Pflicht zur Benennung eines Datenschutzbeauftragten (DSB)

Jetzt kostenloses Erstgespräch zum Thema externe Datenschutzbeauftragte mit Experten der Resilien[i]T sichern

ICON_Datenschutz_2

Wann ist eine Organisation verpflichtet, einen Datenschutzbeauftragten zu benennen?

Die meisten Organisationen wissen aufgrund der Anzahl der Beschäftigten, ob sie zur Benennung eines oder einer Datenschutzbeauftragten verpflichtet sind, vielen anderen ist dies jedoch nicht bewußt.

Die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) knüpfen eine Benennungspflicht an verschiedene Voraussetzungen. Die gesetzliche Schwelle für Unternehmen, einen internen oder externen Datenschutzbeauftragten (DSB) zu benennen, ist jedoch niedrig.

Benennungspflicht nach der DSGVO

Gemäß Artikel 37 Absatz 1 DSGVO ist ein Unternehmen zur Benennung eines Datenschutzbeauftragten in den folgenden Fällen verpflichtet:

  • Die Kerntätigkeit besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
  • Die Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 und Artikel 10 DSGVO.

 

Der Begriff der Kerntätigkeit bezieht sich dabei auf die Haupttätigkeit des Unternehmens. Gemeint sind Geschäftsbereiche, welche für die Umsetzung der Unternehmensstrategie maßgebend sind und nicht lediglich routinemäßige Verwaltungsaufgaben darstellen. Keine Kerntätigkeit liegt bspw. bei der Verarbeitung von Mitarbeiterdaten vor, da dies in der Regel nur ein Unterstützungsprozess ist und deshalb nicht zur Haupttätigkeit des Unternehmens gehört.

 

Die Verarbeitungsvorgänge müssen eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Dies ist etwa der Fall, wenn die Internetaktivitäten der betroffenen Personen nachvollzogen und zur Profilbildung verwendet werden.

 

Eine umfangreiche Verarbeitung besonderer Kategorien von Daten liegt bspw. vor, wenn die Haupttätigkeit des Unternehmens in der Verarbeitung solcher Daten besteht, aus welchen die rassische und ethnische Herkunft, politische Meinungen oder religiöse bzw. weltanschauliche Überzeugungen hervorgehen. Umfangreiche Verarbeitung von genetischen Daten, biometrischen Daten sowie Gesundheitsdaten fällt ebenfalls hierunter.

Benennungspflicht nach dem Bundesdatenschutzgesetz (BDSG)

Das neue BDSG regelt ferner in § 38 Absatz Satz 1, dass die Benennung des DSB obligatorisch ist, soweit mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unerheblich ist hierbei, ob es sich um Vollzeit- oder Teilzeitbeschäftigte handelt. Mit einzubeziehen sind auch freie Mitarbeiter oder Leiharbeitnehmer, ebenso wie Auszubildende und Praktikanten. 

 

Entscheidend ist, dass die betreffenden Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Dies ist in der Regel bereits bei einfacher E-Mail-Kommunikation der Fall. Betroffen sind typischerweise Vertriebsmitarbeiter, Mitarbeiter der IT-Abteilung, Sachbearbeiter sowie die Personal- und Finanzabteilungen.

 

Unabhängig von der Zahl der Mitarbeiter besteht gemäß § 38 Absatz 1 Satz 2 BDSG eine Pflicht zur Benennung, wenn in dem Unternehmen Verarbeitungen vorgenommen werden, die einer Datenschutzfolgenabschätzung nach Artikel 35 DSGVO unterliegen oder die verantwortliche Stelle personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet.

 

Die Benennung sollte aus Beweisgründen in Schriftform erfolgen.

Wer kann als Datenschutzbeauftragter benannt werden?

Grundsätzlich kann ein interner oder ein externer Datenschutzbeauftragter (DSB) benannt werden.

In beiden Fällen muss gemäß Art. 37 DSGVO der DSB benannt und der Aufsichtsbehörde gemeldet werden. Sollte dies nicht rechtmäßig getätigt werden, kann ein Bußgeld bis zu 10.000.000€ oder 2% des Jahresumsatzes die Folge sein (Art. 83 Abs. 4 DSGVO).

Ein DSB kann sowohl intern in Person eines bereits angestellten Mitarbeiters als auch extern in Form eines Dienstleisters benannt werden. Ausschlaggebende Kriterien sollten dabei an erster Stelle die notwendige berufliche Qualifikation, insbesondere das Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie die Fähigkeit sein, die ein DSB benötigt, um die notwendigen Aufgaben im Unternehmen ordnungsgemäß erfüllen zu können.

Hinsichtlich der Kompetenz muss sich ein interner DSB zunächst zeitintensiven und aufwendigen Weiterbildungsmaßnahmen zur Erlangung der notwendigen Fachkunde unterziehen, während ein externer DSB bereits bei Beginn der vertraglichen Kooperation zertifizierte und sofort bereitstehende Expertise vorweisen kann. Im Gegensatz dazu hat jedoch der interne DSB Vorteile bei der Einarbeitung, da ihm die internen Betriebsabläufe bereits bekannt sind, während sich ein externer DSB zunächst mit den betrieblichen Prozessen vertraut machen muss.

Bei der Benennung eines betrieblichen DSB ist auch stets dessen Haftung zu bedenken. Wenn es zu folgenschweren Fehlern auf Basis seiner Beratung kommt, wie beispielsweise Datenmissbrauch von Kundendaten, haftet ein interner DSB mit der beschränkten Arbeitnehmerhaftung. Das bedeutet, dass der Arbeitnehmer lediglich bei Vorsatz und grober Fahrlässigkeit in vollem Umfang haftet. Bei leichtester Fahrlässigkeit scheidet eine Haftung des internen DSB aus. Im Gegensatz dazu haftet ein externer DSB für seine Beratung auch bei leichter Fahrlässigkeit in voller Höhe. Dies führt zu einer Risikominimierung für das Unternehmen.

Wir haben immer die passende Lösung

Als Ihr externer Datenschutzbeauftragter verfügen wir über die nötige Expertise, um Sie in allen Fragen zur Einhaltung der gesetzlichen Vorschriften detailliert und umfassend beraten zu können. Wir haben uns auf die Themen Datenschutz und Informationssicherheit spezialisiert und bieten unseren Kunden praktikable, maßgeschneiderte, unternehmens- und branchenspezifische Lösungen an.

Wir begleiten kleine und mittelständische Unternehmen, aber auch international agierende Konzerne in allen Fragen rund um Datenschutz und Informationssicherheit. Durch unser strukturiertes Datenschutz- und Informationssicherheitskonzept finden wir für unsere Kunden und Mandanten immer passende, umsetzbare und pragmatische Vorgehensweisen, die mit dem Kerngeschäft vereinbar sind.