiter in Voll- oder Teilzeit beschäftigt sind. Auch freie Mitarbeiter, Mitarbeiter, Auszubildende und Praktikanten sind mit einzubeziehen. 

 

Das Bundesdatenschutzgesetz definiert die Verarbeitung personenbezogener Daten relativ eng, sodass das Gesetz auch bei einfacher E-Mail-Kommunikation zutrifft. Unternehmen, die viele Mitarbeiter im Personalwesen oder der Buchhaltung haben, sollte hier ebenso aufpassen wie Unternehmen mit vielen IT-Mitarbeitern oder Vertrieblern.


Aber auch bei weniger als 20 Mitarbeitern kann gemäß § 38 Absatz 1 Satz 2 BDSG-neu eine Pflicht zur Bstellung bestehen, wenn in dem Unternehmen Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen oder die verantwortliche Stelle personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet.

Online Ausbildung für Datenschutzbeauftragte

Datenschuzbeauftragter werden in 3 Tagen. Informieren Sie sich jetzt kostenfrei über die digitale Fortbildung zum Datenschutzbeauftragten.

Sie erhalten per Mail ein unverbindliches Angebot als PDF und eine Ausbildungsbroschüre mit allen Informationen zur Fortbildung von Datenschutzbeauftragten.

Ausbildung für Datenschutzbeauftragte Online
Muster Bestellung

Wie erfolgt die Bestellung von Datenschutzbeauftragten?

Die Benennung eines Datenschutzbeauftragten erfolgt gemäß Art. 37 Abs. 7 DSGVO:

"(5) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben."

​

Im Klartext bedeutet das, dass für den zukünftigen Datenschutzbeauftragten ein Fachwissen auf dem Gebiet des Datenschutzes Grundvoraussetzung für die Bestellung ist.

​

"(6) Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen."

​

In anderen Worten, kann ein Unternehmen einen eigenen Angestellten zum Datenschutzbeauftragten benennen, oder einen externen Dienstleister beauftragen.
Mehr Informationen zum internen vs. externen Datenschutzbeauftragten

​

Gemäß Punkt 7 muss der Verantwortliche anschließend die Kontaktdaten des Datenschutzbeauftragten der Aufsichtsbehörde mitteilen.

Muster Bestellung Datenschutzbeauftragter

Eine Bestellungsurkunde bzw. ein Bestellungsschreiben ist für Datenschutzbeauftragte nicht gesetzlich vorgeschrieben. D.h. ein Datenschutzbeauftragter kann auch ohne schriftliches Dokument wirksam bestellt werden. 

​

Damit alle Beteiligten über die Erwartungen an den Datenschutzbeauftragten aufgeklärt sind, empfiehlt es sich, trotzdem ein Schreiben aufzusetzen, in dem die Aufgaben festgehalten werden.

​

Muster-Bestellschreiben herunterladen: 

Die meisten Unternehmen müssen einen Datenschutzbeauftragten bestellen. Ein Verstoß gegen die DSGVO kann durch die zuständige Aufsichtsbehörde mit hohen Bußgelder geahndet werden. 

Wenn Sie keinen DSB benennen, obwohl Ihr Unternehmen laut Art. 37 DSGVO zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, drohen hohe Bußgelder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes oder bis zu 10 Millionen Euro. Die genauen Bedingungen für die Verhängung von Geldbußen sind in Artikel 83 EU-DSGVO definiert.


Sie sollten das Thema Datenschutz in Ihrem Unternehmen also erst nehmen. Mit unserer digitalen Fortbildung können Sie flexibel und schnell einen oder mehrere Mitarbeiter zu Datenschutzbeauftragten fortbilden und binnen weniger Tage einen internen DSB benennen. Mit Ausnahme der Geschäftsführung und der Führungsebene kommen für die Position alle Mitarbeiter in Frage. Hier finden Sie weitere Informationen, wer Datenschutzbeauftragter werden kann.

Was passiert, wenn kein Datenschutzbeauftragter benannt wird?

FAQ

Gemäß DSGVO und BDSG muss der Datenschutzbeauftragte ausreichende berufliche Qualifikation (insbesondere seines Fachwissens im Datenschutzrecht, sowie der Datenschutzpraxis) vorweisen. Er sollte außerdem die Fähigkeit haben, die ihm obliegenden Aufgaben der Beratung, Überwachung und Zusammenarbeit mit den Aufsichtsbehörden zu erfüllen.

​Wer darf laut DSGVO Datenschutzbeauftragter sein?

Häufige Fragen zur Bestellung von Datenschutzbeauftragten

Gemäß Punkt 2 Art. 37 DSGVO muss eine Unternehmensgruppe mit mehreren Niederlassungen nur einen Datenschutzbeauftragten bestellen, wenn dieser von allen Standorten aus leicht erreicht werden kann.

Muss bei mehreren Standorten mehr als ein Datenschutzbeauftragter ernannt werden?

  • LinkedIn
  • Xing
Autor und Geschäftsführer Manuel Zabe

Manuel Zabe

Erstellt am: 31.01.2023
Zuletzt geändert: 18.07.2023

Geschäftsführer der ExpertMe GmbH und Experte für Arbeitssicherheit

Weitere Artikel zum Thema Datenschutz

Aufgaben und Verantwortlichkeiten

In diesem Artikel werden die Aufgaben und Pflichten eines Datenschutzbeauftragten genauer erläutert.

Aufgaben und Pflichten von Datenschutzbeauftragten
Mehr lesen

Interner vs. externer DSB

Die Unterschiede zwischen internen und externen DSBs und welche Vor- und Nachteile beide Optionen bieten.

Interner vs. externer Datenschutzbeauftragter
Mehr lesen

Voraussetzungen und Qualifikation

In diesem Artikel werden die Aufgaben und Pflichten eines Datenschutzbeauftragten genauer erläutert.

Tastatur
Mehr lesen

IT-Sibe vs. Datenschutzbeauftragter

Unterschiede und Aufgaben der beiden Beauftragten

Arbeitstisch
Mehr lesen

Digitale Fortbildung für Datenschutzbeauftragte
jetzt buchen

datenschutzbeauftragter Ausbildung
bottom of page